内核数据包处理VIP免费

数据包处理的一些建议前言我们大部分功能都需要解析数据，进行一系列的包匹配完成，但是目前，我们没有一个很好的框架来简化这个过程，大家处理数据包都是采用原生的linux内核接口，并且没有统一的规范要求如何使用这些接口，所以，存在大量的陷阱，一不留神就造成宕机。获取IP头部1）__netif_receive_skb()在进入三层处理前就对network_header进行了设置。2）ip_rcv()中详细的检查保证了IP头部到netfilter后是完整的。3）netfilter可以尽情使用ip头部。获取tcp头部错误1：陷阱：netfilter的钩子点是属于TCP/IP协议栈的三层流程中，而四层的TCP头部此时还没有正确获取，只是初始化为IP头部的值，无法直接使用。错误2：陷阱：structsk_buff{......sk_buff_data_ttransport_header;/*Transportlayerheader*/sk_buff_data_tnetwork_header;/*Networklayerheader*/sk_buff_data_tmac_header;/*Linklayerheader*/......}iph=ip_hdr(skb);tcph=tcp_hdr(skb);tcph=(char*)iph+(iph->ihl<<2);数据包可能是非线性的改进：接口介绍：计算三层头部相对于skb->data的偏移从skb的指定偏移取制定长度的数据，如果要取的数据位于线性区，直接返回其开始指针，否则，则拷贝到buffer中，并将buffer指针返回。tcpoff=skb_network_offset(skb)+(iph->ihl<<2);tcph=skb_header_pointer(skb,tcpoff,sizeof(_tcph),&_tcph);if(tcph==NULL)return;skb_network_offset(structskb_buff*skb)void*skb_header_pointer（structsk_buff*skb,intoffset,intlen,void*buffer)打印信息注意要点：1）IP地址输出Ipv4：%pI4%pi4IPv6：%pI6%pi62)MAC地址%pM%pm3)字节序的转换ntohs()ntohl()htons()htonl()__const_ntohl()__const_ntohs()__const_htonl()__const_htons()区别：__const_*()是编译时处理的。获取TCP负载风险：陷阱1：数据包可能是非线性的，同TCP头部。陷阱2:TCP头部数据有可能是被篡改过的，tcph->doff如果很大怎么办?改进1：printk("%pI4%d----->%pI4%dlen:%dID:%d\n",&iph->saddr,ntohs(tcph->source),&iph->daddr,ntohs(tcph->dest),ntohs(iph->tot_len),ntohs(iph->id));payload=(char*)tcph+tcph->doff*4;tcplen=skb->len-tcpoff;if(tcph->doff*4doff*4){printk("Badtcp.\n");returnNF_ACCEPT;}if(skb_is_nonlinear(skb)){printk("Nonlinearskb.\n");returnNF_ACCEPT;}payload=(char*)tcph+tcph->doff*4;payload_len=tcplen-tcph->doff*4;if(payload_len==0)returnNF_ACCEPT;接口介绍：判断skb的数据是否是非线性的改进2：改进3：tcplen=skb->len-tcpoff;if(tcph->doff*4doff*4){printk("Badtcp.\n");returnNF_ACCEPT;}if(skb_is_nonlinear(skb)){printk("Nonlinearskb.\n");returnNF_ACCEPT;}payload=(char*)tcph+tcph->doff*4;payload_len=tcplen-tcph->doff*4;if(payload_len==0)returnNF_ACCEPT;intskb_is_nonlinear(structsk_buff*skb)charpayload_buf[1500];tcplen=skb->len-tcpoff;if(tcph->doff*4doff*4){printk("Badtcp.\n");returnNF_ACCEPT;}payload_len=tcplen-tcph->doff*4;if(payload_len==0)returnNF_ACCEPT;if(payload_len>sizeof(payload_buf))returnNF_ACCEPT;payload=skb_header_pointer(skb,tcpoff+tcph->doff*4,payload_len,payload_buf);if(payload==NULL)returnNF_ACCEPT;tcplen=skb->len-tcpoff;if(tcph->doff*4doff*4){printk("Badtcp.\n");returnNF_ACCEPT;}if(skb_linearize(skb)){printk("Cannotlinearizeskb.\n");returnNF_ACCEPT;}payload=(char*)tcph+tcph->doff*4;payload_len=tcplen-tcph->doff*4;if(payload_len==0)returnNF_ACCEPT;接口介绍：将skb线性化解析数据1）判断数据包内容风险1：风险2：陷阱：如果payload的长度只有1个字节怎么办？改进：2)查找数据包中的某个字符串风险：陷阱：可能会越界，数据包不一定是以'\0'结束。改进：一定要使用这一系列的函数：strnchrstrncpyintskb_linearize(structsk_b...