请教netfliter 与tcpdump冲突的问题;

mtx99

我有一个网络分析的程序, hooknum 是  NF_IP_PRE_ROUTING  如下:
    pfho.hook      = hook_func;
    pfho.hooknum   = NF_IP_PRE_ROUTING;
    pfho.pf        = PF_INET;
    pfho.priority  = 200;
   
    要实现的功能是将 网络的数据报文接受到 做分析,  接收到的结构:sk_buff  中的报文信息, 读取 到程序中做处理,然后将处理完的数据包调用:return NF_ACCEPT;  没有网数据包中写的操作.


    现在遇到的问题是,程序运行没问题, 但是在运行过程中 调用 tcpdump -i eth1  抓取流量上来的网卡时  系统就会 crash掉.

    分析了很久没找到答案, 大家遇到类似情况的吗?

Godbach

回复 1# mtx99
你给的这些信息不够全面，不太好判断

mtx99

程序做的就是分析 sk_buff  把 报文信息记录下来,通过ring送到用户态程序处理.

程序并不改变sk_buff 的内容.做的是只读操作.

但是tcpdump抓取 有流量的网卡数据包时 ,机器就死掉了. 没有报错.啥信息也没有.所以没找到原因.


内核版本:linux-2.6.18.i686

Godbach

回复 3# mtx99
可以先试一下 不通过 PF_RING 传数据包，看看机器还会不会挂起

mtx99

实验过了.  机器死掉的地方 操作有 memcpy 将 sk_buff的内容拷到函数内部变量时 容易发生..

看memcpy语句没啥问题. 单独执行也没啥问题.  不过运行过程中 tcpdump 抓包就不行了

Godbach

回复 5# mtx99
你怎么 memcpy 的，skb 的数据不一定是线性的，这个你做判断或者处理了吗

VIP_fuck

这回我猜中了.有进步.

Godbach

回复 7# VIP_fuck

不带这样潜水的啊。

我也只是猜测，还是需要验证。

BTW，其实还是建议大家有什么观点，不要担心对与错，尽量及时交流出来，明辨之后，互相进步的才会更快。

mtx99

比如这个函数:中的memcpy  就是将上一个hook函数中 穿过来的 tuple指针 拷贝到一个局部变量中.

static int handle_tcp_udp_node(struct sk_buff *pskb,
                        char* tcp,
                        TcpTuple* tuple)
{
    TcpUdpInfo tinfo;

    memset(&tinfo, 0, sizeof(TcpUdpInfo));
   
    memcpy(&tinfo.tuple, tuple, sizeof(TcpTuple));
   
    如果用memcpy  运行中调用tcpdump就死机

如果换成一下逐个变量赋值 这个点上就不会出问题;
   
    tinfo.tuple.srcIP  =tuple->srcIP  ;
    tinfo.tuple.desIP  =tuple->desIP  ;
    tinfo.tuple.srcPort=tuple->srcPort;
    tinfo.tuple.desPort=tuple->desPort;

不知道为什么这个程序运行中 再调用  tcpdump 会导致死机

VIP_fuck

回复 8# Godbach


    我这点能耐可不敢乱说.猜中了就得瑟下.哈哈.