内核数据包处理.docxVIP

内核数据包处理 数据包处理的一些建议 前言 我们大部分功能都需要解析数据，进行一系列的包匹配完成，但是目前，我们没有一个很好的框架来简化这个过程，大家处理数据包都是采用原生的linux内核接口，并且没有统一的规范要求如何使用这些接口，所以，存在大量的陷阱，一不留神就造成宕机。 获取IP头部 iph = ip_hdr(skb); struct sk_buff { ...... sk_buff_data_t sk_buff_data_t sk_buff_data_t ...... } transport_header; network_header; mac_header; /* Transport layer header */ /* Network layer header */ /* Link layer header */ 1）__netif_receive_skb()在进入三层处理前就对network_header进行了设置。 2）ip_rcv()中详细的检查保证了IP头部到netfilter后是完整的。 3）netfilter可以尽情使用ip头部。 获取tcp头部 错误1： tcph = tcp_hdr(skb); 陷阱： netfilter的钩子点是属于TCP/IP协议栈的三层流程中，而四层的TCP头部此时还没有正确获取，只是初始化为IP头部的值，无法直接使用。 错误2： tcph = (char *)iph + (iph-ihl 2); 陷阱： 数据包可能是非线性的 sk_buff...headdatatailend...FragsFragsTCP 头部Tail roomHead roomIP头部 改进： tcpoff = skb_network_offset(skb) + (iph-ihl 2); tcph = skb_header_pointer(skb, tcpoff, sizeof(_tcph), _tcph); if (tcph == NULL) return; 接口介绍： skb_network_offset(struct skb_buff *skb) 计算三层头部相对于skb-data的偏移 void * skb_header_pointer（struct sk_buff *skb, int offset, int len, void *buffer) 从skb的指定偏移取制定长度的数据，如果要取的数据位于线性区，直接返回其开始指针，否则，则拷贝到buffer中，并将buffer指针返回。 打印信息 printk(\ ID: %d\\n\ iph-saddr, ntohs(tcph-source), iph-daddr, ntohs(tcph-dest), ntohs(iph-tot_len), ntohs(iph-id)); 注意要点： 1） IP地址输出 Ipv4：%pI4 %pi4 IPv6：%pI6 %pi6 2) MAC地址 %pM %pm 3)字节序的转换 ntohs() ntohl() htons() htonl() __const_ntohl() __const_ntohs() __const_htonl() __const_htons() 区别：__const_*()是编译时处理的。 获取TCP负载 风险： payload = (char *)tcph + tcph-doff * 4; 陷阱1： 数据包可能是非线性的，同TCP头部。 陷阱2: TCP头部数据有可能是被篡改过的，tcph-doff如果很大怎么办? 改进1： tcplen = skb-len - tcpoff; if (tcph-doff*4 sizeof(struct tcphdr) || tcplen tcph-doff*4) { printk(\ return NF_ACCEPT; } if (skb_is_nonlinear(skb)) { printk(\ return NF_ACCEPT; } payload = (char *)tcph + tcph-doff * 4; payload_len = tcplen - tcph-doff * 4; if (payload_len == 0) return NF_ACCEPT; 接口介绍：