亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: netlink+netfilter+BloomFilter內(nèi)核態(tài)過濾URL [打印本頁]
作者: ubuntuer    時間: 2009-12-17 22:42
標(biāo)題: netlink+netfilter+BloomFilter內(nèi)核態(tài)過濾URL
利用一天的時間在各位老大dreamice godbach  platinum等大佬的指定下,終于完成了一個內(nèi)核過濾url的初級版本,只是提供一個解決方案 應(yīng)用層防火墻呵呵^_^
問題肯定還是多多的,對http協(xié)議的了解也是有限的...
   可以參考我的以下帖子
     http://linux.chinaunix.net/bbs/thread-1149479-1-1.html  這個是內(nèi)核中提取URL的
     http://linux.chinaunix.net/bbs/v ... =1134519&extra=  這個是netlink+netfilter實(shí)現(xiàn)簡單的封IP和封ICMP協(xié)議
     
   這里大致的思路是先利用netlink將需要過濾的url傳到內(nèi)核,內(nèi)核根據(jù)bloom filter的思路來實(shí)現(xiàn)內(nèi)核中提取的url是否需要過濾
   關(guān)于bloom filter可以看我blog里的這篇文章..用戶態(tài)bloom filter的使用 http://blog.chinaunix.net/u2/76292/showart_2055618.html具體的
   使用例子google下一大堆 內(nèi)核中URL過濾我借鑒了這個實(shí)現(xiàn)
   
   好了開始代碼
   用戶態(tài)url.c:
  1.    #include <sys/stat.h>
  2. #include <unistd.h>
  3. #include <stdio.h>
  4. #include <stdlib.h>
  5. #include <sys/socket.h>
  6. #include <netinet/in.h>
  7. #include <arpa/inet.h>
  8. #include <sys/types.h>
  9. #include <string.h>
  10. #include <asm/types.h>
  11. #include <linux/netlink.h>
  12. #include <linux/socket.h>
  13. #include <getopt.h>

  15. #define NETLINK_TEST 21
  16. #define MAX_PAYLOAD 1024 /* maximum payload size*/

  18. struct sockaddr_nl src_addr, dest_addr;
  19. struct nlmsghdr *nlh = NULL;
  20. struct iovec iov;
  21. int sock_fd;
  22. struct msghdr msg;
  23. struct option longopts[] =
  24. {
  25.    {"help",no_argument, NULL, 'h'},
  26.    {"host",required_argument, NULL, 'H'},
  27.    {0,0,0,0}
  28.   };

  30. void print_help(char* str)
  31. {
  32. fprintf(stderr,"%s --host(-H)\n",str);
  33. fprintf(stderr,"%s --help(-h)\n",str);
  34. fprintf(stderr,"eg:\n%s --host [url]www.chinaunix.net[/url]\n",str);
  35. }
  36.       

  38. int main(int argc, char* argv[])
  39. {
  40.     int c;
  41.     char host[20]="www.baidu.com";
  42.    
  43.    while((c=getopt_long(argc, argv, "hH:", longopts, NULL))!=-1)   
  44.     {
  45.       switch(c)
  46.        {
  47.          case 'H':
  48.           {
  49.             sprintf(host,"%s",optarg);
  50.             break;
  51.           }
  52.          case 'h':
  53.            {
  54.             print_help(argv[0]);
  55.             return -1;
  56.            }
  57.         
  58.          default:
  59.           break;
  60.        }

  62.     }  

  64.    sock_fd = socket(PF_NETLINK, SOCK_RAW, NETLINK_TEST);
  65.    memset(&msg, 0, sizeof(msg));
  66.    memset(&src_addr, 0, sizeof(src_addr));
  67.    src_addr.nl_family = AF_NETLINK;
  68.    src_addr.nl_pid = getpid(); /* self pid */
  69.    src_addr.nl_groups = 0; /* not in mcast groups */
  70.    bind(sock_fd, (struct sockaddr*)&src_addr, sizeof(src_addr));
  71.    memset(&dest_addr, 0, sizeof(dest_addr));
  72.    dest_addr.nl_family = AF_NETLINK;
  73.    dest_addr.nl_pid = 0; /* For Linux Kernel */
  74.    dest_addr.nl_groups = 0; /* unicast */

  76.    nlh=(struct nlmsghdr *)malloc(NLMSG_SPACE(MAX_PAYLOAD));
  77.    /* Fill the netlink message header */
  78.    nlh->nlmsg_len = NLMSG_SPACE(MAX_PAYLOAD);
  79.    nlh->nlmsg_pid = getpid(); /* self pid */
  80.    nlh->nlmsg_flags = 0;
  81.    /* Fill in the netlink message payload */
  82.    printf("now we will filter %s\n", host);
  83.    memcpy(NLMSG_DATA(nlh),host ,sizeof(host));

  85.    iov.iov_base = (void *)nlh;
  86.    iov.iov_len = nlh->nlmsg_len;
  87.    msg.msg_name = (void *)&dest_addr;
  88.    msg.msg_namelen = sizeof(dest_addr);
  89.    msg.msg_iov = &iov;
  90.    msg.msg_iovlen = 1;

  92.    printf(" Sending message. ...\n");
  93.    sendmsg(sock_fd, &msg, 0);
  94.    close(sock_fd);
  95.    return 0;
  96. }
復(fù)制代碼



內(nèi)核態(tài)urlfilter.c:
  1. #include <linux/module.h>
  2. #include <linux/kernel.h>
  3. #include <linux/skbuff.h>
  4. #include <linux/ip.h>
  5. #include <linux/in.h>
  6. #include <net/tcp.h>
  7. #include <net/icmp.h>
  8. #include <linux/netfilter.h>
  9. #include <linux/netfilter_ipv4.h>
  10. #include <linux/types.h>
  11. #include <linux/sched.h>
  12. #include <net/sock.h>
  13. #include <net/netlink.h>

  15. #define NETLINK_TEST 21
  16. #define TABLE_SIZE   13
  17. #define SETBIT(a, n) (a[n/32] |= (1<<(n%32)))
  18. #define GETBIT(a, n) (a[n/32] & (1<<(n%32)))

  20. unsigned int a[5];

  22. static struct nf_hook_ops nfho;
  23. struct sock *nl_sk = NULL;
  24. EXPORT_SYMBOL_GPL(nl_sk);

  26. static char* host = NULL;

  28. unsigned int sax_hash(const char *key)
  29. {
  30.         unsigned int h=0;

  32.         while(*key) h^=(h<<5)+(h>>2)+(unsigned char)*key++;

  34.         return h%TABLE_SIZE;
  35. }

  37. unsigned int sdbm_hash(const char *key)
  38. {
  39.         unsigned int h=0;
  40.         while(*key) h=(unsigned char)*key++ + (h<<6) + (h<<16) - h;
  41.         return h%TABLE_SIZE;
  42. }

  44. void input (struct sock* sk, int len)
  45. {
  46.   struct sk_buff* skb = NULL;
  47.   struct nlmsghdr* nlh = NULL;

  49.   printk("net_link: data is ready to read.\n");
  50.   while((skb = skb_dequeue(&sk->sk_receive_queue))!=NULL)
  51.    {
  52.     nlh = (struct nlmsghdr*)skb->data;
  53.     host = (char *)NLMSG_DATA(nlh);
  54.    }

  56.   printk("host is %s\n", host);
  57.   if(host!=NULL)
  58.           {
  59.                   SETBIT(a, sax_hash(host));
  60.                   SETBIT(a, sdbm_hash(host));
  61.           }
  62.          
  63.   return;
  64. }

  66. static int test_netlink(void) {
  67.   nl_sk = netlink_kernel_create(NETLINK_TEST, 0, input, THIS_MODULE);

  69.   if (!nl_sk) {
  70.     printk(KERN_ERR "net_link: Cannot create netlink socket.\n");
  71.     return -EIO;
  72.   }
  73.   printk("net_link: create socket ok.\n");
  74.   return 0;
  75. }

  77. int check_http(const unsigned char* haystack, unsigned int len)
  78. {
  79.    char  url[100];
  80.    char* host_tmp;
  81.    char* url_tmp = url;
  82.    
  83.    if(len>4)
  84.     {
  85.     #if 1
  86.      printk("len is %d\n", len);
  87.      //printk("%s\n", haystack);
  88.     #endif
  89.      if(memcmp(haystack, "GET", 3)==0||memcmp(haystack,"POST", 4)==0)   
  90.        {
  91.          host_tmp = strstr(haystack,"Host:");
  92.          host_tmp += 5;
  93.          if(*host_tmp==' ')
  94.              host_tmp++;

  96.          while(*host_tmp!='\r')
  97.              *url_tmp++ = *host_tmp++;

  99.          *url_tmp='\0';  
  100.          printk("http connect----Host:%s\n",url);
  101.          if(GETBIT(a, sax_hash(url))&&GETBIT(a, sdbm_hash(url)))
  102.                  {
  103.              printk("we drop packet of host:%s", url);
  104.              return 1;
  105.             }
  106.        }
  107.    }
  108.    return 0;
  109. }

  111. unsigned int hook_func(unsigned int hooknum,
  112.                        struct sk_buff **skb,
  113.                        const struct net_device *in,
  114.                        const struct net_device *out,
  115.                        int (*okfn)(struct sk_buff *))
  116. {
  117.   struct iphdr *iph = NULL;
  118.     struct tcphdr *tcph = NULL;
  119.     struct tcphdr _otcph;
  120.     unsigned char* haystack;
  121.     int hlen;


  124.     iph = ip_hdr(*skb);
  125.     haystack =(char*)iph+(iph->ihl*4);
  126.     hlen = ntohs(iph->tot_len)-(iph->ihl*4);

  128.     if (iph->protocol == IPPROTO_TCP) {
  129.         tcph = skb_header_pointer(*skb, ip_hdrlen(*skb), sizeof(_otcph), &_otcph);
  130.       
  131.         haystack += tcph->doff*4;
  132.         hlen -= tcph->doff*4;
  133.      
  134.      if(check_http(haystack, hlen))
  135.              return NF_DROP;
  136.     }

  138.     return NF_ACCEPT;
  139. }

  141. static int __init hook_init(void)
  142. {
  143.              int i =0;
  144.        printk("insmod url filter!\n");
  145.        test_netlink();
  146.        nfho.hook      = hook_func;
  147.        nfho.hooknum   = NF_IP_LOCAL_OUT;
  148.        nfho.pf        = PF_INET;
  149.        nfho.priority  = NF_IP_PRI_FIRST;
  150.    
  151.        nf_register_hook(&nfho);

  153.        for(;i<5;i++)
  154.          a[i]=0;
  155.        return 0;
  156. }

  158. static void __exit hook_exit(void)
  159. {
  160.     printk("rmmod url filter!\n");
  161.     nf_unregister_hook(&nfho);
  162.     if (nl_sk != NULL){
  163.       sock_release(nl_sk->sk_socket);
  164.      }
  165. }

  167. module_init(hook_init);
  168. module_exit(hook_exit);
復(fù)制代碼


Makefile:
  1. obj-m += urlfilter.o
  2. KDIR := /lib/modules/$(shell uname -r)/build

  4. all:
  5.         make -C $(KDIR) M=$(shell pwd) modules
  6.         gcc -Wall -o url url.c
  7. clean:
  8.         make -C $(KDIR) M=$(shell pwd) clean
  9.         rm -f *odule* user
復(fù)制代碼


使用的話
./url --host www.chinaunix.net過濾[url]www.chianunix.net[/url]
./url  默認(rèn)過濾www.baidu.com

實(shí)際效果貌似不是很好^_^ 可能跟數(shù)據(jù)包的分片等有關(guān)系  希望大家能給出點(diǎn)完善的思路  我自己也將繼續(xù)學(xué)習(xí)
也不知道思路對不對,自己瞎整的,還望各位指點(diǎn)


[ 本帖最后由 ubuntuer 于 2009-12-17 22:43 編輯 ]
作者: ubuntuer    時間: 2009-12-17 22:44
從圖中可以看出是drop了部分包的,可能由于分片等之類結(jié)果可能不盡人意,希望大家給點(diǎn)思路
作者: dreamice    時間: 2009-12-17 22:58
標(biāo)題: 回復(fù) #2 ubuntuer 的帖子
其實(shí)你過濾的是www.chinaunix.net這個域名的包,呵呵,URL是什么東東,概念有點(diǎn)混啊
作者: ubuntuer    時間: 2009-12-18 13:03
恩  這個要考慮的問題太多了....
一般這應(yīng)用層防火墻是這么做的嗎?  在內(nèi)核中千辛萬苦的抓包分析DEBUG.....   太難了^_^
作者: ubuntuer    時間: 2009-12-18 13:09
姜哥看看這個
http://blog.chinaunix.net/u/12313/showart_148073.html
九賤大哥寫的DNS過濾 vs URL過濾  受益匪淺   
研究下DNS協(xié)議
作者: T-Bagwell    時間: 2009-12-18 13:58
樓主是做這個工作吧?
作者: duanjigang    時間: 2009-12-18 14:02
偶做的是基于DNS過濾URL的,效果比較明顯。
如果基于http報文來過濾的話,感覺比較麻煩:wink:
作者: Godbach    時間: 2009-12-18 14:04
原帖由 duanjigang 于 2009-12-18 14:02 發(fā)表
偶做的是基于DNS過濾URL的,效果比較明顯。
如果基于http報文來過濾的話,感覺比較麻煩:wink:


相當(dāng)于是在源頭做處理了, 通過DNS也請求不到域名對應(yīng)的IP
作者: duanjigang    時間: 2009-12-18 14:28
原帖由 Godbach 于 2009-12-18 14:04 發(fā)表


相當(dāng)于是在源頭做處理了, 通過DNS也請求不到域名對應(yīng)的IP

yes,但是他如果通過IP來訪問的話,就沒治了,正如九賤說的
作者: ubuntuer    時間: 2009-12-18 15:01
原帖由 T-Bagwell 于 2009-12-18 13:58 發(fā)表
樓主是做這個工作吧?

我還沒畢業(yè),呵呵!!  今年研三剛找完工作,現(xiàn)在是出于無聊中!
作者: wendaozhe    時間: 2009-12-18 16:30
學(xué)習(xí),學(xué)習(xí)!
作者: Godbach    時間: 2009-12-18 17:19
原帖由 duanjigang 于 2009-12-18 14:28 發(fā)表

yes,但是他如果通過IP來訪問的話,就沒治了,正如九賤說的


就是,如果本地緩存有DNS的相關(guān)信息,這個方法就沒辦法了。 應(yīng)該說還是有局限性的
作者: Godbach    時間: 2009-12-18 17:21
如果基于http報文來過濾的話,感覺比較麻煩

但是這種方式應(yīng)該是更常用的。
作者: kinglongno1    時間: 2009-12-21 20:40
iptables -I FORWARD -p tcp --dport 80 -m string --algo bm --string "www.chinaunix" -j DROP
一句命令搞定。。。
作者: platinum    時間: 2009-12-21 20:57
原帖由 kinglongno1 于 2009-12-21 20:40 發(fā)表
iptables -I FORWARD -p tcp --dport 80 -m string --algo bm --string "www.chinaunix" -j DROP
一句命令搞定。。。

如果你用 webmail 收郵件,而恰好郵件里有一封標(biāo)題是 www.chinaunix.net,那會怎樣?
如果你訪問 www.chinaunix.net 網(wǎng)站時,恰好里面所有敏感信息都是圖片,那又會怎樣?
如果 www.chinaunix.net 的服務(wù)端口不是 80 而是 81,那又會怎樣?
如果你訪問 163 門戶網(wǎng)站,而恰好 163 又與 chinaunix 有合作,互加了對方連接,那又會怎樣呢?

技術(shù)無絕對,所謂的“一句命令搞定”實(shí)在不敢恭維……
作者: Godbach    時間: 2009-12-21 21:20
標(biāo)題: 回復(fù) #15 platinum 的帖子
呵呵,這條命令是將數(shù)據(jù)包內(nèi)容中有string的也進(jìn)行drop了。那是有點(diǎn)粗暴
作者: ubuntuer    時間: 2009-12-21 22:56
原帖由 kinglongno1 于 2009-12-21 20:40 發(fā)表
iptables -I FORWARD -p tcp --dport 80 -m string --algo bm --string "www.chinaunix" -j DROP
一句命令搞定。。。

不發(fā)表任何意見



歡迎光臨 Chinaunix (http://72891.cn/) Powered by Discuz! X3.2