4156
社区成员
netfilter 计算tcp校验和不对
netfile注册钩子函数拦截tcp协议数据包,
钩子函数里不修改tcp数据,只是重新计算下tcp的校验和tcph->check
使用各种方式,打印的结果始终与它原始值不同:
int tcpl1=ntohs(iph->tot_len)- iph_len;
int tcpl2= skb->len - iph->ihl*4;
int nc= csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl1,iph->protocol,skb->csum);
int nc2 = csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl2, iph->protocol, skb->csum);
int nca = csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl2, iph->protocol, csum_partial((unsigned char*)tcph, tcpl2, 0));
int nc5 = csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl2, iph->protocol, 0);
int datalen=skb->len - iph->ihl*4;
int nc1 = tcp_v4_check(skb->len, iph->saddr, iph->daddr,csum_partial(tcph, tcph->doff << 2, skb->csum));
int nc4 = tcp_v4_check(skb->len, iph->saddr, iph->daddr,csum_partial(tcph, tcph->doff << 2, 0));
int tcplen = (skb->len - (iph->ihl << 2));/* tcplen is the length of the skb - the ip-header length */
int nc3 = tcp_v4_check(tcplen,iph->saddr,iph->daddr,csum_partial((char*) tcph, tcplen, 0));
inet_proto_csum_replace2(&tcph->check, skb,htons(tcpl2),htons(tcpl2),1);
int nc6=tcph->check;
inet_proto_csum_replace2(&tcph->check, skb,htons(tcpl2),htons(tcpl2),0);
int nc7=tcph->check;
csum_replace4(&iph->check, iph->saddr, iph->saddr);
int nc8=iph->check;
csum_replace2(&iph->check, iph->saddr, iph->saddr);
int nc9=iph->check;
printk("DBG_TCP2 seq=%u data l=%d c %d->[%d,%d,%d,%d,%d,%d,%d,%d,%d,%d,%d] sc %d->[%d,%d] f=%d sl=%d t1=%d t2=%d\n",tcph->seq,tcpdata_len,oc,nc,nc1,nc2,nc3,nc4,nc5,nc6,nc7,nc8,nc9,nca,osc,nsc,nsc1,skb->ip_summed,skb->len,tcpl1,tcpl2);
打印结果:
[85701.884863] DBG_TCP2 seq=3165173543 data l=902 c 44208->[21027,61387,21027,14108,61687,21327,65535,65535,15908,15908] sc 1048860->[-1456377087,-1456377087] f=3 sl=942 t1=922 t2=922
[85701.884872] DBG_TCP data=GET /hm.gif?cc=0&ck=1&cl=24-bit&ds=1920x1080&ep=6271223%2C6758&et=3&fl=16.0&ja=1&ln=zh-CN&lo=0<=1449197051&nv=0&rnd=941503683&si=0ee5e8cdc4d43389b3d1bfd76e83216b&st=4&v=1.1.20&lv=3 HTTP/1.1
到底哪里不对?谁帮忙给个类似可以计算正确的代码?
钩子函数里不修改tcp数据,只是重新计算下tcp的校验和tcph->check
使用各种方式,打印的结果始终与它原始值不同:
int tcpl1=ntohs(iph->tot_len)- iph_len;
int tcpl2= skb->len - iph->ihl*4;
int nc= csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl1,iph->protocol,skb->csum);
int nc2 = csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl2, iph->protocol, skb->csum);
int nca = csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl2, iph->protocol, csum_partial((unsigned char*)tcph, tcpl2, 0));
int nc5 = csum_tcpudp_magic(iph->saddr,iph->daddr,tcpl2, iph->protocol, 0);
int datalen=skb->len - iph->ihl*4;
int nc1 = tcp_v4_check(skb->len, iph->saddr, iph->daddr,csum_partial(tcph, tcph->doff << 2, skb->csum));
int nc4 = tcp_v4_check(skb->len, iph->saddr, iph->daddr,csum_partial(tcph, tcph->doff << 2, 0));
int tcplen = (skb->len - (iph->ihl << 2));/* tcplen is the length of the skb - the ip-header length */
int nc3 = tcp_v4_check(tcplen,iph->saddr,iph->daddr,csum_partial((char*) tcph, tcplen, 0));
inet_proto_csum_replace2(&tcph->check, skb,htons(tcpl2),htons(tcpl2),1);
int nc6=tcph->check;
inet_proto_csum_replace2(&tcph->check, skb,htons(tcpl2),htons(tcpl2),0);
int nc7=tcph->check;
csum_replace4(&iph->check, iph->saddr, iph->saddr);
int nc8=iph->check;
csum_replace2(&iph->check, iph->saddr, iph->saddr);
int nc9=iph->check;
printk("DBG_TCP2 seq=%u data l=%d c %d->[%d,%d,%d,%d,%d,%d,%d,%d,%d,%d,%d] sc %d->[%d,%d] f=%d sl=%d t1=%d t2=%d\n",tcph->seq,tcpdata_len,oc,nc,nc1,nc2,nc3,nc4,nc5,nc6,nc7,nc8,nc9,nca,osc,nsc,nsc1,skb->ip_summed,skb->len,tcpl1,tcpl2);
打印结果:
[85701.884863] DBG_TCP2 seq=3165173543 data l=902 c 44208->[21027,61387,21027,14108,61687,21327,65535,65535,15908,15908] sc 1048860->[-1456377087,-1456377087] f=3 sl=942 t1=922 t2=922
[85701.884872] DBG_TCP data=GET /hm.gif?cc=0&ck=1&cl=24-bit&ds=1920x1080&ep=6271223%2C6758&et=3&fl=16.0&ja=1&ln=zh-CN&lo=0<=1449197051&nv=0&rnd=941503683&si=0ee5e8cdc4d43389b3d1bfd76e83216b&st=4&v=1.1.20&lv=3 HTTP/1.1
到底哪里不对?谁帮忙给个类似可以计算正确的代码?
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
TCP校验值的伪头以及校验值计算 按照封包原则,封装到TCP层的时候,ip信息还没有封装上去,但是校验值却需要马上进行计算,所以必须手工构造一个伪头部来表示ip层的信息,怎么构造呢?在数据到tcp层的时候其实用户肯定知道数据发往何处,源地址和
利用netfilter进行TCP数据包的源IP地址修改,修改TCP数据包内容。 刚开始发现TCP三次握手不成功,client发送数据后,通过wireshark抓取数据发现TCP校验和不对,但是server端能够收到tcp三次握手第1包,而且in.ko模块还发送了第2包三次握手包,但是wireshark抓取不到。此时感到...
linux下tcp-ip栈和Netfilter的分析编程 tcp-ip栈代码的详细分析:http://blog.csdn.net/cz_hyf/archive/2006/02/19/602802.aspx NetFilter架构流程 一个数据包按照如下图所示的过程通过Netfilter系统: --->[1]--->[ROUTE]--->[3]--->[4]---> | ^ | | ...
2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制 /*重新计算TCP包头校验和,这一步很需要,否则会被接收端丢弃,TCP包校验和不仅涉及包头也包括payload*/ tcph->check = tcp_v4_check(tcph, datalen, iph->saddr, iph->daddr, csum_partial((char *)tcph, datalen...
linux下的防火墙工具TCP Wrappers|Netfilter简介 Linux下常用的防火墙有TCP Wrappers和Netfilter。 (1)TCP Wrappers TCP Wrappers是通过/etc/hosts.allow和/etc/hosts.deny这两个配置文件来实现一个类似防火墙的机制。 (2)Netfilter Netfilter利用一些...
netfilter 理解 Netfilter概述 Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的...
Linux NAT优化的校验和问题 如果看一下Netfilter的PREROUTING,就知道ip_conntrack依赖ip_defrag,也就是凡是分片的IP片必须重组后才可以进入ip_conntrack进而进入NAT,如果我们希望能针对每一个IP分片来做NAT的话,那就需要动一番脑筋了。...
Netfilter的expect连接的原理和利用 以FTP为例,FTP服务器会将文件传输所用的地址和端口信息作为数据载荷传输到对端的,Linux网关捕获这个数据包,将其解开然后根据FTP的协议规范获取地址和端口信息,随后就生成了一个expect连接。也就说,e
模拟一个TCP数据注入劫持的案例 注意区分几种劫持:DNS劫持HTTP 302劫持TCP注入劫持对于DNS和302,并不是我的强项,我也不是很关注,我主要关注TCP注入,即把脏数据注入到一个TCP流中,这个很容易做到。我先给出一段代码,这个代码就可以完成注入:...
netfilter禁止ping发送 文章目录实验目的功能描述需求分析实验环境实验模块钩子模块钩子函数ping模块IP. . 模块port模块内核交互实验编码OUT钩子函数IN钩子函数sockopt钩子内核初始化Makefile用户测试程序...能够利用Netfilter框架和钩子函数
【Linux内核层】深入netfilter编程 由于【智能路由器】系列系列博客中好几篇文章都用到了netfilter来实现路由器中的部分功能,所以写这篇博客来阐述一下我在使用netfilter框架编程时的看法。我尽量以简洁的语言描述netfilter编程要点。5个钩子点分别为...
Netfilter编程实现用户名和密码的窃取 Netfilter编程实现用户名和密码的窃取一、介绍二、代码三、运行 一、介绍 本实验窃取密码的前提是要明文传输,先必须找到一个登录页面是采用http协议(非https)的站点。 二、代码 sniff.c #include <linux/...
利用Linux内核模块Netfilter hook UDP报文 利用Linux内核模块Netfilter hook UDP报文,并对其中的部分数据进行修改 实验环境 Ubuntu18.04:用于挂载hook程序,抓取udp报文 Window10:udp报文的目的地,利用工具可检测到报文及其内容 实验工具 Wireshark...
linux下iptables和netfilter详解(4):洞悉实现流程及协议栈分析 (一)洞悉linux下的Netfilter&iptables:什么是Netfilter? 很多人在接触iptables之后就会这么一种感觉:我通过iptables...这些问题,都是我在接下来的博文中一一和大家分享的话题。这里需要指出:因为Ne...
使用 netfilter 处理IPv6报文 netfilter对IPv6的处理和IPv4流程类似,只有钩子函数注册协议不同,优先级和注册的链都是一样的。 { .hook=nf_input_hook_v4, .pf=NFPROTO_IPV4, //IPv4协议 .hooknum=NF_INET_POST_ROUTING, .priority=0, }...
Netfilter概述及其hook点 Netfilter概述 Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter...
【智能路由器】基于netfilter的高效广告植入(非代理方式) —>数据植入,并进行TCP和IP校验 思路是替换原网页中的臃余数据。这样我们不必在Linux内核层对网络数据包重新组装,因为在netfilter上处理的数据包都是经过TCP分段或IP分片后的一个个小于1500字节的数据包,也...
