Hacking the Linux Kernel Network Stack（译本）

duanjigang

谢谢指出错误，正在学习。。。。。。

justicezyx

原帖由 duanjigang 于 2006-5-28 22:27 发表

当初自己在读到此处的时候也没有仔细想，多谢你提出这个问题，今天翻了半天资料，自己理解了一点，不知道正确不，因为对于协议栈的细节不清楚，所以只能做一些肤浅的认识，日后有机会再改正此处可的得错误。
s ...

也许指的是udp头吧，udp应该没有自己专门的协议数据头，只有ip头而已。

duanjigang

应一位朋友询问，特将2.4下的使用方法帖一下：
系统: RedHatLinux9 2.4.20-8
将lwfw目录拷贝到Linux系统下，建议用ssh,因为我们后面的测试也是使用ssh的。
首先明白各个文件编译后生成模块与程序对应的功能：
make之后，可以看到生成了lwfw.o模块文件，lwfw黄色显示的字符设备文件和绿色的test可执行程序
lwfw.o是要插入系统中负责数据过滤的模块，lwfw是用来从用户态向内核态传递参数给钩子的字符设备文件，test是用户态程序，用来发送指令给lwfw这个模块，通过访问lwfw文件来实现（主要是通过ioctl调用的）
下来看看test.c文件：我们不妨将插有lwfw模块的系统成为目的机
有三个变量：
                    deny_ip : 目的地为目的机的数据包的源IP地址
                    ifcfg       : 目的机用来接收数据的网络接口的名字
                    port       :目的机接收数据的端口。
测试如下：
     第一，对deny_ip进行测试，首先通过ssh远程将deny_ip的值修改为 "192.168.0.201"（这个是我的windows系统的IP），然后要将

1. 
   
2. /*if(ioctl(fd, LWFW_DENY_PORT, *(unsigned short *)port) == -1)
   
3.          {
   
4.            printf("ioctl LWFW_DENY_PORT fail!\n");
   
5.            exit(-1);
   
6.          }
   
7.          */
   
8. if(ioctl(fd, LWFW_DENY_IF, (unsigned*)ifcfg) == -1)
   
9.          {
   
10.                printf("ioctl LWFW_DENY_IF fail!\n");
    
11.                exit(-1);
    
12.          }
    
13.          */
    

复制代码

注释起来，然后保存，退出。
make make install
当你刚刚执行完 ./test的时候，如果一切正常，你将会发现你的windows系统与这台linux主机失去了联系
首先ssh会没有响应，其次ping linux主机也会超时，这说明lwfw模块确实过滤了来自指定IP主机的数据
如果方便的话，你需要在linux主机上执行rmmod lwfw这个时候，ping就可以恢复正常了，如果ssh没有超时的话也会恢复正常
如果提示已断开的话，你再次连接也会成功的。
第二，对port进行测试
这次将代码

1. 
   
2. /*if( ioctl(fd, LWFW_DENY_IP, inet_addr(deny_ip)) == -1)
   
3.          {
   
4.             printf("ioctl LWFW_DENY_IP fail\n");
   
5.             exit(-1);
   
6.          }*/

复制代码

注释起来，把

1. 
   
2. if(ioctl(fd, LWFW_DENY_PORT, *(unsigned short *)port) == -1)
   
3.          {
   
4.            printf("ioctl LWFW_DENY_PORT fail!\n");
   
5.            exit(-1);
   
6.          }

复制代码

注释去掉
而且你也看到

1. unsigned char *  port = "\x00\x16";

复制代码

了，对应的就是22端口，因为ssh默认用22端口
保存文件修改，make ,make install
这次建议你用ssh客户端连上去执行./test
当你键入这个命令后，你的ssh客户端一定会没有响应，而ping则会正常，这说明lwfw选择性的过滤了目的端口为22的数据包
为了方便测试，你不妨从多个IP去通过ssh连接，这样多个ssh客户端都会掉线，说明端口的测试确实与IP无关
关于eth0的测试，你可以自己尝试，但是我建议在测试之前先想想可能的结果，这样能估计到可能的风险，也能将实际结果跟自己的预计结果进行比较，方便理解。。

[ 本帖最后由 duanjigang 于 2007-4-29 09:47 编辑 ]

CUDev

原先的测试代码有一个小bug，

1.   if( ioctl(fd, LWFW_GET_STATS,*(unsigned long*)&data) == -1)

复制代码

中的 *(unsigned long*)&data)不对，应该为(unsigned long*)&data)，去掉*号，这样才是一个指针。

改了一下测试的代码：
首先，激活模块。
lwfwtables -a
然后设置条件
lwfwtables -i 192.168.18.5 设置ip
lwfwtables -g 获取信息
同样使用
lwfwtables -p 22 设置端口
lwfwtables -f eth0 设置网卡

1. 
   
2. #include<sys/types.h>
   
3. #include<unistd.h>
   
4. #include<fcntl.h>
   
5. #include<linux/rtc.h>
   
6. #include<linux/ioctl.h>
   
7. #include<stdio.h>
   
8. #include<stdlib.h>
   
9. #include<arpa/inet.h>
   
10. #include "lwfw.h"
    
11. 
    
12. void print_help(void);
    
13. 
    
14. int main(int argc,char *argv[])
    
15. {
    
16.     int fd;
    
17.     unsigned short port = 0;
    
18.     char ch;
    
19.     struct lwfw_stats data;
    
20. 
    
21.     if (argc < 2)
    
22.     {
    
23.         print_help();
    
24.         return 1;
    
25.     }
    
26. 
    
27.     fd = open (LWFW_NAME, O_RDONLY);
    
28.     if (fd == -1)
    
29.     {
    
30.         perror ("open LWFW_NAME fail\n");
    
31.         goto error;
    
32.     }
    
33.     while ( (ch=getopt(argc,argv,"adi:p:f:g")) != EOF)
    
34.     {
    
35.         switch (ch)
    
36.         {
    
37.         case 'a': //Active
    
38.             if (ioctl (fd, LWFW_ACTIVATE, 0) == -1)
    
39.             {
    
40.                 perror ("ioctl LWFW_ACTIVATE fail!\n");
    
41.                 goto error;
    
42.             }
    
43.             break;
    
44.         case 'd': //Deactive
    
45.             if (ioctl (fd, LWFW_DEACTIVATE, 0) == -1)
    
46.             {
    
47.                 perror ("ioctl LWFW_ACTIVATE fail!\n");
    
48.                 goto error;
    
49.             }
    
50.             break;
    
51.         case 'i': //IP
    
52.             if (ioctl (fd, LWFW_DENY_IP, inet_addr (optarg)) == -1)
    
53.             {
    
54.                 printf ("ioctl LWFW_DENY_IP fail\n");
    
55.                 goto error;
    
56.             }
    
57.             break;
    
58.         case 'p': //Port
    
59.             port=(unsigned short)atoi(optarg);
    
60.             port=htons(port);
    
61.             if (ioctl (fd, LWFW_DENY_PORT,port) == -1)
    
62.             {
    
63.                 printf ("ioctl LWFW_DENY_PORT fail!\n");
    
64.                 goto error;
    
65.             }
    
66.             break;
    
67.         case 'f': //Interface
    
68.             if (ioctl(fd, LWFW_DENY_IF, optarg) == -1)
    
69.             {
    
70.                 printf("ioctl LWFW_DENY_IF fail!\n");
    
71.                 goto error;
    
72.             }
    
73.             break;
    
74.         case 'g': //Get Stats
    
75.             if (ioctl (fd, LWFW_GET_STATS, (unsigned long *) &data) == -1)
    
76.             {
    
77.                 printf ("iotcl LWFW_GET_STATS fail!\n");
    
78.                 goto error;
    
79.             }
    
80.             printf ("if dropped : %u\n", data.if_dropped);
    
81.             printf ("ip dropped : %u\n", data.ip_dropped);
    
82.             printf ("tcp dropped : %u\n", data.tcp_dropped);
    
83.             printf ("total dropped : %lu\n", data.total_dropped);
    
84.             printf ("total seen: %lu\n", data.total_seen);
    
85.             break;
    
86.         default:
    
87.             print_help();
    
88.             return 1;
    
89. 
    
90.         }
    
91.     }
    
92. 
    
93.     close (fd);
    
94.     return 0;
    
95. error:
    
96.     close (fd);
    
97.     return 1;
    
98. }
    
99. 
    
100. void print_help()
     
101. {
     
102.         printf("lwfwtables -[a|d|g] -[i:ip | f:NIC | o:Port]\n");
     
103.         printf("Note: You Should Run lwfwtables -a First to active lwfw.\n");
     
104. }
     
105. 
     

复制代码

[ 本帖最后由 CUDev 于 2007-8-7 22:15 编辑 ]

sohu2000000

谢谢楼主  :wink:

duanjigang

2008-01-08收到yaoyixiong2005 <yaoyixiong2005@126.com>来信如下：
文中的程序是在2.4的内核编译，我的内核版本是2.6
   1. 在2.6内核下编译lwfw.c 提示 MOD_INC_USE_COUNT,MOD_INC_DEC_COUNT未定义（详见邮件的附注A），不知道是不是内核版本不一样的问题？如果2.6版本的内核把这两个东西去掉了，这两个东西是在2.4内核版本下哪个头文件里定义的？？
   2.（A.4 译者添加的测试程序
下面是译者自己在学习时写的一个对LWFW的过滤规则进行设置和改动的例子，你也可以对此段代码进行修改，当模块成功加载之后，建立一个字符设备文件，然后这个程序就能运行了。）这是你在文中加的内容
    您写的那个程序运行的时候提示 open fail，应该是上面的提示中说建立一个字符设备文件出问题，请教如何建立字符设备文件？？
   3.另我在2.6版本上运行文中nfsniff.c中出现skbuff.h中没有mac.ethernet东东，提示没有这个union，2.6的skbuffer只有 unsigned char *raw，把ethernet给去掉了。不知道如何解决。
下帖回复。

duanjigang

(1):MOD_INC_USE_COUNT,MOD_INC_DEC_COUNT未定义
模块引用计数的递增宏和递减宏在2.6中已经不需要，可以直接删除或者注释掉。
    网上有文如下，可以参考下：
   In 2.4 and prior kernels, modules maintained their "use count" with macros like MOD_INC_USE_COUNT.
The use count, of course, is intended to prevent modules from being unloaded while they are being used.
This method was always somewhat error prone, especially when the use count was manipulated inside the
module itself. In the 2.6 kernel, reference counting is handled differently.
在2.4及其之前的内核里，模块（们）使用宏 MOD_INC_USE_COUNT 维护它们的“用户计数”。用户计数目的在于防
止当模块在使用时被卸载掉。这种方法常常易于出错的，特别是当用户计数被模块自己本身所维护时。在kernle2.6里，
对模块的引用计数（译者：引用计数和模块计数在这里是相同的意思）的处理方法和之前完全不同了。
The only safe way to manipulate the count of references to a module is outside of the module's code.
Otherwise, there will always be times when the kernel is executing within the module, but the reference
count is zero. So this work has been moved outside of the modules, and life is generally easier for
module authors.
对模块的使用唯一的安全方法是在模块之外维护其使用计数，否则，会经常出现这样的情况：当内核正在执行模块时，
而模块的使用计数却是0。因此，这项工作被移植到模块之外，对于模块的编写者来说他们的生活将轻松一些了.

(2):如何建立字符设备文件？
     这个在lwfw随附的makefile中可以看到: mknod lwfw c 100 0 就实现了。
      关于mknod的具体用法，相关文档应该有很多的说明了，man mknod可以看到
       mknod [选项]... 名称 类型 [主设备号 次设备号] c表示字符设备char b表示块设备block 等等。

[ 本帖最后由 duanjigang 于 2008-1-11 00:01 编辑 ]

duanjigang

(3):关于2.4内核和2.6内核中sk_buff结构体差异引起的问题
2.4中sk_buff定义为:（include\linux\skbuff.h中）

1. 
   
2. struct sk_buff {
   
3.         /* These two members must be first. */
   
4.         struct sk_buff        * next;                        /* Next buffer in list                                 */
   
5.         struct sk_buff        * prev;                        /* Previous buffer in list                         */
   
6. 
   
7.         struct sk_buff_head * list;                /* List we are on                                */
   
8.         struct sock        *sk;                        /* Socket we are owned by                         */
   
9.         struct timeval        stamp;                        /* Time we arrived                                */
   
10.         struct net_device        *dev;                /* Device we arrived on/are leaving by                */
    
11.                 。。。。。。。。。。。。。
    
12.            /* Link layer header */
    
13.         union
    
14.         {       
    
15.                   struct ethhdr        *ethernet;
    
16.                   unsigned char         *raw;
    
17.         } mac;
    
18.                 。。。。。。。。。。。。。
    
19.        

复制代码

在2.6中sk_buff定义如下：

1. 
   
2. struct sk_buff {
   
3.         /* These two members must be first. */
   
4.         struct sk_buff        * next;                        /* Next buffer in list                                 */
   
5.         struct sk_buff        * prev;                        /* Previous buffer in list                         */
   
6. 
   
7.         struct sk_buff_head * list;                /* List we are on                                */
   
8.         struct sock        *sk;                        /* Socket we are owned by                         */
   
9.         struct timeval        stamp;                        /* Time we arrived                                */
   
10.         struct net_device        *dev;                /* Device we arrived on/are leaving by                */
    
11.                 。。。。。。。。。。。。。
    
12.            /* Link layer header */
    
13.         union
    
14.         {       
    
15.                   unsigned char         *raw;
    
16.         } mac;
    
17.                 。。。。。。。。。。。。。
    
18.        

复制代码

注意到2.6内核中的sk_buff结构体的mac联合成员中少了一个成员
struct ethhdr        *ethernet
所以原来的代码在2.6中编译时会提示错误说
ethernet
未定义
mac中没有成员ethernet，但是由于ethernet和raw描述的是同一块数据：ethernet是用指定的数据结构来描述链路层的报文头，而raw作为一个char指针，也指向链路层的报文头。所以，只需要对原来的代码中的ethernet
用raw的表达式替换就行。
替换如下：
(1):282行

1. sb->data = (unsigned char *)sb->mac.ethernet;

复制代码

替换为

1. sb->data = (unsigned char *)sb->mac.raw;

复制代码

(2):287,288,290行的

1. 
   
2. sb->mac.ethernet->h_dest
   

复制代码

1. 
   
2. memcpy((sb->mac.ethernet->h_dest), (sb->mac.ethernet->h_source),
   

复制代码

1. 
   
2. memcpy((sb->mac.ethernet->h_source),
   

复制代码

替换为：

1. 
   
2. sb->mac.raw
   

复制代码

1. 
   
2. memcpy((sb->mac.raw), (sb->mac.raw + 6),
   

复制代码

1. 
   
2. memcpy((sb->mac.raw + 6),
   

复制代码

因为raw指向链路层头，则sb->mac.raw表示目的MAC地址，sb->mac.raw + 6 表示源地址。
这样就好了
准带附上2.6下的Makefile

1. 
   
2. #Author: duanjigang <[email]duanjigang1983@126.com[/email]> <[email]duanjigang@hotmail.com[/email]>
   
3. #Date:  2006-5-12 2008-01-11l凌晨更新for kernel 2.6
   
4. #DESP: A FTP user and passwd get sniffer
   
5. TARGET = nsniffer
   
6. obj-m := $(TARGET).o
   
7. KERNELDIR=/lib/modules/`uname -r`/build
   
8. PWD=`pwd`
   
9. default:
   
10.         $(MAKE) -C $(KERNELDIR) M=$(PWD) modules
    
11. install:
    
12.         insmod $(TARGET).ko
    
13.         gcc -o get getpass.c
    
14. clean:
    
15.         rm -fr *.ko *.o
    
16.         rmmod $(TARGET)
    

复制代码

[ 本帖最后由 duanjigang 于 2008-1-11 09:27 编辑 ]

platinum

skb 中的数据是不是在内存中连续存放的？
mac 后面是不是就是 IP 头了，IP 头后面是不是就直接是 TCP/UDP/ICMP/IGMP 头？我始终有这个迷惑

capable

原帖由 platinum 于 2008-1-11 15:52 发表
skb 中的数据是不是在内存中连续存放的？
mac 后面是不是就是 IP 头了，IP 头后面是不是就直接是 TCP/UDP/ICMP/IGMP 头？我始终有这个迷惑

为什么你有这个疑惑呢？^_^

对了，我们可不可以继续探讨sk_buff结构中的data在各个不同的钩子点究竟是指向哪一层的数据头？


谢谢。^_^