攔截自己編寫的ARP發(fā)包程序發(fā)出去的ARP包不成功

liudeyi545

我想實現(xiàn)的功能是：防止本機在中ARP病毒后，病毒向網(wǎng)關(guān)發(fā)送虛假ARP包，所以攔截本機發(fā)出去的ARP包，對其原MAC地址進行比較，如果和本機一致則通過，不一致說明是病毒發(fā)出去的，就丟棄。但是沒有實現(xiàn)！

內(nèi)核版本號：3.13.0-43

#define arp_hrd ea_hdr.ar_hrd
#include<linux/module.h>
#include<linux/init.h>
#include<linux/kernel.h>
#include<linux/netfilter.h>
#include<linux/netfilter_ipv4.h>
#include<linux/ip.h>
#include<net/ip.h>
#include<linux/udp.h>
#include<linux/in.h>
#include<linux/skbuff.h>
#include<linux/netdevice.h>
#include<linux/if_ether.h>
#include<linux/if.h>
#include<linux/if_arp.h>
#include<linux/netfilter_arp.h>

unsigned int hook_func(
                unsigned int hooknum,//功能函數(shù)掛載點
               struct sk_buff *skb,//數(shù)據(jù)包結(jié)構(gòu)體指針
                const struct net_device *in,
                const struct net_device *out,
                int (*okfn)(struct sk_buff *)
                                          )
{
        struct arphdr *arp;//定義ARP包結(jié)構(gòu)體
        unsigned char *sha,*arp_ptr;
        char buf[20];
        arp=arp_hdr(skb);//獲取數(shù)據(jù)包ARP頭
        arp_ptr=(unsigned char*)(arp+1);
        //指針偏移找到數(shù)據(jù)包源MAC地址
        sha=arp_ptr;
        sprintf(buf,"%02x:%02x:%02x:%02x:%02x:%02x",sha[0],sha[1],sha[2],sha[3],sha[4],sha[5]);
        if(strcmp(buf,"dc:0e:a1:e8:94:d6")==0)
        {        
                printk("MATCH!\n");
                return NF_ACCEPT;
        //若數(shù)據(jù)包源MAC地址與本機MAC一致則通過
        }
        else
        {        
                printk("UNMATCH!\n");
        //若數(shù)據(jù)包源MAC地址與本機MAC地址不一致，則丟棄該數(shù)據(jù)包
                return NF_DROP;
        }
}

static struct nf_hook_ops nfho={
        .hook=hook_func,//注冊功能函數(shù)
        .pf=NFPROTO_ARP,//協(xié)議規(guī)則
        .hooknum=NF_ARP_OUT,//掛載點
        .priority=NF_IP_PRI_FIRST,//處理優(yōu)先級
        .owner=THIS_MODULE,//指定模塊
        };

static int __init hook_init(void)//注冊模塊
{
        if (nf_register_hook(&nfho)) {  
        printk(KERN_ERR"<0>nf_register_hook() failed\n");  
        return -1;  
    }  
    return 0;
}

static void __exit hook_fini(void)//注銷模塊
{
        nf_unregister_hook(&nfho);
}

module_init(hook_init);
module_exit(hook_fini);
MODULE_LICENSE("GPL");

這個鉤子對于自己編寫ARP發(fā)包程序發(fā)出去的ARP包不起作用，不明白為什么？請大家指教！

tc1989tc

內(nèi)核版本號

tc1989tc

直接打印skb->data數(shù)據(jù)看 是否是你想要的arp報文

tc1989tc

后者在你的hook函數(shù)最前面調(diào)用這個函數(shù)skb_reset_mac_header(skb);  在進行你后面的操作

liudeyi545

內(nèi)核版本號：3.13.0-43
#define arp_hrd ea_hdr.ar_hrd
#include<linux/module.h>
#include<linux/init.h>
#include<linux/kernel.h>
#include<linux/netfilter.h>
#include<linux/netfilter_ipv4.h>
#include<linux/ip.h>
#include<net/ip.h>
#include<linux/udp.h>
#include<linux/in.h>
#include<linux/skbuff.h>
#include<linux/netdevice.h>
#include<linux/if_ether.h>
#include<linux/if.h>
#include<linux/if_arp.h>
#include<linux/netfilter_arp.h>

unsigned int hook_func(
                unsigned int hooknum,//功能函數(shù)掛載點
               struct sk_buff *skb,//數(shù)據(jù)包結(jié)構(gòu)體指針
                const struct net_device *in,
                const struct net_device *out,
                int (*okfn)(struct sk_buff *)
                                          )
{
        struct arphdr *arp;//定義ARP包結(jié)構(gòu)體
        unsigned char *sha,*arp_ptr;
        char buf[20];
        arp=arp_hdr(skb);//獲取數(shù)據(jù)包ARP頭
        arp_ptr=(unsigned char*)(arp+1);
        //指針偏移找到數(shù)據(jù)包源MAC地址
        sha=arp_ptr;
        sprintf(buf,"%02x:%02x:%02x:%02x:%02x:%02x",sha[0],sha[1],sha[2],sha[3],sha[4],sha[5]);
        if(strcmp(buf,"dc:0e:a1:e8:94:d6")==0)
        {       
                printk("MATCH!\n");
                return NF_ACCEPT;
        //若數(shù)據(jù)包源MAC地址與本機MAC一致則通過
        }
        else
        {       
                printk("UNMATCH!\n");
        //若數(shù)據(jù)包源MAC地址與本機MAC地址不一致，則丟棄該數(shù)據(jù)包
                return NF_DROP;
        }
}

static struct nf_hook_ops nfho={
        .hook=hook_func,//注冊功能函數(shù)
        .pf=NFPROTO_ARP,//協(xié)議規(guī)則
        .hooknum=NF_ARP_OUT,//掛載點
        .priority=NF_IP_PRI_FIRST,//處理優(yōu)先級
        .owner=THIS_MODULE,//指定模塊
        };

static int __init hook_init(void)//注冊模塊
{
        if (nf_register_hook(&nfho)) {  
        printk(KERN_ERR"<0>nf_register_hook() failed\n");  
        return -1;  
    }  
    return 0;
}

static void __exit hook_fini(void)//注銷模塊
{
        nf_unregister_hook(&nfho);
}

module_init(hook_init);
module_exit(hook_fini);
MODULE_LICENSE("GPL");

這個鉤子對于自己編寫ARP發(fā)包程序發(fā)出去的ARP包不起作用，不明白為什么？請您指教！

回復(fù) 4# tc1989tc


   

liudeyi545

現(xiàn)在的程序可以正確打印原MAC地址，但是攔截效果沒有實現(xiàn)。回復(fù) 3# tc1989tc


   

anyhit

你這是 自己實現(xiàn)的arptables嗎？
要實現(xiàn)什么功能。感覺你邏輯上有點兒混亂吧。out里面arp包源mac肯定與本地一致的吧

liudeyi545

您好，我想實現(xiàn)的效果是防止本機在中ARP病毒后，本機ARP病毒向網(wǎng)關(guān)發(fā)送錯誤的MAC地址，所以攔截本機發(fā)出去的ARP包進行分析。回復(fù) 7# anyhit


   

liudeyi545

我在內(nèi)核中嵌入我編寫的這個模塊之后，用我自己寫的ARP發(fā)包程序發(fā)出去的虛假ARP包并不能被攔截，而本機發(fā)出去的ARP請求包可以被捕獲，這個問題困擾了我好久。回復(fù) 7# anyhit


   

tc1989tc

你自己寫的arp發(fā)送程序是怎么樣的？確定是不是經(jīng)過arp的out hook函數(shù)處理了