动手写一个基于Linux内核的网络数据包拦截扩展

    将二进制空间安全设为"星标⭐️"

第一时间收到文章更新

开发环境配置

操作系统: ubuntu虚拟机

编程语言: Linux C

(1). 安装源更新

ubuntu系统默认的安装源是ubuntu官方源,从国内访问速度较慢, 这里先要将其替换成国内的安装源, 找到: /etc/apt/sources.list文件, 先将其备份, 然后将里面的内容替换成以下内容:

deb http://mirrors.aliyun.com/ubuntu/ jammy main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ jammy-security main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ jammy-updates main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ jammy-proposed main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ jammy-backports main restricted universe multiverse  
deb-src http://mirrors.aliyun.com/ubuntu/ jammy main restricted universe multiverse  
deb-src http://mirrors.aliyun.com/ubuntu/ jammy-security main restricted universe multiverse  
deb-src http://mirrors.aliyun.com/ubuntu/ jammy-updates main restricted universe multiverse  
deb-src http://mirrors.aliyun.com/ubuntu/ jammy-proposed main restricted universe multiverse  
deb-src http://mirrors.aliyun.com/ubuntu/ jammy-backports main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse  
deb http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse

替换完成后, 运行以下命令对软件包进行更新:

$ sudo apt update

(2).环境配置

假设登录系统账号为:suntiger, 代码工程保存在目录: /home/linux-kernel-security-module, 在命令行下需要输入以下提权命令:

# chown -R suntiger /home/linux-kernel-security-module

执行该命令后, 在VScode中便可以正常创建代码文件。

在开发过程中, 需要使用Linux具体版本的内核头文件包, 通过以下命令进行安装:

# apt install linux-headers-$(uname -r)

还需要安装一些基本的开发工具, 例如:build-essential, 它包含了编译内核模块所需的编译器和其它工具, 安装命令如下:

# apt install build-essential  
# add-apt-repository ppa:ubuntu-toolchain-r/test  
# apt update  
# apt install gcc-12 g++-12

开发一个简单内核模块扩展

首先在自己的工程目录新建一个代码文件:main.c, 然后写入以下代码:

#include <linux/init.h>  
#include <linux/module.h>  
  
static int __init construct(void) {  
    pr_info("First kernel module: Hello World!\n");  
    return 0;  
}  
  
static void __exit destruct(void) {  
    pr_info("First kernel module has been removed\n");  
}  
  
module_init(construct);  
module_exit(destruct);  
  
MODULE_LICENSE("GPL");

这段代码是一个简单的Linux内核模块开发实例, 以下部分将对这段代码的含义进行解读。

首先是头文件:

#include <linux/init.h>  
#include <linux/module.h>

这些头文件包含了内核模块开发所需的函数和宏定义, 例如:

• linux/init.h
  :提供了模块初始化和退出的宏。

• linux/module.h
  :提供了内核模块的必要定义和函数。

下面来看这段代码:

static int __init construct(void) {  
    pr_info("First kernel module: Hello World!\n");  
    return 0;  
}

这段代码是模块的初始化函数, 它在模块加载时被调用。函数名前面的__init
是一个宏, 用于将函数标记为初始化代码。在模块加载时, 内核会调用这个函数。

• pr_info
  是一个内核打印函数, 类似于用户空间的printf
  。它用于在内核日志中打印消息。

• 该函数返回0, 表示初始化成功。

下面看另一段代码:

static void __exit destruct(void) {  
    pr_info("First kernel module has been removed\n");  
}

这是模块的清理函数, 它在模块卸载时被调用。函数名前面的__exit
是一个宏, 用于将函数标记为退出代码, 在模块卸载时,内核会调用这个函数。

看最后的三行代码:

module_init(construct);  
module_exit(destruct);  
MODULE_LICENSE("GPL");

前两行宏代码用于注册初始化和清理函数,其中:

• module_init
  :宏注册了模块的初始化函数construct
  。

• module_exit
  宏注册了模块的清理函数destruct
  。

最后一句宏定义了模块的许可证为GPL(GNU General Public License)。这表明该模块遵循GPL许可证。使用GPL许可证声明是强烈推荐的, 特别是当你要将模块发布为开源代码时。内核模块如果没有指定许可证, 内核将认为它是非GPL的, 并且可能限制某些符号的使用。

下面编写一个Makefile来尝试编译一下代码, 内容如下:

obj-m += main.o  
  
all:  
    make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules  
  
clean:  
    make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

注意: Makefile的内容对格式有严格要求,make前面的空格必须是一个table空格,否则会引发编译错误。

第一句:obj-m += main.o
定义了一个目标模块main.o
。obj-m
是一个内核构建系统变量, 用于列出要构建的模块对象文件。通过将main.o
添加到obj-m
中, 这是为了告诉内核构建系统, 我们要编译main.c
并生成main.o
内核模块。

第二句:

all:  
    make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules

• all
  是一个目标,它表示默认目标。如果在命令行中仅输入make
  , 这个目标就会被执行。

• make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
  是一个命令,用于调用内核构建系统来编译模块。

  -C /lib/modules/$(shell uname -r)/build
  这个参数将工作目录切换到内核构建目录。$(shell uname -r)
  返回当前内核的版本号,例如:6.2.0-26-generic
  。因此这个命令切换到/lib/modules/6.2.0-26.generic/build
  目录,该目录包含了当前内核版本的构建环境。

• M=$(PWD)
  ：这个参数告诉内核构建系统模块源代码所在的目录是当前目录, 表示当前工作目录。

• modules
  : 这个目标指示内核构建系统生成模块。

下面切换到当前的工作目录, 在命令行中直接输入Make
命令开始编译,编译过程如下:

如果编译成功, 在当前的工作目录会看到一个名为main.ko
的内核模块,如图:

下面, 使用以下命令将编写的模块加载到内核中, 命令如下:

# insmod main.ko

接着输入lsmod
命令查看已加载的内核模块,如图:

可以看到自己编写的内核模块已加载成功。

接着输入命令:dmesg | grep main -A1
来查看模块的内核日志,如图:

可以看到加载的内核扩展模块日志成功打印, 说明已成功加载运行。

接下来, 尝试输入命令:rmmod main
来卸载内核模块, 并使用命令dmesg | grep main -A2
来查看内核日志, 如图:

从日志内容中可以发现卸载模块信息被打印, 说明内核扩展卸载成功, 使用命令lsmod
再次查看内核模块,如图:

main内核扩展已完全卸载。

内核扩展中使用日志级别

在内核扩展中, 也可以打印不同日志级别的信息, 看下面的代码:

#include <linux/init.h>  
#include <linux/module.h>  
  
static int __init construct(void) {  
 printk(KERN_INFO "INFO Level message\n");  
 pr_info("Another INFO Level message\n");  
  
 printk(KERN_WARNING "WARNING Level message\n");  
 pr_warn("Another WARNING Level message\n");  
  
 printk(KERN_ERR "ERROR Level message\n");  
 pr_err("Another ERROR Level message\n");  
  
 printk(KERN_CONT "This " );  
 pr_cont("message ");  
 printk(KERN_CONT "is " );  
 pr_cont("single ");  
 printk(KERN_CONT "line\n");  
  
 return 0;  
}  
  
static void __exit destruct(void) {  
 printk(KERN_INFO "The module has been removed\n");  
}  
  
module_init(construct);  
module_exit(destruct);  
  
MODULE_LICENSE("GPL");

在上面的代码中, 主要是用了printk()和pr_xxx系列函数来打印不同日志级别的信息, 两者含义差不多。

• printk()函数是内核中最基础的日志打印函数, 可以用于打印各种级别的日志信息,在使用时需要指定日志级别, 例如:KERN_INFO
  、KERN_WARNING
  、KERN_ERR
  。

• pr_xxx
  系列函数是printk()
  的简化宏, 专门用于打印特定级别的日志信息, 主要简化了代码, 不需要显示指定日志级别。

编译该内核扩展并加载后, 可以使用以下命令查看错误级别的日志：

# dmesg --level err | grep message

返回信息如图:

开发网络数据包拦截内核扩展

有了上面的基础, 下面开发一个网络数据包拦截的内核扩展, 代码如下:

#include <linux/module.h> // included for all kernel modules  
#include <linux/kernel.h> // included for KERN_INFO  
#include <linux/init.h> // included for __init and __exit macros  
#include <linux/netfilter.h>  
#include <linux/netfilter_ipv4.h>  
#include <linux/netdevice.h>  
#include <linux/vmalloc.h>  
  
MODULE_LICENSE("GPL");  
MODULE_DESCRIPTION("A Simple Hello Packet Module");  
  
enum { NF_IP_PRE_ROUTING,  
  NF_IP_LOCAL_IN,  
  NF_IP_FORWARD,  
  NF_IP_LOCAL_OUT,  
  NF_IP_POST_ROUTING,  
  NF_IP_NUMHOOKS };  
  
static struct nf_hook_ops in_nfho;   //net filter hook option struct  
static struct nf_hook_ops out_nfho;   //net filter hook option struct  
  
static void dump_addr(unsigned char *iphdr)  
{  
  int i;  
  for(i=0; i<4; i++){  
    printk("%d.", *(iphdr+12+i));   
  }  
  printk(" -> ");  
  for(i=0; i<4; i++){  
    printk("%d.", *(iphdr+16+i));   
  }  
  printk("\n");  
}  
  
unsigned int my_hook(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)  {  
    printk("Hello packet! ");  
    //printk("from %s to %s\n", in->name, out->name);  
    unsigned char *iphdr = skb_network_header(skb);  
    if(iphdr){  
  dump_addr(iphdr);  
    }  
    return NF_ACCEPT;  
  // return NF_DROP;//会导致上不了网  
}  
  
static int __init init_func(void)  
{  
//NF_IP_PRE_ROUTING hook  
  in_nfho.hook = my_hook;  
  in_nfho.hooknum = NF_IP_LOCAL_IN;  
  in_nfho.pf = PF_INET;  
  in_nfho.priority = NF_IP_PRI_FIRST;  
  
  nf_register_net_hook(&init_net, &in_nfho);  
  
//NF_IP_LOCAL_OUT hook  
  out_nfho.hook = my_hook;  
  out_nfho.hooknum = NF_IP_LOCAL_OUT;  
  out_nfho.pf = PF_INET;  
  out_nfho.priority = NF_IP_PRI_FIRST;  
  
  nf_register_net_hook(&init_net, &out_nfho);  
  return 0;  
}  
  
static void __exit exit_func(void)  
{  
    nf_unregister_net_hook(&init_net, &in_nfho);  
    nf_unregister_net_hook(&init_net, &out_nfho);   
    printk(KERN_INFO "Cleaning up Hello_Packet module.\n");  
}  
  
module_init(init_func);  
module_exit(exit_func);

在上面的代码中, 注册并设置了两个Netfilter钩子:

• in_nfho
  钩子拦截进入本地网络栈的数据包(NF_INET_LOCAL_IN
  )

• out_nfho
  钩子拦截离开本地网络栈的数据包(NF_INET_LOCAL_OUT
  )

最终通过dump_addr函数打印了数据包中的源IP地址和目的IP地址。

将代码按照上面的方法进行编译并加载, 模块加载完成后, 输入命令:

dmesg | tail

可以看到打印出来的源IP地址和目的IP地址,如图:

这里192.168.30.57是源IP地址,也就是我本地工作电脑地址; 192.168.201.204就是服务器地址。

点个在看你最好看