netlinkを使用したシンプルなLinuxネットワークインターフェイスモニター

一度、プロジェクトの1つで、すべてのネットワークインターフェイス、ルーティングテーブルに対する厳密で信頼性の高い制御を整理し、変更の通知を受け取る必要がありました。 戦略的な決定が下されました-古き良きioctlネットデバイス（SIOCGIFMETRIC、SIOCSIFNAMEなど）を使用するのではなく、対応するユーティリティ（ifconfig、routeなど）を直接呼び出すのではなく、より現代的で便利なソリューションを見つけるために。 見つかった-libnetlink。 これは、 netlinkメカニズムを使用してカーネルと通信するための多数のメソッドを提供するライブラリです。 このライブラリは私の目的に最適であり、膨大な数のタスクを解決できました。 残念ながら、このライブラリはあまり便利ではなく、かなり複雑なAPIであることが判明し、多くのあいまいなアクションが必要になりました。 ドキュメントのほぼ完全な欠如と、一般的にこのトピックに関する資料は、特別な楽しみを追加しました。

考えた後、私は適切にネットリンクを理解し、自分のライブラリを書くことにしました。 現時点では、通知、ネットワークインターフェイス、ルーティングテーブルを操作するためのすべての機能が実装されており、もちろんIPv4とIPv6がサポートされています。 すぐにこのプロジェクトが公開されます:)今のところ、簡単なネットワークインターフェイスモニターの例を使用して、ネットリンクの美しい世界に興味のあるすべての人を紹介したいと思います。

netlinkとは何ですか？

したがって、netlinkは、ユーザー空間とLinuxカーネルの間の通信に便利な方法です。 通信は、特別なプロトコル-AF_NETLINKを使用して、通常のソケットを使用して実行されます。

Netlinkを使用すると、インターフェイス、ルーティング、ネットワークパケットフィルターなど、多数のカーネルサブシステムと対話できます。 さらに、カーネルモジュールと通信できます。 もちろん、後者はこのタイプの通信をサポートするはずです。

各ネットリンクメッセージは、nlmsghdr構造で表されるヘッダーと、特定のバイト数（「ペイロード」）です。 この「ロード」は、何らかの構造、または単なるRAWデータである可能性があります。 メッセージは、配信中にいくつかの部分に分割できます。 このような場合、後続の各パケットには、フラグNLM_F_MULTIと最後のフラグNLMSG_DONEのマークが付けられます。 メッセージの分析のために、ヘッダーファイルnetlink.hおよびrtnetlink.hで定義されたマクロのセット全体があります。

netlinkソケットを作成します。

netlinkソケット宣言はかなり標準に見えます：



socket(AF_NETLINK, SOCK_RAW, NETLINK_ROUTE)







ここでAF_NETLINK-ネットリンクプロトコル

SOCK_RAW-ソケットタイプ

NETLINK_ROUTE-ネットリンクプロトコルファミリ。



最後のパラメーターは、netlinkから取得するものに応じて異なる場合があります。

最も興味深いパラメーターを含む表を提供します（パラメーターの完全なリストはドキュメントに記載されています）。



NETLINK_ROUTE-ルーティングテーブルとネットワークインターフェイスへの変更の通知を受け取ります。

上記のオブジェクトのすべてのパラメーターを変更するためにも使用できます。

NETLINK_USERSOCK-ユーザープロトコルを定義するために予約されています。

NETLINK_FIREWALL-ネットワークフィルターからユーザーレベルにIPv4パケットを転送します

NETLINK_INET_DIAG -inetソケットの監視

NETLINK_NFLOG -ULOGネットワ​​ーク/パケットフィルター

NETLINK_SELINUX -Selinuxシステムから通知を受け取ります

NETLINK_NETFILTER-ネットワークフィルターサブシステムを操作します

NETLINK_KOBJECT_UEVENT-カーネルメッセージの受信



さらに、作成されたソケットを使用して、たとえば、送信機能を使用してメッセージを送信したり、recvmsgを使用してメッセージを受信したりできます。

Netlinkメッセージ。

nlmsghdr構造で表されるメッセージヘッダー

 struct nlmsghdr { __u32 nlmsg_len; //  ,    __u16 nlmsg_type; //    (  ) __u16 nlmsg_flags; //    __u32 nlmsg_seq; //    __u32 nlmsg_pid; //   (PID),   };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

nlmsg_typeフィールドは、標準のメッセージタイプのいずれかを指すことができます。

NLMSG_NOOP-このタイプのメッセージは無視されます。

NLMSG_ERROR-エラーメッセージ、およびnlmsgerr構造はペイロードセクションにあります（以下を参照）

NLMSG_DONE-このフラグを持つメッセージは、いくつかの部分に分割されたメッセージを完了する必要があります



Nlmsgerr構造

 struct nlmsgerr { int error; //     struct nlmsghdr msg; //  ,    };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

メッセージは、1つ以上のタイプ（論理的なORを使用して異なるタイプが結合される）のタイプの操作です。



NLM_F_REQUEST-メッセージ-何かのリクエスト

NLM_F_MULTI-メッセージ、メッセージの一部は複数の部分に分割されます

NLM_F_ACK-メッセージ-確認要求

NLM_F_ECHO-エコー要求。 通常の方向は、カーネルレベルからユーザーレベルへのクエリです。

NLM_F_ROOT-このタイプのクエリは、特定のエンティティ内の特定のテーブルを返します

NLM_F_MATCH-クエリは見つかったすべての一致を返します

NLM_F_ATOMIC-特定のテーブルのアトミックスライスを返します

NLM_F_DUMP - NLM_F_ROOTに類似| NLM_F_MATCH



追加のフラグ：



NLM_F_REPLACE-既存の類似オブジェクトを置き換えます

NLM_F_EXCL-そのようなオブジェクトが既に存在する場合は置き換えません

NLM_F_CREATE-オブジェクトが存在しない場合は作成します

NLM_F_APPEND-リストにオブジェクトを既存のものに追加します



クライアントを（カーネルレベルおよびユーザーレベルで）識別するために、nladdrという特別なアドレス構造があります。

 struct sockaddr_nl { sa_family_t nl_family; //   -  AF_NETLINK unsigned short nl_pad; //     pid_t nl_pid; //   __u32 nl_groups; //   / };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

nl_pidは一意のソケットアドレスです。 カーネル内のクライアントの場合、常にゼロです。 ユーザーレベルのユーザーの場合、ソケットを所有するプロセスの識別子と同じです。 各識別子は一意である必要があるため、マルチスレッドアプリケーションで複数のnetlinkソケットを作成しようとすると問題が発生する可能性があります。新しいソケットを作成すると、「Operation not allowed」エラーが返されます。 この制限を回避するには、nl_pidに次の式の値を割り当てる必要があります。

pthread_self() << 16 | getpid();





ソケットに対してbind（）が呼び出される前に、識別子の値を割り当てる必要があります。

また、識別子にゼロ値を割り当てることができます。 この場合、カーネルは一意の識別子を生成しますが、アプリケーションで作成された最初のソケットには常にこのアプリケーションの識別子値が割り当てられます。



nl_groupsはビットマスクで、各ビットはネットリンクグループ番号を表します。 netlinkソケットでbind（）を呼び出す場合、アプリケーションがこのコンテキストでリッスンするグループのビットマスクを指定します。 論理ORを使用して異なるグループを組み合わせることができます。

メジャーグループは、ネットリンクヘッダーファイルで定義されます。

それらのいくつかの例：



RTMGRP_LINK-このグループは、ネットワークインターフェイスの変更の通知を受け取ります（インターフェイスは廃止、追加、削除、上昇）

RTMGRP_IPV4_IFADDR-このグループは、インターフェースのIPv4アドレスの変更の通知を受け取ります（アドレスは追加または削除されました）

RTMGRP_IPV6_IFADDR-このグループは、インターフェースのIPv6アドレスの変更の通知を受け取ります（アドレスは追加または削除されました）

RTMGRP_IPV4_ROUTE-このグループは、IPv4アドレスのルーティングテーブルの変更の通知を受け取ります

RTMGRP_IPV6_ROUTE-このグループは、IPv6アドレスのルーティングテーブルの変更の通知を受け取ります



nlmsghdrヘッダー構造の後には、常にデータブロックへのポインターがあります。 マクロへのアクセスはマクロを使用して取得できますが、これについては後で説明します。

ネットリンクマクロ

この場合、最も便利なマクロは次のとおりです。

NLMSG_ALIGN-ネットリンクメッセージのサイズを最も近い大きい境界整列値に丸めます。

NLMSG_LENGTH-パラメーターとしてデータフィールド（ペイロード）のサイズを取得し、nlmsghdrヘッダーのnlmsg_lenフィールドに書き込むための境界整列サイズ値を返します。

NLMSG_SPACE-ネットリンクパケット内の指定された長さのデータが占有するサイズを返します。

NLMSG_DATA-渡されたnlmsghdrヘッダーに関連付けられたデータへのポインターを返します。

NLMSG_NEXT-多くの部分で構成されるメッセージの次の部分を返します。 このマクロは、マルチパートメッセージで次のnlmsghdrヘッダーを受け入れます。 呼び出し側アプリケーションは、現在のnlmsghdr ヘッダーの NLMSG_DONEフラグを確認する必要があります。メッセージが処理されるときに、関数はNULLを返しません。 2番目のパラメーターは、メッセージバッファーの残りの部分のサイズを設定します。 マクロは、メッセージヘッダーのサイズだけこの値を減らします。

NLMSG_OK-メッセージが切り捨てられず、逆アセンブリが成功した場合、trueを返します。

NLMSG_PAYLOAD -nlmsghdrヘッダーに関連付けられているペイロードデータのサイズを返します。

理論から実践へ。

じゃあ 私はすでに退屈な理論に退屈していると思います:)何かが混乱したり、理解できないように思われるかもしれません-私は説明的な例ですべてを噛もうとします、本当にそこには複雑なものはありません。

以下は、ネットワークインターフェイスとルーティングテーブルの変更の通知を受け取る約束のアプリケーションです。

この例では、いくつかの新しい構造が導入されています。

 struct iovec { void *iov_base; //   __kernel_size_t iov_len; //   };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構造は、netlinkソケットを介して送信される有用なデータのリポジトリとして機能します。 iov_baseフィールドには、バイト配列へのポインターが割り当てられます。 メッセージデータが書き込まれるのは、このバイト配列です。

 struct msghdr { void *msg_name; //   ( ) int msg_namelen; //   struct iovec *msg_iov; //     __kernel_size_t msg_iovlen; //    void *msg_control; //    ,      __kernel_size_t msg_controllen; //     unsigned msg_flags; //   };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構造は、ソケットを介して直接送信されます。 有用なデータのブロックへのポインタ、ブロックデータの量、および多くの場合BSDプラットフォームから来た追加のフラグとフィールドが含まれています。

 struct ifinfomsg { unsigned char ifi_family; //  (AF_UNSPEC) unsigned short ifi_type; //   int ifi_index; //   unsigned int ifi_flags; //   unsigned int ifi_change; //  ,           0xFFFFFFFF };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構造は、ネットワークデバイス、そのファミリ、タイプ、インデックス、およびフラグを表すために使用されます。

 struct ifaddrmsg { unsigned char ifa_family; //   (AF_INET  AF_INET6) unsigned char ifa_prefixlen; //    (  ) unsigned char ifa_flags; //   unsigned char ifa_scope; //   int ifa_index; //  ,     ifinfomsg };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構造は、ネットワークインターフェイスに割り当てられたネットワークアドレスを表すために使用されます。

 struct rtattr { unsigned short rta_len; //   unsigned short rta_type; //   /*  */ }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構造は、接続パラメーターまたはアドレスを格納するために使用されます。

ソースコードモニター

 #include <errno.h> #include <stdio.h> #include <memory.h> #include <net/if.h> #include <arpa/inet.h> #include <sys/socket.h> #include <linux/rtnetlink.h> //   ,     netlink    //       rtattr void parseRtattr(struct rtattr *tb[], int max, struct rtattr *rta, int len) { memset(tb, 0, sizeof(struct rtattr *) * (max + 1)); while (RTA_OK(rta, len)) { //     if (rta->rta_type <= max) { tb[rta->rta_type] = rta; //  } rta = RTA_NEXT(rta,len); //    } } int main() { int fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_ROUTE); //    if (fd < 0) { printf("  netlink : %s", (char*)strerror(errno)); return 1; } struct sockaddr_nl local; //   char buf[8192]; //   struct iovec iov; //   iov.iov_base = buf; //  buf      iov iov.iov_len = sizeof(buf); //    memset(&local, 0, sizeof(local)); //   local.nl_family = AF_NETLINK; //    local.nl_groups = RTMGRP_LINK | RTMGRP_IPV4_IFADDR | RTMGRP_IPV4_ROUTE; //    local.nl_pid = getpid(); //       //   netlink -    struct msghdr msg; { msg.msg_name = &local; //   -    msg.msg_namelen = sizeof(local); //   msg.msg_iov = &iov; //     msg.msg_iovlen = 1; //    } if (bind(fd, (struct sockaddr*)&local, sizeof(local)) < 0) { //    printf("   netlink : %s", (char*)strerror(errno)); close(fd); return 1; } //       while (1) { ssize_t status = recvmsg(fd, &msg, MSG_DONTWAIT); //   bind()        //   if (status < 0) { if (errno == EINTR || errno == EAGAIN) { usleep(250000); continue; } printf("   netlink: %s", (char*)strerror(errno)); continue; } if (msg.msg_namelen != sizeof(local)) { //  ,   :) printf("   "); continue; } //    struct nlmsghdr *h; //     for (h = (struct nlmsghdr*)buf; status >= (ssize_t)sizeof(*h); ) { //     int len = h->nlmsg_len; //    int l = len - sizeof(*h); //    char *ifName; //   if ((l < 0) || (len > status)) { printf("  : %i", len); continue; } //    if ((h->nlmsg_type == RTM_NEWROUTE) || (h->nlmsg_type == RTM_DELROUTE)) { //     -   printf("    \n"); } else { //        char *ifUpp; //   char *ifRunn; //   struct ifinfomsg *ifi; //   ,      struct rtattr *tb[IFLA_MAX + 1]; //   , IFLA_MAX   rtnetlink.h ifi = (struct ifinfomsg*) NLMSG_DATA(h); //          parseRtattr(tb, IFLA_MAX, IFLA_RTA(ifi), h->nlmsg_len); //     if (tb[IFLA_IFNAME]) { //   ,    ifName = (char*)RTA_DATA(tb[IFLA_IFNAME]); //   } if (ifi->ifi_flags & IFF_UP) { //    UP   ifUpp = (char*)"UP"; } else { ifUpp = (char*)"DOWN"; } if (ifi->ifi_flags & IFF_RUNNING) { //    RUNNING   ifRunn = (char*)"RUNNING"; } else { ifRunn = (char*)"NOT RUNNING"; } char ifAddress[256]; //    struct ifaddrmsg *ifa; //         struct rtattr *tba[IFA_MAX+1]; //    ifa = (struct ifaddrmsg*)NLMSG_DATA(h); //     parseRtattr(tba, IFA_MAX, IFA_RTA(ifa), h->nlmsg_len); //     if (tba[IFA_LOCAL]) { //      inet_ntop(AF_INET, RTA_DATA(tba[IFA_LOCAL]), ifAddress, sizeof(ifAddress)); //  IP  } switch (h->nlmsg_type) { //   case RTM_DELADDR: printf("    %s\n", ifName); break; case RTM_DELLINK: printf("   %s\n", ifName); break; case RTM_NEWLINK: printf("  %s,   %s %s\n", ifName, ifUpp, ifRunn); break; case RTM_NEWADDR: printf("     %s: %s\n", ifName, ifAddress); break; } } status -= NLMSG_ALIGN(len); //     (    -   ,   :)) h = (struct nlmsghdr*)((char*)h + NLMSG_ALIGN(len)); //   } usleep(250000); //  ,       } close(fd); //    return 0; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

プログラムのコンパイル：

gcc monitor.c -o monitor







そして仕事の結果：





コードの説明。

プログラムを開始した後、netlinkソケットを作成し、作成の成功を確認します。 次に、必要な変数が宣言され、ローカルアドレス構造が設定されます。 ここで、サブスクライブするメッセージのグループを示します：RTMGRP_LINK、RTMGRP_IPV4_IFADDR、RTMGRP_IPV4_ROUTE。

また、メッセージ構造を宣言し、1つのデータブロックをそれに関連付けます。

その後、bind（）を使用してソケットへのバインドが行われます。 その後、指定されたグループのメッセージにサブスクライブします。 ソケットを介してメッセージを受信できます。

この後に、ソケットからメッセージを受信するための無限ループが続きます。 なぜなら 受信したデータブロックには、いくつかのヘッダーとデータを関連付けることができます。ネットリンクマクロを使用して、受信したすべてのデータの並べ替えを開始します。

新しいメッセージはそれぞれ、ポインターstruct nlmsghdr * hにあります。

これで、メッセージ自体を解析できます。 nlmsg_typeフィールドを見て、どのようなメッセージが届いたかを調べます。 ルーティングテーブルに接続されている場合、メッセージを出力して次のメッセージに進みます。 そうでない場合は、詳細に理解し始めます。

rtattrオプションの配列が宣言され、すべての必要なデータが追加されます。 parseRtattrヘルパー関数は、このデータを取得します。 netlinkマクロを使用して、指定された配列に、ifinfomsgまたはifaddrmsg構造体のデータブロックからのすべての属性を設定します。

属性で満たされた配列を受け取った後、これらの値を操作、分析、印刷できます。

各属性は、インデックスによってアクセスされます。 すべてのインデックスはネットリンクヘッダーファイルで定義され、コメント化されています。

この場合、次のインデックスを使用します。

IFLA_IFNAME-インターフェイス名を持つ属性インデックス。

IFA_LOCAL-ローカルIPアドレスを持つ属性インデックス。

結局のところ、何が起こったのかについての完全な情報があり、画面に情報を印刷できます。



以上です。 この資料が誰かに役立つことを本当に願っています。

十分な人数（複数の人がいる場合:)）-続編を書いて、たとえばカーネルモジュールとの相互作用やIPv6での作業の実装を検討できます。



記事を書くとき、次のものが使用されました。

1. tools.ietf.org/html/rfc3549

2. www.linuxjournal.com/article/7356



ご清聴ありがとうございました。