netfilter内核修改点东西，可以出钱，有能力的希望可以帮助下我

philarlala

有一些是不可见字符的，16进制能对上就是行了，是要提取http 头部的内容吗？可以根据关键字以及http头部格式的特点进行截取，

philarlala

好像http头部的字段都是\r\n来隔开的吧，16进制就是0d 0a了，你自己抓包看看特点就好截取了

Godbach

回复 20# philarlala

嗯，对的。最开始最好打印 16 进制，或者按照 char %c 打印。

   

Godbach

回复 18# yywx1314

把你的完整代码贴出来吧。QQ 讨论没有论坛参与的人多。


   

yywx1314

全部代码如下
        int i;
        struct sk_buff *sk = NULL;
        sk = skb_copy(skb, GFP_ATOMIC);
        struct iphdr *iph = ip_hdr(sk);//获取ip头指针
        struct tcphdr *tcph;//tcp头指针
        char * payload = NULL;
        tcph = (struct tcphdr *)((u_int32_t *)iph + iph->ihl);;//获取tcp开始位置
        if (iph->protocol == IPPROTO_TCP)//截获的是TCP类型的包
        {

                int daddr = iph->daddr;
                int dport = tcph->dest;
                int port = ntohs(dport);
                if (likely(port != 80)) {
                        //return NF_ACCEPT; //忽略不是远程 80 端口的包
                        pr_warn("非80端口%d\n", port);
                }else {
                        pr_warn("我是80端口 %d\n", port);
                        if (0 != skb_linearize(skb)) {
                                return NF_ACCEPT;
                        }
                        unsigned char *tcp_appdata = (unsigned char *) tcph + (tcph->doff << 2);
                        for(i=0;i<sizeof(tcp_appdata);i++){
                                pr_warn("%02x", *(tcp_appdata + i));//这里打印出来的全是00，也不知道问题出在哪
                        }
               
                        if(0 == strncmp(tcp_appdata, "GET", 3)) {
                                pr_warn("tcp_appdata数据 %s\n", "GET浏览");

                        }
                }

        }

yywx1314

philarlala 发表于 2016-05-05 10:43
有一些是不可见字符的，16进制能对上就是行了，是要提取http 头部的内容吗？可以根据关键字以及http头部格式 ...

是的，我需要提取http 头部的内容

Godbach

回复 25# yywx1314

                        pr_warn("我是80端口 %d\n", port);
                        if (0 != skb_linearize(skb)) {
                                return NF_ACCEPT;
                        }

红色的代码先去掉吧。

                        unsigned char *tcp_appdata = (unsigned char *) tcph + (tcph->doff << 2);
                        for(i=0;i<sizeof(tcp_appdata);i++){
                                pr_warn("%02x", *(tcp_appdata + i));//这里打印出来的全是00，也不知道问题出在哪
                        }   

这个地方不能用 sizeof 的。要计算一下 tcp payload 的长度。

话说你对 ip 和 tcp header 中一些关于长度的字段了解吗。还有 skb 的结构，你了解多少。

philarlala

sizeof(tcp_appdata)获取到的是指针的长度，不是指针指向的字符串的长度，一般用strlen 回复 25# yywx1314


   

Godbach

回复 28# philarlala

更合适的做法是，ip_total_len - ip_hdr_len - tcp_hdr_len 来计算 payload。不要假设 payload 一定是 string。


   

philarlala

嗯嗯，有可能payload 中有\0，strlen获取就不完整了回复 29# Godbach