想在內(nèi)核中使用混雜模式監(jiān)視網(wǎng)絡(luò)，應(yīng)該在哪里下手？

flyfrogs

各位高手，我想在內(nèi)核中使用混雜模式監(jiān)視網(wǎng)絡(luò)，應(yīng)該在哪里下手？
1、為了效率足夠高，所以在內(nèi)核中進(jìn)行
2、使用一網(wǎng)卡接在交換機(jī)上，使用混雜模式監(jiān)聽網(wǎng)絡(luò)，不發(fā)包
3、因?yàn)榛祀s模式的包在netfilter之前就處理了，所以不能使用netfilter來進(jìn)行。（看源碼好像是這樣，請(qǐng)指教）
4、因?yàn)閚etpoll只能處理UDP，所以不能使用
5、libcap是用戶態(tài)的，所以不用
6、另一網(wǎng)卡接在交換機(jī)上，正常通訊

那么我怎么做呢？
1、改網(wǎng)卡驅(qū)動(dòng)？
2、改內(nèi)核，比如core.c？仿netpoll寫個(gè)處理程序？
3、其他。。。

獨(dú)孤九賤

回復(fù) 1# flyfrogs

你的監(jiān)視是個(gè)啥概念？?jī)?nèi)核為你這種需求專門提供了接口，掛個(gè)Hook就是了。
參/net/core/dev.c的ptype_all：

1. 3076        list_for_each_entry_rcu(ptype, &ptype_all, list) {
   
2. 3077                if (ptype->dev == null_or_orig || ptype->dev == skb->dev ||
   
3. 3078                    ptype->dev == orig_dev) {
   
4. 3079                        if (pt_prev)
   
5. 3080                                ret = deliver_skb(skb, pt_prev, orig_dev);
   
6. 3081                        pt_prev = ptype;
   
7. 3082                }
   
8. 3083        }

復(fù)制代碼

flyfrogs

代碼看到了，
/*
*         netif_nit_deliver - deliver received packets to network taps
*         @skb: buffer
*
*         This function is used to deliver incoming packets to network
*         taps. It should be used when the normal netif_receive_skb path
*         is bypassed, for example because of VLAN acceleration.
*/
void netif_nit_deliver(struct sk_buff *skb)
{
        struct packet_type *ptype;

        if (list_empty(&ptype_all))
                return;

        skb_reset_network_header(skb);
        skb_reset_transport_header(skb);
        skb->mac_len = skb->network_header - skb->mac_header;

        rcu_read_lock();
        list_for_each_entry_rcu(ptype, &ptype_all, list) {
                if (!ptype->dev || ptype->dev == skb->dev)
                        deliver_skb(skb, ptype, skb->dev);
        }
        rcu_read_unlock();
}

注釋說
It should be used when the normal netif_receive_skb path is bypassed, for example because of VLAN acceleration
這什么意思，難道不用netif_receive_skb？
怎么使用這個(gè)機(jī)制，能舉個(gè)例子嗎？謝謝

flyfrogs

查了下2.6.35.6的源碼，只有在vlan_hwaccel_do_receive才調(diào)用了netif_nit_deliver，
而vlan_hwaccel_do_receive只在__netif_receive_skb被調(diào)用，
也就是注釋說的netif_nit_deliver只在VLAN acceleration時(shí)調(diào)用。

flyfrogs

看錯(cuò)了，看完再問

flyfrogs

回復(fù) 2# 獨(dú)孤九賤

我有個(gè)問題，在我的HOOK中我處理過了的包，我想讓系統(tǒng)丟棄，而不是讓其他的HOOK繼續(xù)處理，
應(yīng)該怎么做？

就是這個(gè)循環(huán)中
        list_for_each_entry_rcu(ptype, &ptype_all, list) {
                if (ptype->dev == null_or_orig || ptype->dev == skb->dev ||
                    ptype->dev == orig_dev) {
                        if (pt_prev)
                                ret = deliver_skb(skb, pt_prev, orig_dev);
                        pt_prev = ptype;
                }
        }
根據(jù)ret的返回值判斷，如果是NET_RX_DROP則終止循環(huán)，
當(dāng)然我不想動(dòng)這個(gè)dev.c文件

獨(dú)孤九賤

可以向ptype_all注冊(cè)一個(gè)Hook，這樣，這個(gè)循環(huán)就可以調(diào)用你的handler。最常用的鏈路層捕包框架都是這樣子做的。

smalloc

先搞清楚什么叫混雜模式。
個(gè)人猜測(cè)，就是屬于包過濾機(jī)制。為了提高效率，通常網(wǎng)卡會(huì)對(duì)自己不關(guān)心的數(shù)據(jù)包都過濾掉，現(xiàn)在通常是硬件完成。
處于混雜模式就是要改變過濾策略。接受所有包。

flyfrogs

回復(fù) 7# 獨(dú)孤九賤

這個(gè)hook不能吃掉包
   

flyfrogs

回復(fù) 8# smalloc

我肯定會(huì)打開網(wǎng)卡混雜模式的