基于Netfilter的arp记录

Question

测试环境
  CentOS5.3   2.6.18
测试结果:

2. [root@nfs-client arp]# insmod arp.ko
3. [root@nfs-client arp]# cat /proc/o_arp
4. [root@nfs-client arp]# arp -a
5. [root@nfs-client arp]# ping 202.114.85.31
6. PING 202.114.85.31 (202.114.85.31) 56(84) bytes of data.
7. 64 bytes from 202.114.85.31: icmp_seq=1 ttl=128 time=3.35 ms
9. --- 202.114.85.31 ping statistics ---
10. 1 packets transmitted, 1 received, 0% packet loss, time 0ms
11. rtt min/avg/max/mdev = 3.351/3.351/3.351/0.000 ms
12. [root@nfs-client arp]# arp -a
13. localhost (192.168.238.2) at 00:50:56:FA:70:2A [ether] on eth0
14. [root@nfs-client arp]# cat /proc/o_arp
15. 192.168.238.2 192.168.238.180 ARPOP_REPLY IN
16. 192.168.238.180 192.168.238.2 ARPOP_REQUEST  OUT

复制代码  
列分别为 sip   dop    请求还是应答   进还是出(其实上面两个好像一个概念^_^)

   
  今天看bbs,居然有人说netfilter是处理l3,l4的,不能处理L2的！！！这是肯定不对的, mac是可以处理的要不ebtable从何而来...看了下发现netfilter有专门了arp钩子... linux/netfilter_arp.h中

2.       #define NF_ARP                0
3.      /* ARP Hooks */
4.     #define NF_ARP_IN        0
5.     #define NF_ARP_OUT        1
6.     #define NF_ARP_FORWARD        2
7.     #define NF_ARP_NUMHOOKS        3
8.   

复制代码

  NF_ARP_IN和NF_ARP_OUT不用说,NF_ARP_FORWARD可能是arp代理之类的吧,我也不是很清楚 ,知道这个了，就可以写钩子了

2. static struct nf_hook_ops arp_ops[] = {
3.         {
4.                 .hook                = arphook_rcv,
5.                 .owner                = THIS_MODULE,
6.                 .pf                = NF_ARP,
7.                 .hooknum        = NF_ARP_IN,
8.         },
9.         {
10.                 .hook                = arphook_snd,
11.                 .owner                = THIS_MODULE,
12.                 .pf                = NF_ARP,
13.                 .hooknum        = NF_ARP_OUT,
14.         },
15. };

复制代码

把所有的arp包都放在一个List里,用户空间通过/proc/o_arp来读取...

上代码

3. #include <linux/module.h>
4. #include <linux/kernel.h>
5. #include <linux/init.h>
7. #include <linux/netfilter.h>
8. #include <linux/netfilter_ipv4.h>
9. #include <linux/netfilter_arp.h>
10. #include <linux/if_arp.h>
11. #include <net/arp.h>
12. #include <linux/skbuff.h>
13. #include <linux/ip.h>
14. #include <linux/netdevice.h>
15. #include <linux/if_ether.h>
16. #include <linux/if_packet.h>
17. #include <net/tcp.h>
18. #include <net/udp.h>
19. #include <net/icmp.h>
20. #include <linux/spinlock.h>
22. #include <linux/timer.h>
23. #include <linux/list.h>
24. #include <linux/jiffies.h>
26. #include <linux/proc_fs.h>
27. #include <linux/sched.h>
29. MODULE_LICENSE("GPL");
30. MODULE_AUTHOR("kenthy@163.com");
32. #define   ARP_OUT     0
33. #define   ARP_IN      1
35. #define    ARP_EXIST         0
36. #define    ARP_NOT_EXIST     1
37.   
38. typedef struct o_arp
39. {
40.         struct list_head list;
41.         u32 dip;
42.         u32 sip;
43.         u16 arpop;
44.         int type; // in or out
45. }O_ARP;
47. static LIST_HEAD(arplist);
49. static spinlock_t wa_lock = SPIN_LOCK_UNLOCKED;
51. static void ip_add(O_ARP* node)
52. {
53.         unsigned long flags;
54.         
55.   spin_lock_irqsave(&wa_lock, flags);
56.   list_add(&node->list,&arplist);
57.         spin_unlock_irqrestore(&wa_lock, flags);
58. }
60. /*return 1--exist    0---not exist
61. * if exist then update it
62. */
63. static int ip_exist(u32 sip, u32 dip, int type)
64. {
65.   struct list_head *p,*n;
66.         unsigned long flags;
67.   
68.   O_ARP* node;
69.   int exists= ARP_NOT_EXIST;
70.   
71.   spin_lock_irqsave(&wa_lock, flags);
72.         list_for_each_safe(p,n,&arplist)
73.    {
74.      node=list_entry(p, O_ARP, list);
75.            if(node->sip==sip && node->dip==dip && node->type==type)
76.       {
77.        exists=ARP_EXIST;
78.            break;
79.             }
80.          }
81.   
82.   spin_unlock_irqrestore(&wa_lock, flags);
83.   return (exists);
84. }
86. void free_list(void)
87. {
88.   struct list_head *p,*n;
89.   O_ARP *node;
90.         unsigned long flags;
91.   
92.   spin_lock_irqsave(&wa_lock, flags);
93.         list_for_each_safe(p,n,&arplist)
94.         {
95.     node=list_entry(p, O_ARP,list);
96.           list_del(&(node->list));
97.     kfree(node);
98.          }
99.   spin_unlock_irqrestore(&wa_lock, flags);               
101. }       
102.        
103.        
104. void skb_fun(struct sk_buff* skb, int flag)
105. {
106.         struct arphdr *arp;
107.         struct net_device * dev;
108.         unsigned char * arp_ptr;
109.         u32 sip,dip;
110.         unsigned short arpop;
111.         O_ARP* node = NULL;
112.        
113.         dev= skb->dev;
114.         arp = skb->nh.arph;
115.         arp_ptr= (unsigned char *)(arp+1);
116.         arp_ptr += dev->addr_len;
117.         memcpy(&sip, arp_ptr, 4);
118.         arp_ptr += 4;
119.         arp_ptr += dev->addr_len;
120.         memcpy(&dip, arp_ptr, 4);
122.         arpop=ntohs(arp->ar_op);
124.   if(ip_exist(sip, dip, ARP_IN) == ARP_NOT_EXIST)
125.    {
126.     node = kmalloc(sizeof(O_ARP),GFP_ATOMIC);
127.     if(node == NULL)
128.     {
129.      printk("%s\n", "kmalloc node error");
130.      return;       
131.             }
132.     node->sip=sip;
133.     node->dip=dip;
134.     node->arpop = arpop;
135.       node->type=flag;
136.     ip_add(node);
137.          }
138. }
139.        
140. unsigned int arphook_rcv(unsigned int hooknum,
141.                          struct sk_buff **skb,
142.                          const struct net_device *in,
143.                          const struct net_device * out,
144.                          int (*okfn)(struct sk_buff*))
145. {
146.         skb_fun(*skb, ARP_IN);
147.         return NF_ACCEPT;
148. }
150. unsigned int arphook_snd(unsigned int hooknum,
151.                          struct sk_buff **skb,
152.                          const struct net_device *in,
153.                          const struct net_device *out,
154.                          int (*okfn)(struct sk_buff*))
155. {
156.         skb_fun(*skb, ARP_OUT);
157.         return NF_ACCEPT;
158. }
160. static int arp_read(char *page, char **start, off_t off,int count, int *eof, void *data)
161. {
162.   int len = 0;
163.   struct list_head *p,*n;
164.   O_ARP *node;
165.         unsigned long flags;
166.   
167.   spin_lock_irqsave(&wa_lock, flags);
168.         list_for_each_safe(p,n,&arplist)
169.         {
170.     node=list_entry(p, O_ARP,list);
171.           len += sprintf(page+len,NIPQUAD_FMT" "NIPQUAD_FMT" %s %s %lu\n",
172.                        NIPQUAD(node->sip),NIPQUAD(node->dip),
173.                        node->arpop==ARPOP_REQUEST?"ARPOP_REQUEST ":"ARPOP_REPLY",
174.                        node->type==ARP_OUT?"OUT":"IN",
175.                        node->time_stamp);
176.    }
177.          
178.   spin_unlock_irqrestore(&wa_lock, flags);               
179.       
180.   if (len <= off+count) *eof = 1;
181.   *start = page + off;
182.   len -= off;
183.   if (len>count) len = count;
184.   if (len<0) len = 0;
185.   
186.   return len;
187. }
189. static struct nf_hook_ops arp_ops[] = {
190.         {
191.                 .hook                = arphook_rcv,
192.                 .owner                = THIS_MODULE,
193.                 .pf                = NF_ARP,
194.                 .hooknum        = NF_ARP_IN,
195.         },
196.         {
197.                 .hook                = arphook_snd,
198.                 .owner                = THIS_MODULE,
199.                 .pf                = NF_ARP,
200.                 .hooknum        = NF_ARP_OUT,
201.         },
202. };
204. static int __init init(void)
205. {
206.     int ret;
207.     struct proc_dir_entry *entry;
209.     ret = nf_register_hooks(arp_ops, ARRAY_SIZE(arp_ops));
210.     if (ret < 0) {
211.         printk("http detect:can't register arp_ops hook!\n");
212.         return ret;
213.     }
214.   
215.     entry = create_proc_entry("o_arp", 0444, &proc_root);
216.     if(entry == 0)
217.     {
218.         printk(KERN_ERR "create_proc_entry failed!\n");
219.         return -1;
220.     }
221.     entry->mode = S_IFREG | 0444;
222.     entry->size = 0;
223.     entry->read_proc = arp_read;
225.     printk("insmod arp_ops module\n");
226.     return 0;
227. }
229. static void __exit fini(void)
230. {
231.     nf_unregister_hooks(arp_ops, ARRAY_SIZE(arp_ops));
232.     free_list();
233.     remove_proc_entry("o_arp", &proc_root);
234.     printk("remove arp_ops hook.\n");
235. }
238. module_init(init);
239. module_exit(fini);

复制代码

Answer 1

准确讲，NF_IP_XXX 这些 hook 点只能处理 L3 以上的数据
对应的用户态程序是 iptables
当然，netfilter 在 ARP、BRIDGE 上都有 hook，在不同的位置上处理不同的事物

Answer 2

嗯，ARP的相关操作可以考虑使用二层的hook来做

Answer 3

嗯，ARP的相关操作可以考虑使用二层的hook来做
Godbach 发表于 2010-01-19 00:00

    能不能说具体点，谢谢了，最好给个最简单的例子

另外楼主的代码在ubuntu9.10下无法编译通过

Answer 4

iptable,ebtable,arptable各有各的用途，但原理都差不多，只是要找准其hook点，弄清其应用空间的操作，没有太大的本质差别。

Answer 5

netfilter能够直接获得带以太包头的包吗？

Answer 6

NF 是可以截获完整的数据包的，包括链路层头部

Answer 7

另外楼主的代码在ubuntu9.10下无法编译通过

LZ 的代码是在内核 2.6.18 上编译的，确认一下你的内核版本