使用 libnetfilter_queue 动态重写网络数据包

Question

我正在尝试编写一个用户空间应用程序，它可以连接到操作系统的网络堆栈，嗅探飞过的数据包并编辑它感兴趣的数据包。

经过多次谷歌搜索，在我看来，最简单（但相当稳健）的方法（在任何平台上）是 Linux 的 libnetfilter_queue 项目。但是，除了有限的官方之外，我无法找到该项目的任何合理文档文档。它的主要功能（如第一个链接所述）是

• 从内核 nfnetlink_queue 子系统接收排队的数据包，
• 发出判决和/或重新注入更改的数据包到内核 nfnetlink_queue 子系统

重点是我自己的。我到底想怎么做呢？我尝试修改提供的 示例 代码，但也许我误解了某些内容。该代码在 NFQNL_COPY_PACKET 模式下运行，因此我正在接收整个数据包 - 但我对其的修改似乎仅限于我自己的应用程序 - 正如人们所期望的那样，给出“复制”语义。

我的感觉是我应该以某种方式使用NF_QUEUE，但我还没有完全理解它。有什么指点吗？

（如果有一个更简单的机制可以做到这一点，而且也是跨平台的，我很想听听！）

Answer 1

我不敢相信我之前错过了这个。尽管我不太愿意在 SO 上发表问题，但我想我自己永远也解决不了这个问题。 :)

我没有正确查看函数原型。事实证明，在“verdict”函数（如下所述）中，

int nfq_set_verdict(struct nfq_q_handle *qh,
    u_int32_t id,
    u_int32_t verdict,
    u_int32_t data_len,
    const unsigned char *buf     
)

最后两个参数用于将数据返回到网络堆栈。事后看来很明显，但我完全错过了它，因为 print_pkt 函数不将数据包数据作为参数，而是从 struct nfq_data 中提取它。

关键是NF_ACCEPT数据包并将经过适当修改的数据包传递回内核。

Answer 2

只是通过挖掘源代码进行的疯狂猜测：尝试使用 nfnl_addattr_l(..., NFQA_PAYLOAD, ...) 显式添加损坏的有效负载？