利用netfilterNFQUEUE实现网关认证的.PDFVIP

利用netfilter NFQUEUE实现网关认证的 HTTP重定向 张焕杰 james@ 中国科学技术大学网络信息中心 Portal认证与802.1X认证 Portal认证 不需要专用客户端，系统兼容性强 管理比较粗放 802.1X认证 一般需要客户端软件 管理更细致 基于Linux的Portal认证系统示意图 TCP三次握手 client server SYN，SEQ=X SYN/ACK，SEQ=Y，ACK=X+1 ACK，SEQ=X+1，ACK=Y+1，GET URL ACK/PSH/FIN，SEQ=Y+1，ACK=X+1+len，HTTP response ACK/FIN，SEQ=X+1+len，ACK=Y+1+len ACK/FIN，SEQ=Y+1+len，ACK=X+1+len+1 基于Linux的Portal认证系统示意图 redir_http是用户态重定向 程序，解决了以下问题 ?如何捕获②数据包 ?如何发出③数据包 ?如何完成④过程 捕获未认证用户的tcp 80数据包 利用iptables规则，将未认证流量利用NFQUEUE机制 发给重定向程序 iptables –A FORWARD –j ACCEPT –m ipright iptables –A FORWARD –j NFQUEUE –p tcp ––dport 80 –i eth0 iptables –A FORWARD –j DROP 其中ipright是在Linux kernel中开发的模块，匹配已认证 用户发出的数据包 Eth0是网关连接校园网的接口，来自这个接口的未认证 用户发出的数据包利用NFQUEUE交给用户态进程 redir_http继续处理 Redir_http程序获取数据包的方法 redir_http是运行在用户态空间（user-space）的进程，利用 libnetfilter_queue接收未认证用户发往TCP 80端口的数据包 程序启动时建立netfilter_queue，进入接收未认证用户数据包循 环 qh = nfq_create_queue(h, qid, cb, NULL); nfq_set_mode(qh, NFQNL_COPY_PACKET, 0xffff)； while (1) { rv = recv(fd, buf, sizeof(buf), 0); if(rv 0) nfq_handle_packet(h, buf, rv); } buf里就是未认证用户发出的tcp 80数据包 基于Linux的Portal认证系统示意图 redir_http是用户态重定向 程序，解决了以下问题 ?如何捕获②数据包 ?如何发出③数据包 ?如何完成④过程 使用raw socket发送应答数据包的做法 程序redir_http启动后，建立不接收任何数据包的原始套接字，供 将来发送应答数据包使用： const int on = 1; sockfd=socket(AF_INET,SOCK_RAW,IPPROTO_RAW)； setsockopt(sockfd,IPPROTO_IP,IP_HDRINCL,on,sizeof(on))； 发送方式 buf里是完整的ip数据包 to.sin_addr.s_addr = dest_ipaddr; to.sin_family = AF_INET; to.sin_port = dest_tcpport; sendto(sockfd,buf,npkt_len,0,(const struct sockaddr *)to, sizeof(to)); 基于Linux的Portal认证系统示意图 redir_http是用户态重定向 程序，解决了以下问题 ?如何捕获②数据包 ?如何发出③数据包 ?如何完成④过程 用户重定向的实现 当未认证用户访问url时，给出如下的响应 HTTP/1.1 200 OK\r\n Content-Type: text/html; charset=iso-8859-1\r\n Connection: close\r\n\r\n htmlheadtitleredirecting to http://PH/title\n /headbodyh1redirecting to http://PH/h1\n script language=javascript window.location.href =http://PH/cgi-bin/ip?url=URL;/script predirecting to a href=http://PH/http://PH//a./p /body/html 上述PH是Portal页面服务器的主机名 通过这种javascript来完成重定向，可以极大减少