關于FreeBSD的HOOK機制

xfsoul

FreeBSD有沒有類似Netfilter之類的HOOK機制？
我想自己對網(wǎng)絡上的報文進行分析，有沒有HOOK機制，可以把我的代碼嵌入到協(xié)議棧的處理流程中去？

雨絲風片

原帖由 xfsoul 于 2006-6-2 15:58 發(fā)表
FreeBSD有沒有類似Netfilter之類的HOOK機制？
我想自己對網(wǎng)絡上的報文進行分析，有沒有HOOK機制，可以把我的代碼嵌入到協(xié)議棧的處理流程中去？

我現(xiàn)在能想到的辦法是：KLD。

把你想要完成的東西寫成KLD，加載到內(nèi)核中，然后使用kvm接口找到你想修改的函數(shù)指針的地址，比如你正在關心的橋轉發(fā)代碼的輸入函數(shù)指針bridge_input_p，先用kvm_read()讀出它的原值，保存。然后使用kvm_write()函數(shù)把它的值替換成你的KLD中的函數(shù)地址，在你處理完之后，再按bridge_input_p的原值調(diào)用正常的處理流程即可。

上述方法未經(jīng)實驗，僅從我對kld和kvm的現(xiàn)有實驗結果中推斷而出。

xfsoul

沒有HOOK機制嗎？
在這個HOOK點上，我可以加上我自己的處理函數(shù)。
另外我獲取這個報文，對該報文進行分析不能都放在同一個進程中吧，不然可能影響報文的轉發(fā)流程吧？

ocean390

netgraph

雨絲風片

原帖由 雨絲風片 于 2006-6-2 16:16 發(fā)表
我現(xiàn)在能想到的辦法是：KLD。

把你想要完成的東西寫成KLD，加載到內(nèi)核中，然后使用kvm接口找到你想修改的函數(shù)指針的地址，比如你正在關心的橋轉發(fā)代碼的輸入函數(shù)指針bridge_input_p，先用kvm_read()讀出它 ...

我錯了，把kld和kvm弄混了。

kvm用來完成內(nèi)核空間和用戶空間的數(shù)據(jù)交互，而kld本身就是內(nèi)核空間，如果要替換函數(shù)指針的話，直接修改即可。

已經(jīng)寫了一個簡單的函數(shù)指針替換的例子，稍微修改一下就可以實現(xiàn)報文分析的目的。

http://www.72891.cn/viewthr ... &extra=page%3D1