LWN:更好地理解为何会丢弃网络包!

最新推荐文章于 2024-04-16 19:08:45 发布
最新推荐文章于 2024-04-16 19:08:45 发布
阅读量389 收藏 1
点赞数
文章标签: 网络 linux java python 人工智能
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg2MjE0NDE5OA==&mid=2247486435&idx=1&sn=89d48c23a6c714229320ed5d9c1a7f93&chksm=ce0d184af97a915c25ff9bbc4e64587353cbdf7b8168016299fc286af2ecdc9cea5f5a6c7290&scene=126&&sessionid=0
版权

关注了就能看到更多这么棒的文章哦~

Better visibility into packet-dropping decisions

By Jonathan Corbet
February 25, 2022
DeepL assisted translation
https://lwn.net/Articles/885729/

丢弃数据包在网络中是无法完全避免的一个情况。数据包无法到达最终目的地的原因可能有很多种。其实有很多方法可以让数据包消亡,以至于管理员都很难知道为什么某个数据包会被丢弃。因此,在用户抱怨丢包率高的时候,这么多种可能也导致很难确定如何解决用户的问题。从 5.17 版本开始,内核得到了一些改进过的工具,应该可以告诉人们为什么内核会决定要将数据包抛弃掉。

这个问题存在很久了,因此也一直有尝试方案希望能解决它。内核目前包含一个 "drop_monitor" 功能,该功能早在 2009 年的 2.6.30 内核中引入。多年来,它已经具备了一些功能,但是仍然是彻底没有文档说明的状态。这个功能似乎支持一个 netlink API,可以在数据包被丢弃时提供通知。这些通知中包括了在内核里的一个地址数据,标记了是哪个地方决定丢弃数据包的,并且可以选择也包含所放弃的数据包本身。用户空间的代码就可以将这些地址转化为函数名,然后正在无助中的管理员就可以通过内核的源代码来试图弄清楚发生了什么事。

看起来应该有什么更好的方法。碰巧的是,Menglong Dong 为 5.17 版贡献了一些可以有助于提供更好方法的基础结构。内核内部用来释放数据包存放内存的函数是 kfree_skb(),在 5.17 中,这个函数变成了:

void kfree_skb_reason(struct sk_buff *skb, enum skb_drop_reason reason);

reason 参数是新增的,用来说明为什么这个 skb 所传递的数据包已经不再需要了。这个信息实际上对内核没有什么用处,但是它已经被添加到现有的 kfree_skb tracepoint 中,使得所有连接到该 tracepoint 的程序都可以拿到这个数据。用来分析的脚本就可以快速打印出数据包被丢弃的原因,管理员还可以比如说挂上 BPF 程序,来创建出一个根据丢弃数据包原因绘制的直方图。

他还增加了一个新版本的 kfree_skb(),会简单地调用 kfree_skb_reason(),将 "unspecified" 作为原因。

在 5.17 中,这个基础设施的使用还是相对比较局限的。有几处 TCP 处理中丢包的位置已经换上用新的函数了,包括因为数据包小于 TCP 头的大小、没有与现有的 TCP socket 相关联、校验失败、或者被相应的 socket 过滤程序明确要求丢弃等情况。UDP 子系统也改进成可以支持类似的丢包原因 。

这种情况在 5.18 中会有很大的改善。linux-next 中的 patch 已经增加了一些新的 reason,记录了被 netfilter 子系统丢弃的数据包,包括 IP header 错误,或者被反向路径过滤器(rp_filter,reverse-path filter)机制识别为欺骗数据包的情况。管理员将能够看到由于不支持更上层协议而被丢弃的 IP 数据包了。还增加了因 IPSec XFRM 策略或内核内内存不足而丢弃 UDP 数据包的原因。

还有一组 reason 注释已经被接受,但还没有进入 linux-next。这些 reason 有可能也会出现在 5.18 中。它们将 XFRM-policy annotation 扩展到了 TCP,标注那些由于丢失或不正确的 MD5 哈希值(显然在 2022 年 MD5 hash 仍然在用)而丢弃的数据包,以及那些包含了无效的 TCP flag 或当前 TCP window 之外的 sequence 序号的数据包。这些 patch 还增加了上述其他 reason 的新的检测位置,因为有些情况可以在多个地方被检测到。

虽然上述一组 reason 看起来已经很多了,但这项工作可以看作是刚刚开始。在当前的 linux-next 中,有超过 2700 个对 kfree_skb() 的调用,而对 kfree_skb_reason() 的调用只有 18 个。这表明很多数据包仍然会因为不明原因而被丢弃。尽管如此,这项工作仍然代表了一个有用的改进,它应该会使系统管理员更容易获得丢包的原因。

当然,仍然缺少用户空间方面的支持。目前的 reason 代码都是在<linux/skbuff.h>中定义的,这并不是外部可用的内核 API 的一部分。把它们移到 uapi 目录下的一个单独的文件中就可以使它们更容易被开发者访问到。当然,有一些关于这个机制以及如何使用它(并进行说明)的文档也会很有帮助,但是即使是编者本人这么乐观的人,也不认为这会很快出现。

不过这样还是会让内核网络功能中的重要一部分可以对用户变得更加透明。这应该会使系统管理员的生活更容易,他们将能够花更少的时间来弄清楚为什么数据包会在系统中消失。但不幸的是,这项工作没有为那些想知道为什么他们的数据包会在互联网的某个地方消失的用户提供帮助。

全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。

欢迎分享、转载及基于现有协议再创作~

长按下面二维码关注,关注 LWN 深度文章以及开源社区的各种新近言论~

b1bae1994c16b4d547dd3603669bd635.png

LinuxNews搬运工
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
af_lwn::penguin: 用于 Tiny Tiny RSS 的 LWN.net 插件
06-07
af_lwn 小插件,用于提取提要项目的全部内容,括仅限订阅者的内容。 如果您想提取仅限订阅者的内容, LWN_PASS在 config.php 中配置LWN_USER和LWN_PASS ,如下所示: define ( 'LWN_USER' , '<username>' );define...
监控工具 - droptrace
qq_17045267的博客
06-10 3507
本文用于介绍Linux系统下网络监控工具droptrace的原理和使用方法、
定位网络内核路径的几种方法
程序猿Ricky的日常干货
12-10 1234
第一个是 dropwatch # dropwatch -lkas Initializing kallsyms db dropwatch> start Enabling monitoring... Kernel monitoring activated. Issue Ctrl-C to stop monitoring 1 drops at icmp_rcv+11c (0xffffffff8193bb1c) [software] 1 drops at icmp_rcv+11c (0xffffffff819
1 Linux防火墙设置_echo-reply,2024年最新阿里P8大佬亲自讲解
2401_84240554的博客
04-16 427
所以,如果有上述问题存在,就只能去打开/etc/profile脚本文件,在文件中查找是否使用了ulimit-n限制了用户可同时打开的最大文件数量,如果找到,则删除这行命令,或者将其设置的值改为合适的值,然后保存文件,用户退出并重新登录系统即可。2.2 内核的通常值是180秒,你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN-WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是它们的生存期长些。
详解一次完整的数据传输过程 -- 层层递进
热门推荐
shufanhao.top Blog
05-11 3万+
文章目录例子 PC1 发送http请求到ServerStep1: PC1封装数据Step 2: 数据到达集线器Step3: 数据到达R1Step4: 数据到达R2Step5: 交换机处理Step6: 服务器处理反向传输总结 题记:本文主要是摘自CCNA指南中讲的,再加上自己的理解,详细阐述一次完整的数据传输过程。之前在考CCIE的时候也看过,后来有些忘记,特总结记录。 重要: 封装报文是从上层...
网络通信安全部分笔记——静态路由及实验
wang_zui_zui的博客
10-01 3380
EVE的具体使用 添加新的图 名字自己随便取一个 close lab关掉图 文件管理中可以找到我们刚刚创建的图,点开它 可以对我们创建的图进行打开编辑删除 打开图之后空空白白,怎么添加设备呢?直接右键找到Node。 有一大堆设备任你选择,我们这里比如添加思科的设备,CiscoIOL是思科所有产品的代称,选择Cisco IOL之后既可以配置相应的镜像和 image是镜像的意思,L3和倒数第二个i86是路由器的镜像,L2和i最后一个i86是三层交换机的...
linux写黑洞路由,2019-05-21 路由黑洞与黑洞路由
weixin_42398130的博客
05-16 518
路由黑洞:路由黑洞一般是在网络边界做汇总回程路由的时候产生的一种不太愿意出现的现象,就是汇总的时候有时有一些网段并不在内网中存在,但是又含在汇总后的网段中,如果在整个汇总的边界设备上同时还配置了缺省路由,就可能出现一些问题,这时,如果有数据发向那些不在内网出现的网段(但是又含在汇总网段)所在的路由器,根据最长匹配原则,并没有找到对应的路由,只能根据默认路由又回到原来的路由器,这就形成了环路...
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions receiver=xxx@gmail.com password=xxx server=smtp.gmail.com port=587 ...
lwn2email
02-21
lwn2email 自动将最新的仅订阅LWN问题通过电子邮件发送到电子邮件地址(例如,电子阅读器)。 此工具要求用户具有LWN订阅。 如果您认为该脚本有用,请通过购买订阅来支持LWN。 我将通过不接受允许脚本无需订阅即可...
LWN helper-crx插件
04-05
LWN helper-crx插件】是一款专为英文版LWN.net(Linux Weekly News)设计的浏览器扩展程序,旨在优化用户在浏览该网站时的体验,使其内容更易于理解和导航。这款插件的核心功能是在LWN.net上的内部链接上添加了...
LWN.rar_电子政务应用
09-23
【标题】"LWN.rar_电子政务应用"指的是一个与电子政务相关的软件应用,它以rar压缩的形式提供。从描述来看,这个压缩实际上是一个基于Java编程语言开发的小型围棋游戏,适用于局域网环境,供用户们进行对弈。 ...
Linux iptables常见防护攻击措施
我心如水
12-06 4316
iptables防火墙实现阻挡常见攻击的实用设置分享 这篇文章主要介绍了iptables防火墙实现阻挡常见攻击的实用设置分享,本文讲解了防止 SYN 洪水攻击、丢弃 NULL 空数据丢弃异常的 XMAS 数据丢弃无效数据等应对异常数据的设置方法,需要的朋友可以参考下 初始创建的 TCP 连接必须含 SYN iptables -A INPUT -p
使用 IPtables 进行 DDoS 保护
allway2的博客
07-28 3131
有多种方法可以为 iptables 构建自己的反 DDoS 规则。我们将在本综合教程中讨论最有效的 iptables DDoS 保护方法。本指南将教您如何:请注意,本文是为每天与 Linux 服务器打交道的专业人士编写的。如果您只想保护您的在线应用程序免受 DDoS 攻击,您可以使用我们的远程保护、具有 DDoS 保护的 VPS 或受 DDoS 保护的裸机服务器。虽然使用 iptables 可以做很多事情来阻止 DDoS 攻击,但没有办法绕过实际的硬件防火墙(我们最近审查了 RioRey DDoS 缓解硬件
导致Linux服务器丢弃数据
chentonggun5302的博客
02-27 705
我们使用Linux作为服务器操作系统时,为了达到高并发处理能力,充分利用机器性能,经常进行一些内核参数的调整优化,但不合理的调整常常也引起意想不到的其他问题,本文就一次Linux服务器丢故障的处理过程,结合Linux内核参数说明和TCP/IP协议栈相关的理论,介绍一些常见的丢故障定位方...
定位服务器数据丢弃问题
weixin_45583158的博客
09-07 187
当某个服务器发生数据丢时,它们肯定是由于某种原因。我们如何来分析为什么数据丢失。以下是我们想要了解的情况:一个数据进入您计算机的网络堆栈( RX )(例如在端口 8...
nginx丢弃http体处理
ApeLife技术博客
06-30 3849
http框架丢弃http请求体和上一篇文章http框架接收体, 都是由http框架提供的两个方法,供http各个模块调用,从而决定对体做什么处理。是选择丢弃还是接收,都是由模块决定的。例如静态资源模块,如果接收到来自浏览器的get请求,请求某个文件时,则直接返回这个文件内容给浏览器就可以了。没有必要再接收体数据,get请求实际上也不体。因此静态资源模块将调用http框架提供的丢弃
linux如何查看丢弃数据,如何查看被iptables丢弃的数据
weixin_33236524的博客
05-12 2405
Linux系统中,我们经常用iptables对数据进行限制,最常见的就比如:[root@s109 ~]#iptables -nvLChain INPUT (policy DROP 830 packets, 176K bytes)pkts bytes target prot opt in out source destination4954 2...
https://lwn.net/Articles/813350/
最新发布
06-12
不过,通常情况下,LWN这类技术网站报道Linux相关的新闻和技术文章,可能涉及的主题括内核更新、新工具发布、编程实践等。 如果你的问题是关于Linux系统某个特定方面的操作,如命令行技巧、系统管理或编程,我...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值