linux系统怎么抓报文?
修改系统拒收ICMP重定向报文 在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。 在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。
为何我的tcpdump在linux下运行不了?
tcpdump是通过libpcap来抓取报文的,libpcap在不同平台有不同的实现,下面仅以Linux平台来作说明。首先Linux平台在用户态获取报文的Mac地址等链路层信息并不是什么特殊的事情,通过AF_PACK套接字就可以实现,而tcpdump或libpcap也正是用这种方式抓取报文的(可以strace tcpdump的系统调用来验证)。关于AF_PACK的细节,可查看man 7 packet。其次,上面已经提到tcpdumap使用的是AF_PACK套接字,不是Netfilter。使用Netfilter至少有2点不合理的地方:
1. 数据包进入Netfilter时其实已经在协议栈做过一些处理了,数据包可能已经发生一些改变了。比较明显的一个例子,进入Netfilter前需要重组分片,所以Netfilter中无法抓取到原始的报文分片。而在发送方向,报文离开Netfilter时也未完全结束协议栈的处理,所以抓取到的报文也会有不完整的可能。
2. 在Netfilter抓取的报文,向用户态递送时也会较为复杂。Netfilter的代码处在中断上下文和进程上下文两种运行环境,无法使用传统系统调用,简单的做法就是使用Netlink。而这还不如直接用AF_PACKET抓取报文来得简单(对内核和用户态程序都是如此)。
Linux的内核及其作用?
管理进程:内核负责创建和销毁进程, 并处理它们与外部世界的联系(输入和输出),不同进程间通讯(通过信号,管道,或者进程间通讯原语)对整个系统功能来说是基本的,也由内核处理。 另外, 调度器, 控制进程如何共享CPU,是进程管理的一部分。 更通常地,内核的进程管理活动实现了多个进程在一个单个或者几个CPU 之上的抽象。
管理内存:计算机的内存是主要的资源, 处理它所用的策略对系统性能是至关重要的。 内核为所有进程的每一个都在有限的可用资源上建立了一个虚拟地址空间。 内核的不同部分与内存管理子系统通过一套函数调用交互,从简单的malloc/free对到更多更复杂的功能。
文件系统:Unix 在很大程度上基于文件系统的概念;几乎Unix中的任何东西都可看作一个文件。 内核在非结构化的硬件之上建立了一个结构化的文件系统,结果是文件的抽象非常多地在整个系统中应用。 另外,Linux 支持多个文件系统类型,就是说,物理介质上不同的数据组织方式。 例如,磁盘可被格式化成标准Linux的ext3文件系统,普遍使用的FAT文件系统,或者其他几个文件系统。
设备控制:几乎每个系统操作终都映射到一个物理设备上,除了处理器,内存和非常少的别的实体之外,全部中的任何设备控制操作都由特定于要寻址的设备相关的代码来进行。 这些代码称为设备驱动。 内核中必须嵌入系统中出现的每个外设的驱动,从硬盘驱动到键盘和磁带驱动器。 内核功能的这个方面是本书中的我们主要感兴趣的地方。
网络管理:网络必须由操作系统来管理,因为大部分网络操作不是特定于某一个进程: 进入系统的报文是异步事件。 报文在某一个进程接手之前必须被收集,识别,分发,系统负责在程序和网络接口之间递送数据报文,它必须根据程序的网络活动来控制程序的执行。 另外,所有的路由和地址解析问题都在内核中实现。