Hacking the Linux Kernel Network Stack（譯本）

playmud

這個(gè)東西很早之前就有了吧。。。。。
raodan 翻譯的

playmud

看看有什么新東西，呵呵

duanjigang

(1)"如果我沒理解錯(cuò)的話(學(xué)習(xí)中)，data指針指向的是當(dāng)前層次上要處理的數(shù)據(jù)的頭，ICMP與IP同屬網(wǎng)絡(luò)層，所以在這一層上 ，data指向的是IP數(shù)據(jù)頭，同理若在傳輸層，data應(yīng)指向tcp或UDP頭，若在連路層data 應(yīng)指向Eth頭
", sb->data 改成sb->nh.iph也可以(這個(gè)我用程序試研了)，可能作者這種寫法更有層次感吧，不知如此解釋對(duì)是否合適？？？
(2):在POSTROUTING點(diǎn)可以注測多個(gè)HOOK，作為向外發(fā)送的數(shù)據(jù)來說，在此處會(huì)被每個(gè)注測了的HOOK進(jìn)行處理，處理的先后順序跟priority密切相關(guān)，如果有一個(gè)注測了的鉤子比我們注測的這個(gè)鉤子提前調(diào)用，我們能保證數(shù)據(jù)中的用戶名和密碼這些數(shù)據(jù)不被影響（或著改動(dòng)）嗎？為了保證watch_out的功能，才將它的優(yōu)先權(quán)設(shè)為最高。
如果有哪里理解錯(cuò)誤的話，希望白金兄及時(shí)指出. ^_^

[ 本帖最后由 duanjigang 于 2006-5-30 13:00 編輯 ]

platinum

我感覺第二點(diǎn)分析得很有道理 ^_^

第一點(diǎn)我有個(gè)地方不明白，下面我說一下

>> data指針指向的是當(dāng)前層次上要處理的數(shù)據(jù)的頭
同意

>> ICMP與IP同屬網(wǎng)絡(luò)層
icmp 頭的位置與 tcp/udp 的位置是一樣的，而 tcp/udp 不屬于網(wǎng)絡(luò)層，為何說 icmp 是網(wǎng)絡(luò)層，這點(diǎn)我始終沒能理解

>> 所以在這一層上 ，data指向的是IP數(shù)據(jù)頭
同意，若 sk_buff 指向的確實(shí)是一個(gè) IP 層的話

>> 同理若在傳輸層，data應(yīng)指向tcp或UDP頭，若在連路層data 應(yīng)指向Eth頭
問題是，我們怎么知道當(dāng)前是什么層呢？

viton_xuan

對(duì)sk->data指針在各個(gè)狀態(tài)下指向哪一層覺得很模糊.
處理時(shí)在交換mac地址之后把data指針指向連路層的頭就把包發(fā)回去.
能不能這樣理解, 在PRE_ROUTING時(shí)候data指向ip頭, POST_ROUTING之后指向連路層.
另外,覺得在dev_queue_xmit之前應(yīng)該把icmph->type 改為 ICMP_ECHOREPLY. 因?yàn)槲以趩螜C(jī)調(diào)試, 收到的包發(fā)出,又給netfilter劫獲,就死循環(huán)了. 不斷的發(fā),劫獲,再發(fā),再劫獲. 把它改了類型,再劫獲之后就可以NF_ACCEPT了. 避免了死循環(huán).

duanjigang

請(qǐng)教了一位同事，解釋如下：
(1)用data+..還是用 iph+.......
我認(rèn)為原代碼的寫法是正確的，即用data+........
在協(xié)議的不同層，sk_buff的data指向這一層的網(wǎng)絡(luò)報(bào)文頭部，同時(shí)在這個(gè)結(jié)構(gòu)體中，也有相關(guān)的數(shù)據(jù)結(jié)構(gòu)來表示不同層的頭部信息,這樣無論在哪一層，代碼結(jié)構(gòu)都是不變的，而如果改為后面那種(iph+...)，則只適用于傳輸層了.

platinum

>> 能不能這樣理解, 在PRE_ROUTING時(shí)候data指向ip頭
我也是這樣認(rèn)為的

>> POST_ROUTING之后指向連路層
為什么？

>> 在協(xié)議的不同層，sk_buff的data指向這一層的網(wǎng)絡(luò)報(bào)文頭部，同時(shí)在這個(gè)結(jié)構(gòu)體中
>> 也有相關(guān)的數(shù)據(jù)結(jié)構(gòu)來表示不同層的頭部信息,這樣無論在哪一層，代碼結(jié)構(gòu)都是不變的
>> 而如果改為后面那種(iph+...)，則只適用于傳輸層了.
沒理解，尤其是“這樣無論在哪一層，代碼結(jié)構(gòu)都是不變的”這一句
“而如果改為后面那種(iph+...)，則只適用于傳輸層了”這句我也沒有理解，是不是說，如果在鏈路層，(struct sk_buff *)skb->iph 實(shí)際上是 NULL ？

duanjigang

呵呵，一直對(duì)5個(gè)HOOKS的觸發(fā)時(shí)機(jī)不是很清楚，今天正好碰到一篇文章，給出了圖示，很明了，附加上來：
IP層的五個(gè)HOOK點(diǎn)的位置如下圖所示 ：

          --->[1]--->[ROUTE]--->[3]--->[5]--->
                        |            ^
                        |            |
                        |         [ROUTE]
                        v            |
                       [2]          [4]
                        |            ^
                        |            |
                        v            |
                       [local process]

[1]:NF_IP_PRE_ROUTING：剛剛進(jìn)入網(wǎng)絡(luò)層的數(shù)據(jù)包通過此點(diǎn)（剛剛進(jìn)行完版本號(hào)，校驗(yàn)和等檢測），源地址轉(zhuǎn)換在此點(diǎn)
進(jìn)行；
[2]:NF_IP_LOCAL_IN：經(jīng)路由查找后，送往本機(jī)的通過此檢查點(diǎn),INPUT包過濾在此點(diǎn)進(jìn)行；
[3]:NF_IP_FORWARD：要轉(zhuǎn)發(fā)的包通過此檢測點(diǎn),FORWORD包過濾在此點(diǎn)進(jìn)行；
[4]:NF_IP_LOCAL_OUT：本機(jī)進(jìn)程發(fā)出的包通過此檢測點(diǎn)，OUTPUT包過濾在此點(diǎn)進(jìn)行；
[5]:NF_IP_POST_ROUTING：所有馬上便要通過網(wǎng)絡(luò)設(shè)備出去的包通過此檢測點(diǎn)，內(nèi)置的目的地址轉(zhuǎn)換功能（包括地址偽裝）在此點(diǎn)進(jìn)行。

[ 本帖最后由 duanjigang 于 2006-6-8 15:56 編輯 ]

wanghl

好文！

viton_xuan

to: duanjigang  圖有問題 OUTPUT的路由之后應(yīng)該不經(jīng)過forward了。
另外感覺 Kernel Packet Traveling Diagram  這副圖更詳細(xì)。
版主platinum的blog就有一份。 http://www.cublog.cn/u/311/showart.php?id=70642