412.htm

unix高级编程原吗

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>CTerm非常精华下载</title>
</head>
<body bgcolor="#FFFFFF">
<table border="0" width="100%" cellspacing="0" cellpadding="0" height="577">
<tr><td width="32%" rowspan="3" height="123"><img src="DDl_back.jpg" width="300" height="129" alt="DDl_back.jpg"></td><td width="30%" background="DDl_back2.jpg" height="35"><p align="center"><a href="http://apue.dhs.org"><font face="黑体"><big><big>apue</big></big></font></a></td></tr>
<tr>
<td width="68%" background="DDl_back2.jpg" height="44"><big><big><font face="黑体"><p align="center">               ● UNIX网络编程                       (BM: clown)                </font></big></big></td></tr>
<tr>
<td width="68%" height="44" bgcolor="#000000"><font face="黑体"><big><big><p   align="center"></big></big><a href="http://cterm.163.net"><img src="banner.gif" width="400" height="60" alt="banner.gif"border="0"></a></font></td>
</tr>
<tr><td width="100%" colspan="2" height="100" align="center" valign="top"><br><p align="center">[<a href="index.htm">回到开始</a>][<a href="316.htm">上一层</a>][<a href="413.htm">下一篇</a>]
<hr><p align="left"><small>:发信人: difeijing (di), 信区: Security WWW-POST <br>
标  题: 大家看下这个想法怎么样？ <br>
发信站: 武汉白云黄鹤站 (Sun Oct  8 12:27:03 2000) , 站内信件 <br>
  <br>
  昨天刚刚有个想法，觉得还是比较可行的。 <br>
  是这样的：当TCP层收到一个到未开放端口的SYN时，会发 <br>
回一个RST，对系统的扫描就是用这个。那么，把内和改一 <br>
下，让TCP层对这种情况发回ACK而非RST，那对方扫描时就 <br>
会看到所有的端口都是开放的，这不是很好玩么,而且，我 <br>
觉得这个还是很有作用的. <br>
  昨天晚上，我找到了这些(tcp_v4_rcv(),tcp_ipv4.c): <br>
  struct sock *sk; <br>
  sk = __tcp_v4_lookup(th, skb->nh.iph->saddr, th->source, <br>
       skb->nh.iph->daddr, th->dest, skb->dev->ifindex); <br>
  if (!sk) <br>
    goto no_tcp_socket; <br>
  ..... <br>
  no_tcp_socket: <br>
    tcp_v4_send_reset(skb); <br>
  我想大概是这里了，就把这个tcp_v4_send_reset(skb)改成： <br>
  tcp_v4_send_ack(skb,skb->h.th->ack_seq, <br>
        skb->h.th->seq,skb->h.th->window); <br>
  <br>
  <br>
  不过，这样还是不行，而且，当自己扫描自己时，系统变得狂慢，TCP <br>
确实比前面的复杂多了，再慢慢试。 <br>
  <br>
  <br>
  <br>
  <br>
-- <br>
:发信人: difeijing (di), 信区: Security WWW-POST <br>
标  题: Re: 大家看下这个想法怎么样？ <br>
发信站: 武汉白云黄鹤站 (Sun Oct  8 16:21:01 2000) , 站内信件 <br>
【 在 AngelFalls (TRY IT) 的大作中提到: 】 <br>
: 我觉得也没有什么意义亚 <br>
: 是为了防止扫描吗//think <br>
: <br>
: 【 在 scz (小四) 的大作中提到: 】 <br>
: : 觉得你这样做不可行，发送rst的时候sk是NULL，你要是简单的换成发送:ack， <br>
: : 肯定有问题。何况你这样做了要重新编译内核，对正常TCP协议冲击也很:大。 <br>
: : 可行的办法还是利用llkm，在这个rst发送出去前换成ack，重新计算TCP:校验和 <br>
: : 不信你试试，这样就可以达到你预期的那个效果了。但这样有什么特别意:义吗？ <br>
: : 我想不出除了好玩还有什么实际意义。 <br>
我想的是防止扫描。如果这样做确实可行的话，可以在服务器上这样做，至少 <br>
让对方不能确切的知道开放的端口。对于那些well-known的服务，他还可以去 <br>

一个一个的试，当对那些本服务器开的特别的维护端口，就很难被别人发现,也 <br>
增加了系统的安全性呀. <br>
  <br>
  <br>
:发信人: difeijing (di), 信区: Security WWW-POST <br>
标  题: Re: 大家看下这个想法怎么样？ <br>
发信站: 武汉白云黄鹤站 (Sun Oct  8 22:19:00 2000) , 站内信件 <br>
已经搞好了。scz大哥说得对，直接改内和确实不好.还是用dev_add_pack(), <br>
这里改了TCP的东西后不用自己来处理校验和，系统在下面做.极简单，不过 <br>
有一点要注意，类型不能设为ETH_P_IP,得设为ETH_P_ALL,才能抓到OUTGOING <br>
的包. <br>
我想还是有用处的.反正都用了ETH_P_ALL,其实可以把几个功能做到 <br>
一起来，用加载时的参数来确定启用哪些. <br>
  <br>
  <br>
:发信人: difeijing (di), 信区: Security WWW-POST <br>
标  题: Re: 大家看下这个想法怎么样？ <br>
发信站: 武汉白云黄鹤站 (Mon Oct  9 12:44:05 2000) , 站内信件 <br>
【 在 scz (小四) 的大作中提到: 】 <br>
: 设为ETH_P_ALL的时候，内核才会向lo接口送这个包， <br>
: 那贴一下你的程序吧，有些人可能还是不明白。昨天晚上 <br>
: 本来想替你贴个演示程序的，结果今天早上你既然搞定了， <br>

: 我就懒得动手了。 <br>
马上就帖，下一个. <br>
: 我也想到一个用来捣乱的办法，你这样处理后，并不影响 <br>
: 本机tcp自动机的销毁，不用担心rst-->ack后增大系统负载。 <br>
: 但是对于远程扫描的人来说，如果是syn扫描就会全部误报， <br>
: 如果是connect扫描，就会消耗对方的大量资源，而本机无恙。 <br>
我确实觉得这个很有意义，really.如果测试之后可以证明这样 <br>
对机器不会带来超额的负载的话，这个完全可以放到服务器上，做 <br>
为一层保护. <br>
: 此外那个内核包转发的你调试过没有？作者对MAC地址的处理你 <br>
: 怎么看，反正我最后被迫修改代码了 <br>
那个我还没调过，总是太懒,ai.反正MAC在那里嘛，收数据时data <br>
直接指向以太包头，发数据时data指向ip头，往回移14个就好了吧? <br>
-- <br>
</small><hr>
<p align="center">[<a href="index.htm">回到开始</a>][<a href="316.htm">上一层</a>][<a href="413.htm">下一篇</a>]
<p align="center"><a href="http://cterm.163.net">欢迎访问Cterm主页</a></p>
</table>
</body>
</html>