利用netfilterNFQUEUE实现网关认证的.PDF
文本预览下载声明
利用netfilter NFQUEUE实现网关认证的
HTTP重定向
张焕杰 james@
中国科学技术大学网络信息中心
Portal认证与802.1X认证
Portal认证
不需要专用客户端,系统兼容性强
管理比较粗放
802.1X认证
一般需要客户端软件
管理更细致
基于Linux的Portal认证系统示意图
TCP三次握手
client server
SYN,SEQ=X
SYN/ACK,SEQ=Y,ACK=X+1
ACK,SEQ=X+1,ACK=Y+1,GET URL
ACK/PSH/FIN,SEQ=Y+1,ACK=X+1+len,HTTP response
ACK/FIN,SEQ=X+1+len,ACK=Y+1+len
ACK/FIN,SEQ=Y+1+len,ACK=X+1+len+1
基于Linux的Portal认证系统示意图
redir_http是用户态重定向
程序,解决了以下问题
?如何捕获②数据包
?如何发出③数据包
?如何完成④过程
捕获未认证用户的tcp 80数据包
利用iptables规则,将未认证流量利用NFQUEUE机制
发给重定向程序
iptables –A FORWARD –j ACCEPT –m ipright
iptables –A FORWARD –j NFQUEUE –p tcp ––dport 80
–i eth0
iptables –A FORWARD –j DROP
其中ipright是在Linux kernel中开发的模块,匹配已认证
用户发出的数据包
Eth0是网关连接校园网的接口,来自这个接口的未认证
用户发出的数据包利用NFQUEUE交给用户态进程
redir_http继续处理
Redir_http程序获取数据包的方法
redir_http是运行在用户态空间(user-space)的进程,利用
libnetfilter_queue接收未认证用户发往TCP 80端口的数据包
程序启动时建立netfilter_queue,进入接收未认证用户数据包循
环
qh = nfq_create_queue(h, qid, cb, NULL);
nfq_set_mode(qh, NFQNL_COPY_PACKET, 0xffff);
while (1) {
rv = recv(fd, buf, sizeof(buf), 0);
if(rv 0) nfq_handle_packet(h, buf, rv);
}
buf里就是未认证用户发出的tcp 80数据包
基于Linux的Portal认证系统示意图
redir_http是用户态重定向
程序,解决了以下问题
?如何捕获②数据包
?如何发出③数据包
?如何完成④过程
使用raw socket发送应答数据包的做法
程序redir_http启动后,建立不接收任何数据包的原始套接字,供
将来发送应答数据包使用:
const int on = 1;
sockfd=socket(AF_INET,SOCK_RAW,IPPROTO_RAW);
setsockopt(sockfd,IPPROTO_IP,IP_HDRINCL,on,sizeof(on));
发送方式
buf里是完整的ip数据包
to.sin_addr.s_addr = dest_ipaddr;
to.sin_family = AF_INET;
to.sin_port = dest_tcpport;
sendto(sockfd,buf,npkt_len,0,(const struct sockaddr *)to,
sizeof(to));
基于Linux的Portal认证系统示意图
redir_http是用户态重定向
程序,解决了以下问题
?如何捕获②数据包
?如何发出③数据包
?如何完成④过程
用户重定向的实现
当未认证用户访问url时,给出如下的响应
HTTP/1.1 200 OK\r\n
Content-Type: text/html; charset=iso-8859-1\r\n
Connection: close\r\n\r\n
htmlheadtitleredirecting to http://PH/title\n
/headbodyh1redirecting to http://PH/h1\n
script language=javascript
window.location.href =http://PH/cgi-bin/ip?url=URL;/script
predirecting to a href=http://PH/http://PH//a./p
/body/html
上述PH是Portal页面服务器的主机名
通过这种javascript来完成重定向,可以极大减少
显示全部