2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制
来源:互联网 发布:买家淘宝怎么刷心快 编辑:程序博客网 时间:2024/05/22 06:42
征战论文的途中,以前公司的人来找我说要给之前我设计的网络内容过滤产品添加一个功能,只允许使用了我们产品的用户才能访问某教育局提供的视频教育资源。相比写论文,这种工程复杂性接近于O(1)或顶多是O(t)。 有两种方法可以实现:
1)在产品中添加VPN功能,将所有用户虚拟成一个局域网,需要做较多工作,虽然可以向公司要一笔钱,但眼下确实没时间了,可惜啊!
2)在用户出口,在产品上给去往教育局视频资源网站的访问流打一个标签,并在教育局网站前端以透明网桥方式加入我们的产品,并检查访问流是否有特殊的标签 决定是否放行。该方法比较简单,原来想是修改http请求头,加入一个特殊fingerprint,有点复杂,需要在内核做字符串匹配,每个包都需要判断 是否是HTTP的GET请求,后来直接在TCP包头上加入一个特殊标记,利用tcp的保留位置入一个特殊标记。
实现:基于NETFILTER的数据包处理框架,和2.6的内核模块,代码如下:
用户端打标签程序:
- /*
- * author: xiongyp86 at 163 dot com
- * insmod gt_client.ko markdport=80 markdip="192.168.1.26"
- */
- #include <linux/netfilter.h>
- #include <linux/netfilter_ipv4.h>
- #include <linux/module.h>
- #include <linux/moduleparam.h>
- #include <linux/kernel.h>
- #include <linux/inet.h>
- #include <linux/ip.h>
- #include <linux/tcp.h>
- #include <net/checksum.h>
- #include <net/tcp.h>
- #include <net/ip.h>
- MODULE_LICENSE("GPL");
- MODULE_AUTHOR("Xiong");
- static char * markdip= "192.168.1.1";
- static unsigned short markdport=10000;
- module_param(markdport,ushort,S_IRUSR);
- module_param(markdip,charp,S_IRUSR);
- #define PRINT(fmt,args...) printk("Marker: " fmt, ##args)
- unsigned int hook_mark_packet(unsigned int hookunm,struct sk_buff **skb,
- const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *))
- {
- struct iphdr *iph;
- struct tcphdr *tcph;
- int datalen;
- iph=(struct iphdr *)(*skb)->nh.iph;
- /*PRINT("IP: [%u.%u.%u.%u]-->[%u.%u.%u.%u]",NIPQUAD(iph->saddr),NIPQUAD(iph->daddr));*/
- if(iph->daddr == in_aton(markdip))
- {
- if(iph->protocol==6)
- {
- tcph=(struct tcphdr*)((__u32 *)iph+iph->ihl);
- if(ntohs(tcph->dest) == markdport)
- {
- tcph->res1 = 5; /*修改tcp保留位*/
- /* PRINT("IP: [%u.%u.%u.%u]-->[%u.%u.%u.%u]:%d/n",NIPQUAD(iph->saddr),NIPQUAD(iph->daddr),ntohs(tcph->res1));*/
- ip_send_check(iph); /*重新计算IP包头校验和,这一步貌似并不需要,因为IP包校验和只与IP包头有关*/
- datalen = (*skb)->len - iph->ihl*4;
- tcph->check = 0;
- /*重新计算TCP包头校验和,这一步很需要,否则会被接收端丢弃,TCP包校验和不仅涉及包头也包括payload*/
- tcph->check = tcp_v4_check(tcph, datalen, iph->saddr, iph->daddr,
- csum_partial((char *)tcph, datalen, 0));
- }
- }
- }
- return NF_ACCEPT;
- }
- static struct nf_hook_ops nfho_marker;
- static int init_marker(void)
- {
- nfho_marker.hook=hook_mark_packet;
- nfho_marker.hooknum=NF_IP_POST_ROUTING; /* check all forwarded packets*/
- nfho_marker.pf=PF_INET;
- nfho_marker.priority=NF_IP_PRI_LAST;
- nf_register_hook(&nfho_marker);
- PRINT("Initialized successfully, and we mark packet to %s:%u/n",markdip,markdport);
- return 0;
- }
- static void exit_marker(void)
- {
- PRINT("Exit/n");
- nf_unregister_hook(&nfho_marker);
- }
- module_init(init_marker);
- module_exit(exit_marker);
教育局网站前端代码也类似,核心hook函数修改:
- /*
- * author: xiongyp86 at 163 dot com
- * insmod gt_server.ko markdport=80 markdip="192.168.1.26"
- */
- #include <linux/netfilter.h>
- #include <linux/netfilter_ipv4.h>
- #include <linux/module.h>
- #include <linux/moduleparam.h>
- #include <linux/kernel.h>
- #include <linux/inet.h>
- #include <linux/ip.h>
- #include <linux/tcp.h>
- MODULE_LICENSE("GPL");
- MODULE_AUTHOR("Xiong");
- static char * markdip= "192.168.1.1";
- static unsigned short markdport=10000;
- module_param(markdport,ushort,S_IRUSR);
- module_param(markdip,charp,S_IRUSR);
- #define PRINT(fmt,args...) printk("Marker: " fmt, ##args)
- unsigned int hook_mark_packet(unsigned int hookunm,struct sk_buff **skb,
- const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *))
- {
- struct iphdr *iph;
- struct tcphdr *tcph;
- iph=(struct iphdr *)(*skb)->nh.iph;
- /*PRINT("IP: [%u.%u.%u.%u]-->[%u.%u.%u.%u]",NIPQUAD(iph->saddr),NIPQUAD(iph->daddr));*/
- if(iph->daddr == in_aton(markdip))
- {
- if(iph->protocol==6)
- {
- tcph=(struct tcphdr*)((__u32 *)iph+iph->ihl);
- if(ntohs(tcph->dest) == markdport)
- {
- PRINT("Drop IP: [%u.%u.%u.%u]-->[%u.%u.%u.%u]:%u,%u/n",NIPQUAD(iph->saddr),NIPQUAD(iph->daddr),ntohs(tcph->dest), ntohs(tcph->res1));
- if(tcph->res1 == 0) /*这里是校验tcp 保留位*/
- {
- return NF_DROP;
- }
- }
- }
- }
- return NF_ACCEPT;
- }
- static struct nf_hook_ops nfho_marker;
- static int init_marker(void)
- {
- nfho_marker.hook=hook_mark_packet;
- nfho_marker.hooknum=NF_IP_PRE_ROUTING; /* check all forwarded packets*/
- nfho_marker.pf=PF_INET;
- nfho_marker.priority=NF_IP_PRI_FIRST;
- nf_register_hook(&nfho_marker);
- PRINT("Initialized successfully, and we mark packet to %s:%u/n",markdip,markdport);
- return 0;
- }
- static void exit_marker(void)
- {
- PRINT("Exit/n");
- nf_unregister_hook(&nfho_marker);
- }
- module_init(init_marker);
- module_exit(exit_marker);
编译Makefile:
ifneq ($(KERNELRELEASE),)
obj-m := gt_client.o gt_server.o
else
KERNELDIR = /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
$(MAKE) -C $(KERNELDIR) M=$(PWD) modules
endif
insmod gt_server/client.ko markdport=80 markdip="123.123.123.123"
- 2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制
- 2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制
- 2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制
- 2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制
- 内核基于NetFilter处理框架修改TCP数据包实现访问控制
- 数据包在内核态的捕获、修改和转发(基于netfilter)
- 基于TILE-GX实现快速数据包处理框架-netlib实现分析
- netfilter-在内核态操作网络数据包
- linux 内核netfilter实现
- Netfilter框架通过hook捕获数据包
- Netfilter框架通过hook捕获数据包
- 基于RBAC访问控制框架Shiro简介
- TCP拥塞控制算法内核实现剖析
- TCP拥塞控制算法内核实现剖析
- Linux内核--基于Netfilter的内核级包过滤防火墙实现
- Linux内核--基于Netfilter的内核级包过滤防火墙实现
- Linux内核--基于Netfilter的内核级包过滤防火墙实现
- Linux内核--基于Netfilter的内核级包过滤防火墙实现
- 解决ListView 显示切换定位到指定索引,因为视图重绘导致的界面闪动,使界面过渡更平滑
- Android wifi 连接问题
- shell中单引号、双引号、反引号的使用
- Java中的推送
- IE下判断IE版本的语句...[if lte IE 6]……[endif]
- 2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制
- 解决uboot编译问题__aeabi_uidivmod'和o `__aeabi_uidiv'没定义的错误
- 设计模式 - 抽象工厂模式(abstract factory pattern) 详解
- C++primer Plus 第六版 编程练习3.7.1
- 51单片机定时器详解
- 智力题
- 有关“双重检查锁定失效”的说明
- 正则表达式30分钟入门教程
- C++ Primer Plus 编程练习3.7.2