pcap 和 iptables 之争

Question

我已经在一台机器上设置了 DNS 服务器。我想在机器发出之前捕获 DNS 回复，并更改其中的一些字段，然后发送数据包。

我只能更改我的 pcap 代码（用 C 编写）捕获的数据包中的字段，这看起来像是一个副本，因为原始数据包也被传输。

我尝试 iptables 删除来自机器的数据包，但它也会删除 pcap 注入的数据包。

有什么办法可以解决这个问题吗？

谢谢

Answer 1

如果您正在寻找仅 pcap 的解决方案，则必须拦截 DNS 请求数据包，检查它，并在 DNS 服务器回复之前组装正确的回复。这看起来并不真正可靠，因为如果 DNS 服务器缓存了一个条目，它很可能会在您组装数据包并将其发送出去的自定义代码完成之前进行回复。

最可靠的方法是编写一个作为 netfilter 挂钩的内核模块。 Netfilter 挂钩能够检查数据包并在数据包离开计算机之前在多个点影响对其的处理。将其挂接到 NF_IP_LOCAL_OUT 级别。然后，您可以检查传出数据包并查看它是否是符合您标准的 DNS 回复。下一部分我还没有完成，但是由于您可以直接访问 skb（套接字缓冲区）作为自定义挂钩函数的输入参数，因此您可以在那里修改数据包并返回 NF_ACCEPT 以将响应传递给客户端。如果您需要对请求本身进行一些处理，您可以改为挂钩 NF_IP_LOCAL_IN 并以多种方式处理它，包括将其传递给用户空间程序。

Google 上有很多 Linux 内核编程的示例（搜索：Linux Kernel Module Programming）以及 netfilter hook 示例。