这会儿不是工作日,这会儿是周六。
systemtap就是一个kprobe的DSL,本质上完成的是同一类工作,kprobe用起来比较麻烦,还要自己编写编译内核模块,相比而言,stap就方便很多。
既然kprobe可以修改内核结构体的内容,那么也就可以修改网络数据包咯,前面的文章描述了如何迷惑程序员的抓包行为,本文展示一下如何实现一个NAT端口转换逻辑,代码如下:
#!/usr/bin/stap -g
%{
#include <linux/tcp.h>
#include <linux/ip.h>
%}
// 将来源于100.100.100.2的访问端口12345的流转换到访问22
function port_transform(skb:long, type:long)
%{
struct sk_buff *skb2 = (struct sk_buff *)STAP_ARG_skb;
struct iphdr *iph;
struct tcphdr *th;
iph = ip_hdr(skb2);
if (iph->protocol != IPPROTO_TCP)
return;
th = (struct tcphdr *)((unsigned char *)iph + (iph->ihl * 4));
if (STAP_ARG_type == 0 && iph->saddr == 0x02646464 && ntohs(th->dest) == 12345) {
__be16 dest = th->dest;
th->dest = htons(22);
inet_proto_csum_replace2(&th->check, skb2, dest, htons(22), 0);
}
if (STAP_ARG_type == 1 && iph->daddr == 0x02646464 && ntohs(th->source) == 22) {
__be16 source = th->source;
th->source = htons(12345);
inet_proto_csum_replace2(&th->check, skb2, source, htons(12345), 0);
}
%}
probe kernel.function("ip_rcv_finish")
{
port_transform($skb, 0);
}
probe kernel.function("ip_output")
{
port_transform($skb, 1);
}
为了让代码保持短,我硬编码了规则:
- 将来自100.100.100.2的访问TCP端口12345的包转换为访问TCP端口22的包。
在100.100.100.2这台机器上测试一下telnet 100.100.100.1 12345显然是通的。
我这个脚本意义在于可以在正式开发之前先搞POC,除此之外就没有别的意义了,没人会在生产环境拿kprobe跑业务流量,诸如int 3,单步指令会影响性能balabalabala…
浙江温州皮鞋湿,下雨进水不会胖。