Netfilter之连接跟踪实现机制初步分析

最新推荐文章于 2021-08-30 14:24:05 发布

Rider628

最新推荐文章于 2021-08-30 14:24:05 发布

阅读量1k

点赞数

文章标签： struct 数据结构 linux内核框架扩展活动

本文链接：https://blog.csdn.net/rider628/article/details/6695960

版权

　1.　　前言

　　Netfilter中的连接跟踪模块作为地址转换等的基础，在对Netfilter的实现机制有所了解的基础上再深入理解连接跟踪的实现机制，对于充分应用Netfilter框架的功能和扩展其他的模块有着重大的作用。本文只是简要的分析连接跟踪的整体框架，其中的重要数据结构和重要函数，并粗略的描绘了数据包转发的连接跟踪流程。分析的内核源码为2.6.21.2。

　　2.　　整体框架

　　连接跟踪机制是基于Netfilter架构实现的，其在Netfilter的不同钩子点中注册了相应的钩子函数，下面图2-1描绘了连接跟踪在Netfilter架构中注册的钩子函数。

　　图2-1 Netfilter架构中的连接跟踪

　　3.重要数据结构

　　3.1.连接记录

　　在Linux内核中，连接记录由ip_conntrack结构表示，其结构如图3-1所示。在该结构中，包含一个nf_conntrack类型的结构，其记录了连接记录被公开应用的计数，也方便其他地方对连接跟踪的引用。每个连接记录都对应一个指向连接超时的函数指针，当较长时间内未使用该连接，将调用该指针所指向的函数。如果针对某种协议的连接跟踪需要扩展模块的辅助，则在连接记录中会有一指向ip_conntrack_helper结构体的指针。连接记录中的结构体ip_conntrack_tuple_hash实际记录了连接所跟踪的地址信息（源和目的地址）和协议的特定信息（端口）。所有连接记录的ip_conntrack_tuple_hash以散列形式保存在连接跟踪表中。

　　　　　　　　　　　　　　　　　　　图3-1 ip_conntrack结构

　　3.2.连接跟踪表

　　连接跟踪表是记录所有连接记录的散列表，其由全局变量ip_conntrack_hash所指向。连接跟踪表实际是一个以散列值排列的双向链表数组，链表中的元素即为连接记录所包含的ip_conntrack_tuple_hash结构，表的结构如下图3-2所示。

　　图3-2 连接跟踪表

　　3.3.连接跟踪辅助模块

　　在连接跟踪的实现机制中提供了helper辅助模块以扩展连接跟踪功能，一个辅助模块由一个结构体ip_conntrack_helper保存，该结构如下图3-3所示，所有注册的模块由全局变量helpers所指向的链表保存。函数ip_conntrack_helper_register()和ip_conntrack_helper_unregister()用于在链表中添加和删除ip_conntrack_helper类型的结构。活动的FTP协议就使用了相应的helper模块来实现。

　　图3-3 ip_conntrack_helper结构

　　3.4.期望连接

　　在连接跟踪机制中为了实现对活动协议的支持，还使用到了结构体ip_conntrack_expect，其用于将预期连接分配给现有连接，有关于活动协议（如FTP）的分析在此不做分析。ip_conntrack_expect结构如下图3-4所示。所有的ip_conntrack_expect结构由全局变量ip_conntrack_expect_list指向的全局链表保存。

　　图3-4 ip_conntrack_expect结构

　　3.5.传输协议

　　连接跟踪机制可以支持多种传输协议，不同的协议所采用的跟踪方式会有所不同。传输协议用结构ip_conntrack_protocol保存，所有的已注册的传输协议列表由全局变量ip_ct_protos所指向的一维数组保存，且按照协议号的顺序依次排列。函数ip_conntrack_protocol_register()和ip_conntrack_protocol_unregister()用于向协议列表中添加或删除一个协议。传输协议列表的结构如下图3-5所示。

　　图3-5 传输协议列表

　　4.重要函数

　　4.1.ip_conntrack_defrag()

　　ip_conntrack_defrag()函数对分片的包进行重组，其调用ip_ct_gather_frag()收集已经到达的分片包，然后再调用函数ip_defrag()实现数据分片包的重组。ip_conntrack_defrag()被挂载在钩子点NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT，即从外面进来的数据包或本地主机生成的数据包会首先调用该函数。该函数只操作数据包的内容，对连接跟踪记录没有影响也没有操作，如果不需要进行重组操作则直接返回NF_ACCEPT。函数的定义如下：

static unsigned int ip_conntrack_defrag(unsigned int hooknum,
　　 　 　 　 　 　struct sk_buff **pskb,
　　 　 　 　 　 　const struct net_device *in,
　　 　 　 　 　 　const struct net_device *out,
　　 　 　 　 　 　int (*okfn)(struct sk_buff *))
{
#if !defined(CONFIG_IP_NF_NAT) && !defined(CONFIG_IP_NF_NAT_MODULE)
　　/* Previously seen (loopback)? Ignore. Do this before
　　fragment check. */
　　if ((*pskb)->nfct)
　　 　return NF_ACCEPT;
#endif
　　/* Gather fragments. */
　　if ((*pskb)->nh.iph->frag_off & htons(IP_MF|IP_OFFSET)) {
　　 　*pskb = ip_ct_gather_frags(*pskb,
　　 　 　 　 　 　 hooknum == NF_IP_PRE_ROUTING ?
　　 　 　 　 　 　 IP_DEFRAG_CONNTRACK_IN :
　　 　 　 　 　 　 IP_DEFRAG_CONNTRACK_OUT);
　　 　if (!*pskb)
　　 　 　 return NF_STOLEN;
　　}
　　return NF_ACCEPT;
}