Linux Kernel TCP/IP Stack — L3 Layer — netfilter 框架 — conntrack(CT,连接跟踪)

Linux Kernel: Conntrack机制在TCP/IP Stack中的作用
最新推荐文章于 2023-03-12 17:20:51 发布
最新推荐文章于 2023-03-12 17:20:51 发布
阅读量5.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 软硬件融合加速技术专栏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jmilk/article/details/118862481
CT(连接跟踪)在Linux内核的netfilter框架中扮演关键角色,负责跟踪连接状态,涉及iptables、LVS/IPVS等多个网络应用。它采集并存储IP 5-tuple定义的Flow信息,维护Conntrack Table记录连接详情,如创建时间、包数、字节数,并执行过期连接的垃圾回收。CT支持更高层功能,如iptables的决策制定。

目录

文章目录

CT

CT(conntrack,connection tracking,连接跟踪),顾名思义,就是跟踪(并记录)连接的状态,是许多网络应用的基础。例如:iptables、LVS/IPVS、OvS、Docker Network、Kubernetes Service、ServiceMesh Sidecar 等。

CT 在 netfilter 框架中完成了 Connection 信息的采集和录入功能,单并不会修改或丢弃数据包,后者是其他模块(e.g. NAT)基于 Netfilter Hook 机制完成的。

需要注意的是,CT 中的 connection,与 TCP 的 connection 并不完全相同。CT 中,一个 IP 5-tuple 定义的一条 Flow 就表示一条 Connection。

在这里插入图片描述

例如,上图是一台 IP 地址为 10.1.1.2 的 Linux 机器,我们能看到这台机器上有三条连接:

  1. 机器访问外部 HTTP 服务的连接(目的端口 80)。
  2. 外部访问机器内 FTP 服务的连接(目的端口 21)。
  3. 机器访问外部 DNS 服务的连接(目的端口 53)。

CT 所做的事情就是发现并跟踪这些连接的状态,具体包括:

  • 从数据包
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Linux内核--网络协议栈()sk_buff介绍
文艺小少年的博客
01-17 782
Linux 的网络栈实现代码中,引用到了一些数据结构。要理解 Linux 内部的网络实现,需要先理清这些数据结构的作用。 关键数据结构主要有两个: sk_buff 和 net_device。
高通平台启动log概述(PBL log、sbl1 log、kernel log)
Radia的专栏
11-01 1万+
高通平台启动log概述(PBL log、sbl1 log、kernel log) 在嵌入式linux的调试过程中log有着至关重要的地位,等同于医生的CT报告。能够熟悉启动各个阶段的log,如PBL阶段,sbl1阶段,kernel阶段,android阶段,对于分析定位问题有着重要的作用。本文以高通msm8937平台android启动的串口log为例简要介绍一下log相关的技巧和对log的概要介绍
libnetfilter_conntrack-1.0.7.tar.bz2
11-18
认识和熟悉过iptables之后,更加感叹netfilter的磅礴和浩瀚。在netfilter体系中,状态跟踪机制(conntrack)是重要的一部分。它是基于Linux系统的stateful防火墙的基础,也是NAT完成对相关包进行转换的手段。本文尝试对conntrack的机制进行分析和理解。 在基于header信息(IP,端口等)进行过滤的包过滤防火墙发展多年之后,对防火墙的需求也再逐渐丰富,stateless防火墙对探测跟踪以及DoS的防护显得力不从心。当然从历史时间来看,包过滤防火墙是符合当时发展需要,效率也更高,对于更高层的应用当时都很少,自然也不需要太关注防护。 conntrack将信息存在内存结构中,包括IP,端口,协议类型,状态以及超时时间。 而且conntrack不仅可以对TCP这种有状态的会话进行状态跟踪,还可以对UDP进行状态跟踪conntrack本身并不会对包进行过滤,而是提供一种基于状态和关系的过滤依据。
Linux - 网络子系统 - CT(conntrack)
vertor11的博客
06-27 1097
引用 连接跟踪(conntrack)原理、应用以及Linux内核实现 Linux内核那些事之连接跟踪 一. Overall CT:连接跟踪 - connection tracking,conntrack连接跟踪是许多网络应用的基础。例如,Kubernetes Service、ServiceMesh sidecar、 软件四层负载均衡器 LVS/IPVS、Docker network、OVS、iptables 主机防火墙等等,都依赖 连接跟踪功能 例如,上图是一台 IP 地址为...
连接跟踪(connection tracking,conntrackCT
Ghost_199503的博客
11-29 1432
连接跟踪
libnetfilter_conntrack-1.0.6-1.el7_3.x86_64.rpm
11-30
离线安装包,亲测可用
libnetfilter_conntrack-devel-1.0.6-1.el7_3.x86_64.rpm
12-16
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
mobian与主线linux在红米5plus(vince)上的移植 (1) 编译lk2nd以及主线内核的调试
qq_59833291的博客
03-12 3019
lk2nd是一个在高通MSM设备上面运行的bootloader, 基于 CodeAurora Little Kernel fork. 它提供了一个可定制化fastboot环境(你可以在里面为所欲为比如输出' flash success,fuck you Qualcomm').lk2nd不会替换原始bootloader(lk1st)。它被打包到Android中引导映像,然后由股票引导加载程序作为“辅助”引导加载程序加载。真正的Android引导映像被放置在具有1MB偏移的引导分区中,然后用lk2nd加载。
TCP三次握手全透视:3类隐蔽陷阱与高效排查方法(一线工程师实战总结)
TCP三次握手是建立可靠连接的基础过程,其核心在于双向确认(SYN, ACK)机制。客户端首先发送`SYN=1, seq=x`报文进入`SYN_SENT`状态;服务端收到后回复`SYN=1, ACK=1, seq=y, ack=x+1`,进入`SYN_RECV`状态;客户端...
libnetfilter_conntrack-1.0.6-5.el8.ppc64le.rpm
12-06
官方离线安装包,亲测可用
libnetfilter_conntrack-1.0.6-5.el8.x86_64.rpm
12-06
官方离线安装包,亲测可用
libnetfilter_conntrack-devel-1.0.6-1.el7_3.i686.rpm
12-16
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
libnetfilter_conntrack-1.0.6-5.el8.i686.rpm
12-06
官方离线安装包,亲测可用
conntrack.rar
09-30
防火墙netfilter连接跟踪模块源代码,获取内核的的信息
go-conntrack:c语言绑定的免费API,用于golang与conntrack子系统进行通信
05-07
go-conntrack 这是go-conntrack ,它是用编写的。 它为的conntrack子系统提供了无绑定的API。 例子 func main () { nfct , err := ct . Open ( & ct. Config {}) if err != nil { fmt . Println ( "could not create nfct:" , err ) return } defer nfct . Close () // Get all IPv4 entries of the expected table. sessions , err := nfct . Dump ( ct . Expected , ct . IPv4 ) if err != nil { fmt . Println ( "could not dump sess
Kernel TCP连接处理
wjian1997的博客
08-08 491
netfilter修改数据_TCP/IP协议栈之netfilter框架(上)
weixin_39556853的博客
11-28 650
netfilter的初始化 netfilter_init 由 sock_init 函数中调用。初始化比较简单,就是初始化化pernet数据 net->nf.hooks,proc文件系统接口等。HOOKstructnf_hook_ops{structlist_headlist;/*Userfillsinfromheredown.*/...
Linux ct获取本机ip,linux ip命令
weixin_29370183的博客
05-09 246
ip 是个命令, ip 命令的功能很多!基本上它整合了 ifconfig 与 route 这两个命令,不过ip 的功能更强大!如果您有兴趣的话,请自行 vi /sbin/ifup 就知道整个 ifup 就是利用 ip这个命令来实现的。下面介绍一下使用方法[root@linux ~]# ip [option] [动作] [命令]参数:option :设定的参数,主要有:-s:显示出该设备的统计数据(...
Linux协议栈-netfilter(2)-conntrack
热门推荐
落尘纷扰的专栏
04-04 1万+
连接跟踪conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

范桂飓

文章对您有帮助就请一键三连:)

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值