如何在网络过滤器中重新计算 IP 校验和

How to recalculate IP checksum in netfilter?

本文关键字:计算 校验和 IP 新计算 网络 过滤器      更新时间:2023-10-16

我正在开发一个网络过滤器内核模块,我需要在其中重新计算IP校验和。我使用这个函数来计算IP校验和(在互联网上的某个地方找到它):

unsigned short ComputeIPChecksum(unsigned char *data, int len)
{
         long sum = 0;  /* assume 32 bit long, 16 bit short */
     unsigned short *temp = (unsigned short *)data;
         while(len > 1){
             sum += *temp++;
             if(sum & 0x80000000)   /* if high order bit set, fold */
               sum = (sum & 0xFFFF) + (sum >> 16);
             len -= 2;
         }
         if(len)       /* take care of left over byte */
             sum += (unsigned short) *((unsigned char *)temp);
         while(sum>>16)
             sum = (sum & 0xFFFF) + (sum >> 16);
        return ~sum;
}
通过查看 wireshark,

我可以看到传入数据包已成功接收,但对于传出数据包,wireshark 显示不正确的 ip 校验和。这是我的钩子函数:

static unsigned int hook_func(unsigned int hooknum,
                        struct sk_buff *skb,
                                const struct net_device *in,
                                const struct net_device *out,
                                int (*okfn)(struct sk_buff *))
{
    sock_buff = skb; 
    if (sock_buff)
    {
            ip_header = (struct iphdr *)skb_network_header(sock_buff);
            if (ip_header && ip_header->protocol == TCP)
            {
                ip_header->check = ComputeIPChecksum((unsigned char *)ip_header, ip_header->ihl*4);
            }
    }
    return NF_ACCEPT;
}

这是主要的,我已经将相同的钩子函数绑定到PRE_ROUTING和POST_ROUTING

static int __init init_main(void)
{
    nfho.hook     = hook_func;
    nfho.hooknum  = 0;
    nfho.pf       = PF_INET;
    nfho.priority = NF_IP_PRI_FIRST;
    nfho1.hook     = hook_func;
    nfho1.hooknum  = 4;
    nfho1.pf       = PF_INET;
    nfho1.priority = NF_IP_PRI_FIRST;
    nf_register_hook(&nfho);
    nf_register_hook(&nfho1);
    return 0;
}

为什么传出数据包的 IP 校验和会损坏???

wireshark 中显示的错误: 

Header checksum: 0x0000 [incorrect, should be 0x85de (maybe caused by "IP checksum offload"?)]

您在哪里捕获数据包?

IP 校验和

(以及 TCP/UDP 校验和)可以由网卡本身计算。如果您的卡上是这种情况(这是一个非常常见的功能),并且您在计算机上捕获,我希望看到 0 个校验和。

如果像这样定义 IP 标头:

struct iphdr *iph;

然后

iph = (struct iphdr *) skb_header_pointer(skb, 0, 0, NULL);

然后,您可以重新计算校验和,如下所示。

/* Calculation of IP header checksum */
iph->check = 0;
ip_send_check (iph);

你可以看看我的问题:如何从内核空间在数据包上附加数据?在那里,您可以在底部的给定答案中找到详细代码。在那里我不得不重新计算 IP 和 UDP 标头校验和。

相关文章: