首先,我试图从 Netfilter 队列有效负载的有效负载中获取源地址和目标端口(使用 nfq_get_payload 函数检索有效负载)。以下问题提出了同样的问题并得到了正确答案:
不幸的是,没有解释为什么在地址中添加 20 和 22 会让您在正确的位置阅读信息。我认为这是因为数据的结构(显然),但如果有一个定义的结构,它是什么?
该文档没有明确解释数据的格式,只是“此函数检索的数据类型将取决于使用 nfq_set_mode() 函数设置的模式”,但是 set_mode 的文档没有提及有关数据的任何内容类型并且来源不会立即显示任何内容。
我觉得这一定是我遗漏或不理解的常见网络编程结构的核心。
注:nfq_get_payload 函数: http: //www.netfilter.org/projects/libnetfilter_queue/doxygen/group__Parsing.html#gaf79628558c94630e25dbfcbde09f2933
我设法弄清楚了这一点,并将其留在这里供其他人查找。
有效负载以 iphdr 结构开始。iphdr 结构有一个协议字段,例如 tcp,如果是 tcp,那么 iphdr 结构之后的数据就是 tcphdr 结构,如果是 udp,那么还有另一个结构 hdr,等等。
要访问端口,假设 q_data 是指向 nfq_data 结构的指针:
unsigned char *data;
nfq_get_payload(q_data, (unsigned char**)&data);
struct iphdr * ip_info = (struct iphdr *)data;
if(ip_info->protocol == IPPROTO_TCP) {
struct tcphdr * tcp_info = (struct tcphdr*)(data + sizeof(*ip_info));
unsigned short dest_port = ntohs(tcp_info->dest);
} else if(ip_info->protocol == IPPROTO_UDP) {
//etc etc
}