linux 源码分析(linux用什么软件写程序)
Linux netfilter hook源码分析(基于内核代码版本4.18.0-80)
Netfilter在网络层实现的详细分析如下:
本文分析的源码版本为4.18.0-80。
4.3以下的内核版本是通过nf_register_hook来注册,nf_unregister_hook来注销;
4.3-4.13之间版本,nf_register_hook会调用nf_register_net_hook来逐个net命名空间注册,此时可以使用这俩函数中的任一个来注册,注销对应nf_unregister_hook/nf_unregister_net_hook;
4.13及以上版本内核是通过nf_register_net_hook/nf_unregister_net_hook来注册/注销,删掉了nf_register_hook函数。
我画了张图,描述了netfilter hook的整个过程所涉及的数据结构(基于内核代码版本4.18.0-80):
1、钩子函数的注册
nf_register_net_hook函数的源码在net etfilter\core.c中,对于注册的hook协议类型为NFPROTO_INET的话,会先后注册ipv4、ipv6的hook,然后会根据注册的协议类型调用__nf_register_net_hook函数,nf_hook_entries获取对应协议的对应hook链的首地址,然后调用nf_hook_entries_grow将要注册的hook按优先级priority插入到该链中。
2、自定义hook钩子函数的调用链
内核网络协议栈中安装的钩子会在相关位置调用NF_HOOK/NF_HOOK_COND宏,触发钩子函数,如net\ipv4\ip_input.c中,进入本地的网络数据包,会调用NF_HOOK触发NF_INET_LOCAL_IN钩子。
实际执行时调用nf_hook函数,函数定义在include\linux etfilter.h中,根据传入的协议类型及hook点,获取对应hook链的数组首地址后,最终调用nf_hook_slow函数。
根据传入的协议类型,及hook点,获取对应hook链的数组首地址后,最终调用nf_hook_slow函数,调用内联函数nf_hook_entry_hookfn,最终就调用到hook_entry的hook回调函数。
此时entry->hook就是我们自定义的nf_hook_ops中的hook函数了。
它的返回值包括NF_ACCEPT、NF_REPEAT、NF_DROP、NF_QUEUE等。
3、钩子函数的注销
nf_unregister_net_hook和__nf_unregister_net_hook函数处理注销过程,跟注册类似,调用__nf_unregister_net_hook函数进行删除操作。
删除过程中,调用nf_remove_net_hook从对应的hook数组中移除该hook,这里移除并没有删掉,而是将该hook数组对应下标的hook改成了accept_all,nf_hook_ops设置为dummy_ops。
之后调用__nf_hook_entries_try_shrink尝试缩容hook数组,重新申请了一个nf_hook_entries,将旧的nf_hook_entries中除了元素为dummy_ops的所有元素都按顺序拷贝到新nf_hook_entries中。
在当前net网络命名空间中删除旧的nf_hook_entries,释放旧nf_hook_entries_free所占空间。
如何查看linux内核源代码
一般在Linux系统中的/usr/src/linux*.*.*(*.*.*代表的是内核版本,如2.4.23)目录下就是内核源代码(如果没有类似目录,是因为还没安装内核代码)。另外还可从互连网上免费下载。注意,不要总到去下载,最好使用它的镜像站点下载。请在mirrors/里找一个合适的下载点,再到pub/linux/kernel/v2.6/目录下去下载2.4.23内核。
代码目录结构
在阅读源码之前,还应知道Linux内核源码的整体分布情况。现代的操作系统一般由进程管理、内存管理、文件系统、驱动程序和网络等组成。Linux内核源码的各个目录大致与此相对应,其组成如下(假设相对于Linux-2.4.23目录):
1.arch目录包括了所有和体系结构相关的核心代码。它下面的每一个子目录都代表一种Linux支持的体系结构,例如i386就是IntelCPU及与之相兼容体系结构的子目录。PC机一般都基于此目录。
2.include目录包括编译核心所需要的大部分头文件,例如与平台无关的头文件在include/linux子目录下。
3.init目录包含核心的初始化代码(不是系统的引导代码),有main.c和Version.c两个文件。这是研究核心如何工作的好起点。
4.mm目录包含了所有的内存管理代码。与具体硬件体系结构相关的内存管理代码位于arch/*/mm目录下。
5.drivers目录中是系统中所有的设备驱动程序。它又进一步划分成几类设备驱动,每一种有对应的子目录,如声卡的驱动对应于drivers/sound。
6.ipc目录包含了核心进程间的通信代码。
7.modules目录存放了已建好的、可动态加载的模块。
8.fs目录存放Linux支持的文件系统代码。不同的文件系统有不同的子目录对应,如ext3文件系统对应的就是ext3子目录。
Kernel内核管理的核心代码放在这里。同时与处理器结构相关代码都放在arch/*/kernel目录下。
9.net目录里是核心的网络部分代码,其每个子目录对应于网络的一个方面。
10.lib目录包含了核心的库代码,不过与处理器结构相关的库代码被放在arch/*/lib/目录下。
11.scripts目录包含用于配置核心的脚本文件。
12.documentation目录下是一些文档,是对每个目录作用的具体说明。
一般在每个目录下都有一个.depend文件和一个Makefile文件。这两个文件都是编译时使用的辅助文件。仔细阅读这两个文件对弄清各个文件之间的联系和依托关系很有帮助。另外有的目录下还有Readme文件,它是对该目录下文件的一些说明,同样有利于对内核源码的理解。
在阅读方法或顺序上,有纵向与横向之分。所谓纵向就是顺着程序的执行顺序逐步进行;所谓横向,就是按模块进行。它们经常结合在一起进行。对于Linux启动的代码可顺着Linux的启动顺序一步步来阅读;对于像内存管理部分,可以单独拿出来进行阅读分析。实际上这是一个反复的过程,不可能读一遍就理解。
linux内核源码目录在哪linux内核源码
如何查看linux内核源代码?
一般在Linux系统中的/usr/src/linux*.*.*(*.*.*代表的是内核版本,如2.4.23)目录下就是内核源代码(如果没有类似目录,是因为还没安装内核代码)。另外还可从互连网上免费下载。注意,不要总到去下载,最好使用它的镜像站点下载。请在里找一个合适的下载点,再到pub/linux/kernel/v2.6/目录下去下载2.4.23内核。
代码目录结构
在阅读源码之前,还应知道Linux内核源码的整体分布情况。现代的操作系统一般由进程管理、内存管理、文件系统、驱动程序和网络等组成。Linux内核源码的各个目录大致与此相对应,其组成如下(假设相对于Linux-2.4.23目录):
1.arch目录包括了所有和体系结构相关的核心代码。它下面的每一个子目录都代表一种Linux支持的体系结构,例如i386就是IntelCPU及与之相兼容体系结构的子目录。PC机一般都基于此目录。
2.include目录包括编译核心所需要的大部分头文件,例如与平台无关的头文件在include/linux子目录下。
3.init目录包含核心的初始化代码(不是系统的引导代码),有main.c和Version.c两个文件。这是研究核心如何工作的好起点。
4.mm目录包含了所有的内存管理代码。与具体硬件体系结构相关的内存管理代码位于arch/*/mm目录下。
5.drivers目录中是系统中所有的设备驱动程序。它又进一步划分成几类设备驱动,每一种有对应的子目录,如声卡的驱动对应于drivers/sound。
6.ipc目录包含了核心进程间的通信代码。
7.modules目录存放了已建好的、可动态加载的模块。
8.fs目录存放Linux支持的文件系统代码。不同的文件系统有不同的子目录对应,如ext3文件系统对应的就是ext3子目录。
Kernel内核管理的核心代码放在这里。同时与处理器结构相关代码都放在arch/*/kernel目录下。
9.net目录里是核心的网络部分代码,其每个子目录对应于网络的一个方面。
10.lib目录包含了核心的库代码,不过与处理器结构相关的库代码被放在arch/*/lib/目录下。
11.scripts目录包含用于配置核心的脚本文件。
12.documentation目录下是一些文档,是对每个目录作用的具体说明。
一般在每个目录下都有一个.depend文件和一个Makefile文件。这两个文件都是编译时使用的辅助文件。仔细阅读这两个文件对弄清各个文件之间的联系和依托关系很有帮助。另外有的目录下还有Readme文件,它是对该目录下文件的一些说明,同样有利于对内核源码的理解。
在阅读方法或顺序上,有纵向与横向之分。所谓纵向就是顺着程序的执行顺序逐步进行;所谓横向,就是按模块进行。它们经常结合在一起进行。对于Linux启动的代码可顺着Linux的启动顺序一步步来阅读;对于像内存管理部分,可以单独拿出来进行阅读分析。实际上这是一个反复的过程,不可能读一遍就理解。
