关于拦截 dhcp 的问题

Posted drop *

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于拦截 dhcp 的问题相关的知识,希望对你有一定的参考价值。

关于拦截 dhcp 的问题

拦截 dhcp 数据包是一个看似简单,但是有时候却是死活都不生效的问题。

从 dhcp 协议上来看,拦截 dhcp 似乎是很简单的。dhcp 客户端从 udp 68 端口广播发出 dhcp 请求,目标地址为 255.255.255.255,目标端口为 udp 67。
然后 dhcp 服务器响应请求,从 udp 67 端口向客户端 udp 68 端口回应数据。

按照这个流程来看,用 iptables 来拦截一个坏蛋服务器的响应,规则是很简单的:

iptables -t filter -A INPUT -m mac --mac-source <坏蛋 dhcp 的 mac 地址>     -p udp --sport 67 --dport 68 -j DROP

但是,你试试看,在默认安装的 ubuntu-server 上,这个规则完全不起作用!

具体的原因是因为 dhcp 客户端使用了 raw socket ,而 raw socket 在 netfilter 处理之前就获得了数据包,见 https://www.mail-archive.com/[email protected]/msg03189.html

ubuntu-server 和 centos 使用的 dhcp 客户端为 isc dhcp client,通过 raw socket 请求 dhcp,因此通过 netfilter 框架是没有办法直接拦截到 dhcp 的!!!

以上是关于关于拦截 dhcp 的问题的主要内容,如果未能解决你的问题,请参考以下文章

METAL顶点/片段着色器“拦截”结果的最佳方法

关于代码片段的时间复杂度

ViewPager里面的TextView拦截触摸事件

关于片段生命周期

关于登录filter拦截的一些思考

关于cas-client单点登录客户端拦截请求和忽略/排除不需要拦截的请求URL的问题(不需要修改任何代码,只需要一个配置)