对linux系统下端口复用技术.pptVIP

中国安天实验室 3．通过过滤系统调用实现端口复用－程序实现 如前所述，kernel_thread()实际是调用clone，这样，如果调用参数flags为0，则表示要复制（而不是指针共享）其内核结构，这些内核结构包括：mm_struct结构、files_struct结构、fs_struct结构、k_sigaction结构。当然我们最关心的是files_struct结构，其相应的标志位是CLONE_FILES。 由于我们在要改变fs_struct结构中的两个位图：close_on_exec和open_fds，为了不影响父进程的正常运行，需要把该位设置为0。 中国安天实验室 3．通过过滤系统调用实现端口复用－程序实现 (3)我们的内核函数exe_func（）如下 : #define MAX_ARG 32 static int exe_func(int fd) { char arg[MAX_ARG]; bzero(arg, MAX_ARG); my_itoa(fd, arg); clr_fd( fd ); set_fs(KERNEL_DS); ret = execve(my_program, arg, 0); if(ret 0) return -1; return 0; } 中国安天实验室 3．通过过滤系统调用实现端口复用－程序实现 (4)函数clr_fd()的功能是对位图close_on_exec的相应位进行清0。其代码如下： #define FD_SET(fd,fdsetp) \ __asm__ __volatile__(btsl %1,%0: \ =m (*(__kernel_fd_set *) (fdsetp)):r ((int) (fd))) #define FD_CLR(fd,fdsetp) \ __asm__ __volatile__(btrl %1,%0: \ =m (*(__kernel_fd_set *) (fdsetp)):r ((int) (fd))) 注：汇编语句btrl的作用是对操作数的一个位进行清除。btsl的作用是对操作数的一位置1。 中国安天实验室 3．通过过滤系统调用实现端口复用－程序实现 void clr_fd(fd) { struct file *file; file = fget(fd); FD_SET(fd, file-open_fds); FD_CLR(fd, file-close_on_exec); fput(file); return; } 中国安天实验室 3．通过过滤系统调用实现端口复用－程序实现 (5)我们的用户空间程序如下： /* my_program */ ＃include stdio.h …… int main(int argc, char *argv[]) { int fd = atoi(argv[1]); …… } 中国安天实验室 谢 谢 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 中国安天实验室 对linux系统下端口复用技术的一些理解和认识 noble_shi@21 中国安天实验室 1．涉及到的内容 本文涉及到的内容有：内存管理、系统调用、进程调度、文件系统、socket内核结构、协议栈的内核实现、ELF文件结构、ELF文件装载过程。 中国安天实验室 2.设计方案 1） 过滤驱动 对linux系统的网卡驱动进行过滤，这种技术设计到可安装内核模块技术、网卡驱动原理和中断技术等，实现起来较为复杂，而且对内核版本要求较高，如果长期运行，还可能造成系统内核的不稳定。 同时还设计到拆包、组包过程，如果要对大文件进行传输或要保证客户－服务器双方的可靠通信，要付出很大代价。 中国安天实验室 2.设计方案 2） 过滤协议栈 可以对TCP/IP协议栈进行过滤，而且linux系统也提供内核钩子，支持对内核的过滤。这样实现难度较小，造成系统不稳定的可能性比方案1要小的多。 中国安天实验室 2.设计方案 3） 过滤系统调用 这种方法是典型的LKMs后门程序的实现原理，对用于网络通信的系统调用进行过滤。 这种方法不用深入协议栈，实现起来简洁有效，后面有详细介绍。 中国安天实验室 2.设计方案 4） 修改sock结构 先在用户空间任意创建一个处于连接状态的socket对，然后修改内核的sock结构，如：socksock.daddr，sock.dport，sock.sport等。这样，就相当于和