关闭

netfilter与用户空间通信二法

417人阅读 评论(0) 收藏 举报

原文:http://blog.csdn.net/wangxing1018/article/details/4295536


1 先说明一下环境。Linux 内核代码的运行环境有三种:用户上下文环境、硬中断环境和软中断环境。但三种环境的局限性分两种,因为软中断环境只是硬中断环境的延续。

内核态环境 介绍 局限性
用户上下文 内核态代码的运行与一用户空间进程相关,如系统调用中代码的运行环境。 不可直接将本地变量传递给用户态的内存区,因为内核态和用户态的内存映射机制不同。
硬中断和软中断环境 硬中断或软中断过程中代码的运行环境,如 IP 数据报的接收代码的运行环境,网络设备的驱动程序等。 不可直接向用户态内存区传递数据;
代码在运行过程中不可阻塞。

 

2 传统进程间通信的局限性。Linux 传统的进程间通信有很多,如各类管道、消息队列、内存共享、信号量等等。但它们都无法介于内核态与用户态使用,原因如表:

通信方法 无法介于内核态与用户态的原因
管道(不包括命名管道) 局限于父子进程间的通信。
消息队列 在硬、软中断中无法无阻塞地接收数据。
信号量 无法介于内核态和用户态使用。
内存共享 需要信号量辅助,而信号量又无法使用。
套接字 在硬、软中断中无法无阻塞地接收数据。

 

3解决办法。Linux内核态与用户态进程通信方法的提出与实现。分为用户上下文环境、硬中断和软中断环境两种情况。

3.1 用户上下文环境

运行在用户上下文环境中的代码是可以阻塞的,这样,便可以使用消息队列和 UNIX域套接字来实现内核态与用户态的通信。但这些方法的数据传输效率较低,Linux 内核提供copy_from_user()/copy_to_user()函数来实现内核态与用户态数据的拷贝,但这两个函数会引发阻塞,所以不能用在硬、软中断中。一般将这两个特殊拷贝函数用在类似于系统调用一类的函数中,此类函数在使用中往往"穿梭"于内核态与用户态。

3.2 硬、软中断环境

比起用户上下文环境,硬中断和软中断环境与用户态进程无丝毫关系,而且运行过程不能阻塞。在 Linux 2.4 版以后版本的内核中,几乎全部的中断过程与用户态进程的通信都是使用 netlink 套接字实现的,netlink 套接字的最大特点是对中断过程的支持,同时还使用 netlink 实现了 ip queue 工具,但 ip queue 的使用有其局限性,不能自由地用于各种中断过程。还有重要的一点:netlink 套接字是不用经过TCP/IP协议栈处理的,效率方面没的说。赞。

了这么多,都是别人的东西。但是磨刀不误砍柴工,没有前面的知识铺垫,只怕你对怎么样,为什么这样用也是一知半解,这可是工程技术人员的大忌。

4 netfilter与用户空间通信二法

netfilter的五个钩子在内核TCP/IP协议栈的作用和布局,我就不废话了。杨沙洲的Linux Netfilter实现机制和扩展技术还不错滴。

法1:nf_sockopt_ops通信方式

此法在内核模块中注册nf_register_sockopt一个nf_sockopt_ops结构体。比如:

其中命令字不能和内核已有的重复,宜大不宜小。命令字很重要,是用来做标识符的。set/get处理函数是直接由用户空间的set/getsockopt函数调用的。setsockopt函数向内核写数据,用getsockopt向内核读数据。

nf_sockopt通信

从上图可以看到,其实此法的本质,就是使用copy_from_user()/copy_to_user()完成内核和用户的通信的,效率其实不高,多用在传递控制选项信息,不适合做大量的数据传输。

法2:netlink套接字

netlink通信流图

上图很清楚的描述了netlink套接字的通信过程。具体细节,大家可以参考上面两篇文章。

总结:

法一:多用在用户上下文环境,适合做控制选项,传递少量的控制信息。

法二:多用在硬、软中断环境,也就是处理网络数据报的接收等,适合大量处理数据的传输。我用它粗略实现过类似ethereal的功能,层层吧IP分组剥开。

二者使用环境不一样,使用目的不一样,完全可以在一起发挥更大的作用。
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:717263次
    • 积分:8374
    • 等级:
    • 排名:第2438名
    • 原创:32篇
    • 转载:729篇
    • 译文:0篇
    • 评论:22条
    最新评论