【求助】利用netfilter進行網(wǎng)絡數(shù)據(jù)加密的問題

zhengli85

在CentOS 5.6 x86_64中利用Netfilter對TCP、UDP數(shù)據(jù)進行加密，但出現(xiàn)一點問題，還請各位幫忙看一下：

一、問題描述
1、該代碼在5.2 i386環(huán)境下是正常的，所以不知道是不是64位的問題；
2、流入的數(shù)據(jù)能夠正常識別并解密，但是流出的數(shù)據(jù)出現(xiàn)問題，打印輸出后發(fā)現(xiàn)從skb獲取的數(shù)據(jù)指向并不是真正需要數(shù)據(jù)

二、系統(tǒng)環(huán)境
[root@localhost ~]# lsb_release -a
LSB Version:    :core-4.0-amd64:core-4.0-ia32:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-ia32:graphics-4.0-noarch:printing-4.0-

amd64:printing-4.0-ia32:printing-4.0-noarch
Distributor ID: CentOS
Description:    CentOS release 5.6 (Final)
Release:        5.6
Codename:       Final

[root@localhost ~]# uname -a
Linux localhost.local5.6 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux

三、問題代碼
/*******************************************************************************************************
*根據(jù)sk_buff、加密類型、數(shù)據(jù)方向進行加密
*******************************************************************************************************/
static void crypt_ip_data_skb(struct sk_buff *skb,unsigned int crypt_type,int watch_flag)
{
        char  *        data=NULL;       
        unsigned short data_len=0;
        __u8        protocol_type=0;
        struct tcphdr *tcphead=NULL;
        struct udphdr *udphead=NULL;

        int         ip_head_len=0;
        int        tcp_udp_len=0;

#ifdef DEBUG_MODE
        printk(KERN_EMERG"crypt_ip_data_skb\tcrypt_type:%d\twatch_flag:%d\n",crypt_type,watch_flag);
#endif

        if (!skb )return;
        if (!(skb->nh.iph)) return;

        protocol_type=skb->nh.iph->protocol;
        ip_head_len=(skb->nh.iph->ihl * 4);

        switch(protocol_type)
        {
                case        IPPROTO_TCP:
                {
                        tcphead= (struct tcphdr *)(skb->data  + ip_head_len);
                        tcp_udp_len=tcphead->doff*4;
                        data=(unsigned char *)tcphead+tcp_udp_len;
                        data_len=ntohs(skb->nh.iph->tot_len)-ip_head_len-tcp_udp_len;
                        break;
                }
                case        IPPROTO_UDP:
                {
                        udphead= (struct udphdr *)(skb->data  + ip_head_len);       
                        data=(unsigned char *)udphead+8;//sizeof(udphdr)=8
                        data_len=ntohs(udphead->len)-8;
                        break;
                }
                default:
                {
                        return ;
                }
        }

        //根據(jù)數(shù)據(jù)方向進行加減密
        if(watch_flag==fliter_watch_in)
        {
        #ifdef DEBUG_MODE
                printk(KERN_EMERG"fliter_watch_in\tdata:0x%08x\n",(int)data);
        #endif
                decrypt_data_raw(data,data_len,crypt_type);
        }

        if(watch_flag==fliter_watch_out)
        {

        #ifdef DEBUG_MODE
                printk(KERN_EMERG"fliter_watch_out\tdata:0x%08x\n",(int)data);
        #endif

        #ifdef DEBUG_MODE
                printk(KERN_EMERG"%02x%02x%02x%02x\n",data[0],data[1],data[2],data[3]);
        #endif       

                encrypt_data_raw(data,data_len,crypt_type);

        #ifdef DEBUG_MODE
                printk(KERN_EMERG"%02x%02x%02x%02x\n",data[0],data[1],data[2],data[3]);
        #endif
       
        }

        return;
}

四、hook點

   pre_hook.hook     = watch_in;
   pre_hook.pf       = PF_INET;
   pre_hook.priority = NF_IP_PRI_LAST;
   pre_hook.hooknum  = NF_IP_LOCAL_IN;
   
   post_hook.hook     = watch_out;
   post_hook.pf       = PF_INET;
   post_hook.priority = NF_IP_PRI_LAST;
   post_hook.hooknum  = NF_IP_LOCAL_OUT;
   
   nf_register_hook(&pre_hook);
   nf_register_hook(&post_hook);

zhengli85

對代碼部分代碼更改如下，進行數(shù)據(jù)輸出顯示，發(fā)現(xiàn)：
1、在5.2 i386下，通過sk_buff的data字段進行數(shù)據(jù)獲取，根據(jù)ip頭+tcp/udp頭+傳輸數(shù)據(jù)的組包方式可獲取傳輸數(shù)據(jù)
2、在5.6  x86_64下，通過sk_buff的data字段進行數(shù)據(jù)獲取，數(shù)據(jù)只有ip頭+tcp/udp頭，傳輸數(shù)據(jù)沒有緊跟其后，因此根據(jù)ip頭+tcp/udp頭+傳輸數(shù)據(jù)的組包方式無法正確獲取傳輸數(shù)據(jù)，因此造成加密不正常
3、5.2 i386下的內核版本是
[root@localhost kernel]# uname -a
Linux localhost.localdomain 2.6.18-92.el5xen #1 SMP Tue Apr 29 13:45:57 EDT 2008 i686 i686 i386 GNU/Linux
4、初步懷疑是由于內核版本升級，sk_buff結構組織變化導致


        if(watch_flag==fliter_watch_out)
        {
        //#ifdef DEBUG_MODE
                printk(KERN_EMERG"fliter_watch_out\n");
                printk(KERN_EMERG"data:0x%08x\n",data);
                printk(KERN_EMERG"skb_head:0x%08x\tskb_data:0x%08x\tskb_tail:0x%08x\tskb_end:0x%08x\n",skb->head,skb->data,skb->tail,skb->end);

                for(i=0;i<30;i++)//取30這個數(shù)，純粹是跟測試數(shù)據(jù)相關，由于調試用的
                {
                        printk(KERN_EMERG"skb_data:%02x%02x%02x%02x\n",skb->data[i*4],skb->data[i*4+1],skb->data[i*4+2],skb->data[i*4+3]);
                }
        //#endif               

                //encrypt_data_raw(data,data_len,crypt_type);
        }

zhengli85

同一通信過程:
IP頭:20字節(jié)
TCP頭:32字節(jié)
數(shù)據(jù):13字節(jié)

輸出sk_buff的幾個字段進行驗證
unsigned char                *head,
                        *data,
                        *tail,
                        *end

1、5.2 i386下
skb_head:0xeb7edc00     skb_data:0xeb7edccc     skb_tail:0xeb7edd0d     skb_end:0xeb7ede00
skb_data+20+32+13=skb_tail

ip頭+tcp/udp頭+傳輸數(shù)據(jù)

2、在5.6  x86_64下
skb_head:0x12b21000     skb_data:0x12b210cc     skb_tail:0x12b21100     skb_end:0x12b21100
skb_data+20+32=skb_tail

ip頭+tcp/udp頭

humjb_1983

請看看end之后是否放了你的數(shù)據(jù)？
如果使用了sg，那么數(shù)據(jù)是放在skb_shared_info中的。
另外，對于包頭或相關數(shù)據(jù)的解析，建議使用內核提供的標準接口，新版本中32和64位中skb中的數(shù)據(jù)解析是不一樣的。

zhengli85

回復 4# humjb_1983


多謝您的提示與建議
見笑了，對Linux不熟悉，只是做個應急的東西，參考網(wǎng)上的文章依葫蘆畫瓢寫的。

1、關于“請看看end之后是否放了你的數(shù)據(jù)？”

在測試里，多打印了一部分end之后的數(shù)據(jù)，并未發(fā)現(xiàn)有我的數(shù)據(jù)。


2、關于“如果使用了sg，那么數(shù)據(jù)是放在skb_shared_info中的�！�

正在看skb_shared_info的信息，請問是否使用sg是如何判斷的？


3、關于“另外，對于包頭或相關數(shù)據(jù)的解析，建議使用內核提供的標準接口，新版本中32和64位中skb中的數(shù)據(jù)解析是不一樣的�！�

一開始做，以為網(wǎng)絡數(shù)據(jù)是標準的，就按協(xié)議自己解析了，在5.2 i386里沒發(fā)現(xiàn)問題，也就沒改動，解決上述問題后一并再修改。

humjb_1983

zhengli85 發(fā)表于 2014-07-16 15:35
回復 4# humjb_1983

ethtool -k ethx
可以看到指定網(wǎng)卡是否開啟了sg。

zhengli85

回復 6# humjb_1983

這是沒有開啟sg選項吧？
[root@localhost ~]# ethtool -k ethxOffload parameters for ethx:
Cannot get device rx csum settings: No such device
Cannot get device tx csum settings: No such device
Cannot get device scatter-gather settings: No such device
Cannot get device tcp segmentation offload settings: No such device
Cannot get device udp large send offload settings: No such device
Cannot get device generic segmentation offload settings: No such device
Cannot get device GRO settings: No such device
no offload info available

humjb_1983

呵呵，要把ethx換成實際的網(wǎng)卡名，比如eth0

zhengli85

回復 8# humjb_1983


   呵呵
[root@localhost ~]# ethtool -k eth0
Offload parameters for eth0:
Cannot get device udp large send offload settings: Operation not supported
rx-checksumming: on
tx-checksumming: on
scatter-gather: on
tcp segmentation offload: on
udp fragmentation offload: off
generic segmentation offload: off
generic-receive-offload: off

zhengli85

回復 4# humjb_1983


   多謝指教，通過skb_shared_info確實能夠獲取數(shù)據(jù)部分===================================================================================

        printk(KERN_EMERG"the skb have fragment counts:%d\n",skb_shinfo(skb)->nr_frags);
        if(skb_shinfo(skb)->nr_frags>0)//本skb中其他頁中的數(shù)據(jù)部分
        {
                printk(KERN_EMERG"skb_shinfo(skb)->nr_frags>0\n" ) ;
                for(i=0;i< skb_shinfo(skb)->nr_frags;i++)
                {
                        printk(KERN_EMERG"the skb frags[%d] page_offset is:%d\n",i,skb_shinfo(skb)->frags[ i ].page_offset);
                        printk(KERN_EMERG"the skb frags[%d] size is:%d\n",i,skb_shinfo(skb)->frags[ i ].size);
                        vaddr=kmap_skb_frag(&skb_shinfo(skb)->frags);
                        print_data_raw(vaddr + skb_shinfo(skb)->frags[ i ].page_offset,skb_shinfo(skb)->frags[ i ].size);//自己的二進制輸出函數(shù)
                }
       }

        if(skb_shinfo(skb)->frag_list)//其他碎片skb中的數(shù)據(jù)部分
                printk(KERN_EMERG"the skb have frag list\n" ) ;


===================================================================================

另：用skb_linearize(skb)將skb合并成一個，也能獲取其數(shù)據(jù)部分，然后對數(shù)據(jù)部分進行加密，但發(fā)送出去的還是未加密數(shù)據(jù)，而加密后輸出內存數(shù)據(jù)顯示是加密了的，這是因為我獲取的只是一個副本的原因嗎？