2.6.1*Linux内核中TCP的连接跟踪

最新推荐文章于 2023-05-29 14:59:34 发布
最新推荐文章于 2023-05-29 14:59:34 发布
阅读量191 收藏
点赞数
分类专栏: linux转载 文章标签: Linux FreeBSD 数据结构 防火墙 UP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxw06023273/article/details/83809396
版权
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn 

1. 前言
在2.6.1*以上的Linux内核中,关于TCP连接跟踪处理有了比较大的修改,增加了TCP可能标志位组合的检查;增加了通过序列号、确认号和窗口值来判断数据包合法性的功能,支持SACK选项;状态转换数组也进行了一些修改和完善,相应程序代码量增加不少。
以下2.6内核代码版本为2.6.17.11。

2. 通过确认号、序列号和窗口判断数据包合法性

该思路提出比较早,最初是在“Real Statefule TCP Packet Filtering in IP FIlter”中提出的( http://www.nluug.nl/events/sane2000/papers.html ),用在FreeBSD,OpenBSD,NetBSD等操作系统的防火墙IP Filter中。
原理:
TCP连接开始时进行3次握手,交换MSS等信息,同时在window字段中告诉对方本方的数据接收缓冲区大小,另一方发送数据时一次不能发送超过该大小的数据,也就是一方的序列号变化值不能超过对方提供的window大小,确认号的变化值是不能超过己方提供的window大小,这是正常TCP 实现都会遵守的,如果不遵守这条件,说明该数据包非法。

使用该功能要注意两个TCP选项,第一,TCP的SACK(选择性确认)选项,RFC1323,2018,2883,在数据包丢失的情况下,使发送方只重新发送丢失的包而不是全部发送;第二,扩展window选项,该选项可将window值从16位最大扩展到30位。
为描述此功能新增加了一个数据结构:
/* include/linux/netfilter/nf_conntrack_tcp.h */
struct ip_ct_tcp_state {
 u_int32_t td_end;  /* max of seq + len */
 u_int32_t td_maxend; /* max of ack + max(win, 1) */
 u_int32_t td_maxwin; /* max(win) */
 u_int8_t td_scale; /* window scale factor */
 u_int8_t loose;  /* used when connection picked up from the middle */
 u_int8_t flags;  /* per direction options */
};
判断一个TCP包序列号和确认号是否在给定window范围内的函数是tcp_in_window:
static int tcp_in_window(struct ip_ct_tcp *state,
                         enum ip_conntrack_dir dir,
                         unsigned int index,
                         const struct sk_buff *skb,
                         struct iphdr *iph,
                         struct tcphdr *tcph)
{
 struct ip_ct_tcp_state *sender = &state->seen[dir];
 struct ip_ct_tcp_state *receiver = &state->seen[!dir];
 __u32 seq, ack, sack, end, win, swin;
 int res;

// 客户端发的第一个SYN包是到不了这个函数的,直接就接受了,
// 是从连接的第2个包以后才进入本函数处理
 /*
  * Get the required data from the packet.
  */
// 序列号
 seq = ntohl(tcph->seq);
// 确认号
 ack = sack = ntohl(tcph->ack_seq);
// 本方窗口
 win = ntohs(tcph->window);
// 本数据包结束序列号
 end = segment_seq_plus_len(seq, skb->len, iph, tcph);
// 接收方支持SACK的话检查是否在TCP选项中有SACK 
 if (receiver->flags & IP_CT_TCP_FLAG_SACK_PERM)
  tcp_sack(skb, iph, tcph, &sack);
// 省略号部分是一些调试打印信息,忽略下同  
...  
 if (sender->td_end == 0) {
// 连接初始情况
  /*
   * Initialize sender data.
   */
  if (tcph->syn && tcph->ack) {
// 服务器端
   /*
    * Outgoing SYN-ACK in reply to a SYN.
    */
   sender->td_end =
   sender->td_maxend = end;
   sender->td_maxwin = (win == 0 ? 1 : win);
// 检查TCP选项,判断接收方是否支持SACK和窗口扩大
   tcp_options(skb, iph, tcph, sender);
   /*
    * RFC 1323:
    * Both sides must send the Window Scale option
    * to enable window scaling in either direction.
    */
   if (!(sender->flags & IP_CT_TCP_FLAG_WINDOW_SCALE
         && receiver->flags & IP_CT_TCP_FLAG_WINDOW_SCALE))
// 不支持窗口扩大
    sender->td_scale =
    receiver->td_scale = 0;
  } else {
   /*
    * We are in the middle of a connection,
    * its history is lost for us.
    * Let's try to use the data from the packet.
     */
   sender->td_end = end;
   sender->td_maxwin = (win == 0 ? 1 : win);
   sender->td_maxend = end + sender->td_maxwin;
  }
 } else if (((state->state == TCP_CONNTRACK_SYN_SENT
       && dir == IP_CT_DIR_ORIGINAL)
      || (state->state == TCP_CONNTRACK_SYN_RECV
          && dir == IP_CT_DIR_REPLY))
      && after(end, sender->td_end)) {
// 发送方重新发包
  /*
   * RFC 793: "if a TCP is reinitialized ... then it need
   * not wait at all; it must only be sure to use sequence
   * numbers larger than those recently used."
   */
  sender->td_end =
  sender->td_maxend = end;
  sender->td_maxwin = (win == 0 ? 1 : win);
  tcp_options(skb, iph, tcph, sender);
 }

// 非ACK包和RST包,将确认号置为接收方的结束序列号
 if (!(tcph->ack)) {
  /*
   * If there is no ACK, just pretend it was set and OK.
   */
  ack = sack = receiver->td_end;
 } else if (((tcp_flag_word(tcph) & (TCP_FLAG_ACK|TCP_FLAG_RST)) ==
      (TCP_FLAG_ACK|TCP_FLAG_RST))
     && (ack == 0)) {
  /*
   * Broken TCP stacks, that set ACK in RST packets as well
   * with zero ack value.
   */
  ack = sack = receiver->td_end;
 }
// 无数据包或起始包
 if (seq == end
     && (!tcph->rst
         || (seq == 0 && state->state == TCP_CONNTRACK_SYN_SENT)))
  /*
   * Packets contains no data: we assume it is valid
   * and check the ack value only.
   * However RST segments are always validated by their
   * SEQ number, except when seq == 0 (reset sent answering
   * SYN.
   */
  seq = end = sender->td_end;

... 
// 检查序列号和确认号是否在合法范围内
 if (sender->loose || receiver->loose ||
     (before(seq, sender->td_maxend + 1) &&
      after(end, sender->td_end - receiver->td_maxwin - 1) &&
      before(sack, receiver->td_end + 1) &&
      after(ack, receiver->td_end - MAXACKWINDOW(sender)))) {
// 合法包
      /*
   * Take into account window scaling (RFC 1323).
   */
// 窗口扩大调整
  if (!tcph->syn)
   win <<= sender->td_scale;

  /*
   * Update sender data.
   */
// 发送方窗口调整
  swin = win + (sack - ack);
  if (sender->td_maxwin < swin)
   sender->td_maxwin = swin;
  if (after(end, sender->td_end))
   sender->td_end = end;
  /*
   * Update receiver data.
   */
// 接收方的参数调整
  if (after(end, sender->td_maxend))
   receiver->td_maxwin += end - sender->td_maxend;
  if (after(sack + win, receiver->td_maxend - 1)) {
   receiver->td_maxend = sack + win;
   if (win == 0)
    receiver->td_maxend++;
  }
  /*
   * Check retransmissions.
   */
// 判断是否是重发包
  if (index == TCP_ACK_SET) {
   if (state->last_dir == dir
       && state->last_seq == seq
       && state->last_ack == ack
       && state->last_end == end)
    state->retrans++;
   else {
    state->last_dir = dir;
    state->last_seq = seq;
    state->last_ack = ack;
    state->last_end = end;
    state->retrans = 0;
   }
  }
  /*
   * Close the window of disabled window tracking :-)
   */
  if (sender->loose)
   sender->loose--;

  res = 1;
 } else {
...
// 对非法包的缺省策略,0拒绝,非0接受.该参数可通过/proc文件系统设置
  res = ip_ct_tcp_be_liberal;
   }
... 
 return res;
}

3. TCP状态转换表

这是2.6.1*中的新转换表:
static const enum tcp_conntrack tcp_conntracks[2][6][TCP_CONNTRACK_MAX] = {
 {
/* ORIGINAL */
/*       sNO, sSS, sSR, sES, sFW, sCW, sLA, sTW, sCL, sLI */
/*syn*/    { sSS, sSS, sIG, sIG, sIG, sIG, sIG, sSS, sSS, sIV },
/*synack*/ { sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV },
/*fin*/    { sIV, sIV, sFW, sFW, sLA, sLA, sLA, sTW, sCL, sIV },
/*ack*/    { sES, sIV, sES, sES, sCW, sCW, sTW, sTW, sCL, sIV },
/*rst*/    { sIV, sCL, sCL, sCL, sCL, sCL, sCL, sCL, sCL, sIV },
/*none*/   { sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV }
 },
 {
/* REPLY */
/*       sNO, sSS, sSR, sES, sFW, sCW, sLA, sTW, sCL, sLI */
/*syn*/    { sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV },
/*synack*/ { sIV, sSR, sSR, sIG, sIG, sIG, sIG, sIG, sIG, sIV },
/*fin*/    { sIV, sIV, sFW, sFW, sLA, sLA, sLA, sTW, sCL, sIV },
/*ack*/    { sIV, sIG, sSR, sES, sCW, sCW, sTW, sTW, sCL, sIV },
/*rst*/    { sIV, sCL, sCL, sCL, sCL, sCL, sCL, sCL, sCL, sIV },
/*none*/   { sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV }
   }
};

这是以前2.4.26中的转换表
static enum tcp_conntrack tcp_conntracks[2][5][TCP_CONNTRACK_MAX] = {
 {
/* ORIGINAL */
/*       sNO, sES, sSS, sSR, sFW, sTW, sCL, sCW, sLA, sLI  */
/*syn*/ {sSS, sES, sSS, sSR, sSS, sSS, sSS, sSS, sSS, sLI },
/*fin*/ {sTW, sFW, sSS, sTW, sFW, sTW, sCL, sTW, sLA, sLI },
/*ack*/ {sES, sES, sSS, sES, sFW, sTW, sCL, sCW, sLA, sES },
/*rst*/ {sCL, sCL, sSS, sCL, sCL, sTW, sCL, sCL, sCL, sCL },
/*none*/{sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV }
 },
 {
/* REPLY */
/*       sNO, sES, sSS, sSR, sFW, sTW, sCL, sCW, sLA, sLI  */
/*syn*/ {sSR, sES, sSR, sSR, sSR, sSR, sSR, sSR, sSR, sSR },
/*fin*/ {sCL, sCW, sSS, sTW, sTW, sTW, sCL, sCW, sLA, sLI },
/*ack*/ {sCL, sES, sSS, sSR, sFW, sTW, sCL, sCW, sCL, sLI },
/*rst*/ {sCL, sCL, sCL, sCL, sCL, sCL, sCL, sCL, sLA, sLI },
/*none*/{sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV, sIV }
 }
};
该数组的解读方法在以前的文章中介绍过,不再赘述。
从两个数组对比可看到,增加了对SYNACK包的判断,同时数组中的sIV(非法状态)项也增加了很多,使得状态跟踪更加严格,但不足的是对ACK包还是太宽容,ACK扫描还是防不住。

4. TCP合法标志位组合
TCP的各个标志位的合法组合方式由下面的数组定义,数组每个元素为一种可能的组合方式,除了专门定义合法组合项为1,其他未定义的都属于非法项,值为0。
static const u8 tcp_valid_flags[(TH_FIN|TH_SYN|TH_RST|TH_PUSH|TH_ACK|TH_URG) + 1] =
{
 [TH_SYN]   = 1,
 [TH_SYN|TH_ACK]   = 1,
 [TH_SYN|TH_PUSH]  = 1,
 [TH_SYN|TH_ACK|TH_PUSH]  = 1,
 [TH_RST]   = 1,
 [TH_RST|TH_ACK]   = 1,
 [TH_RST|TH_ACK|TH_PUSH]  = 1,
 [TH_FIN|TH_ACK]   = 1,
 [TH_ACK]   = 1,
 [TH_ACK|TH_PUSH]  = 1,
 [TH_ACK|TH_URG]   = 1,
 [TH_ACK|TH_URG|TH_PUSH]  = 1,
 [TH_FIN|TH_ACK|TH_PUSH]  = 1,
 [TH_FIN|TH_ACK|TH_URG]  = 1,
 [TH_FIN|TH_ACK|TH_URG|TH_PUSH] = 1,
};

5. 与netlink的接口
新的协议跟踪结构struct ip_conntrack_protocol中增加了4个和netlink接口相关函数,用于通过netlink套接口传递跟踪协议相关信息。

 /* convert protoinfo to nfnetink attributes */
 int (*to_nfattr)(struct sk_buff *skb, struct nfattr *nfa,
    const struct ip_conntrack *ct);
 /* convert nfnetlink attributes to protoinfo */
 int (*from_nfattr)(struct nfattr *tb[], struct ip_conntrack *ct);
 int (*tuple_to_nfattr)(struct sk_buff *skb,
          const struct ip_conntrack_tuple *t);
 int (*nfattr_to_tuple)(struct nfattr *tb[],
          struct ip_conntrack_tuple *t);

在TCP协议中对应函数为:

 .to_nfattr  = tcp_to_nfattr,
 .from_nfattr  = nfattr_to_tcp,
 .tuple_to_nfattr = ip_ct_port_tuple_to_nfattr,
 .nfattr_to_tuple = ip_ct_port_nfattr_to_tuple,

6. 结论

2.6.1*的TCP协议跟踪处理比2.4考虑的因素增加了很多,这些新功能的使用可使系统的安全性进一步有所提高。
cxw06023273
关注
专栏目录
【Ubuntu】编译Linux内核2.6以上版本),并比较产生的映像文件zImage的大小。
silver_lf的博客
08-03 4046
文章目录题目要求一、准备工作1.将linux-2.6.32.2-mini2440-20110413.tar进行解压,并进入解压后文件2.修改makefile文件,修改ARCH、CROSS_COMPILE3.清除原厂配置4.配置内核产生.config文件二、配置11、开启TCP/IP2、开启防火墙3、开启EXT24、开启FAT5、开启USB6、生成镜像文件zImage (书本是make uImage)三、配置21、关闭防火墙2、关闭FAT3、关闭USB执行make uImage命令生成镜像文件实验结
besttrace:TCP路由追踪脚本
05-30
besttrace 基于 ipip.net 的linux路由追踪工具码的TCP路由追踪脚本 wget -N --no-check-certificate -q -O besttrace.sh "https://raw.githubusercontent.com/cchhuuaann1/besttrace/main/besttrace.sh" && chmod +x besttrace.sh && bash besttrace.sh 首次使用先输入1安装相关工具 安装完后再次输入 bash besttrace.sh 打开菜单输入2 输入你想要追踪的地址 可以直接输入你当前运营商分配给你的地址
追踪Linux TCP/IP代码运行--基于2.6内核 (zz)
05-18 450
//z 2014-05-31 21:04:24 L.214'10536 BG57IV3@BYH T2618339684.K.F519279140 [T8,L116,R1,V14] 目录: 第1章 本书的计划1 1.1基本路线和要求1 技术要点:分析路线服务器程序学习要求 1.2 TCP/IP协议层的划分与基本知识4 技术要点:协议层知识服务器与...
linux 监控连接,linux下定时监控tcp连接数的方法和步骤
weixin_39726971的博客
05-12 263
1. 编写监控脚本 tcp_statistics.shecho `date +"%F %H:%M:%S"` "TCP-ALL" `netstat -anotp |awk ‘/tcp/ {print $6}‘|wc -l` >> tcp_count.txtecho `date +"%F %H:%M:%S"` "TCP-LISTEN" `netstat -anotp|grep "LISTE...
Linux 监控tcp连接数及状态
weixin_30521649的博客
07-08 148
一、查看哪些IP连接本机 netstat -an 二、查看TCP连接数 查看tcp连接数状态 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 统计8080端口上有多少个TCP连接,命令: netstat -ant |grep 80|wc -l TCP连接有多少个连接状态是E...
linux2.6.1内核源码注释
03-10
Linux内核,常见的同步原语包括自旋锁(spinlock)、读写锁(rwlock)、信号量(semaphore)和完成标志(completion)。自旋锁用于保护短时间的临界区,防止其他CPU核同时访问;读写锁则允许同时有多个读取者但...
linux内核源码注释2.6.1
最新发布
04-18
2.6.1版本是Linux内核历史的一个重要里程碑,它在2.4系列的基础上进行了大量的改进和优化,引入了许多新特性,对系统的稳定性和性能有了显著提升。 在阅读或分析2.6.1内核源码时,我们首先会注意到以下几个关键...
深入分析Linux内核源码
11-08
1.5.1 Linux内核在整个操系统的位置 1.5.2 Linux内核的作用 1.5.3 Linux内核的抽象结构 1.6 Linux内核源代码 1.6.1 多版本的内核源代码 1.6.2 Linux内核源代码的结构 1.6.3 从何处开始阅读源代码 ...
连接跟踪(conntrack)原理、应用以及Linux内核实现
Golden_Chen的专栏
05-11 8822
发现一篇好文章,立即转载了来,原地址:http://arthurchiao.art/blog/conntrack-design-and-implementation-zh/ 摘要 本文介绍连接跟踪(connection tracking,conntrack,CT)的原理,应用,及其在 Linux 内核的实现。 代码分析基于内核4.19。为使行文简洁,所贴代码只保留了核心逻辑,但都给出了代码 所在的源文件,如有需要请查阅。 水平有限,文不免有错误之处,欢迎指正交流。 1 引言 连接跟踪是许多.
tcpdog:基于eBPF的TCP可观察性
02-16
通过从eBPF高效地从Linux内核导出TCP统计信息,并将它们存储在具有Geo和ASN信息的Elasticsearch或InfluxDB数据库TCPDog是一个完整的解决方案。 通过简单的yaml配置,它可以使用不同的可自定义请求同时处理所有TCP跟踪点。 特征 eBPF TCP跟踪点的TCP套接字统计信息。 同时支持所有。 内核空间的可自定义。 提取到Elasticsearch,ClickHouse或InfluxDB。 通过gRPC或Kafka进行央收集。 支持在内核空间进行采样和过滤。 支持Maxmind的Geo和ASN。 要求 Linux内核版本4.16和更高版本 文件资料 样本Elasticsearch报告 多边形地图和表格 在服务器上安装tcpdog之后,您可以使用最终性能来查看最终用户的观点,这些数据是tcpdog导出的。 对于SRE和网络团队进行网络和应用
配置开发支持高并发TCP连接Linux应用程序全攻略zz
herostarone的专栏
05-04 2214
1、修改用户进程可打开文件数限制 在Linux平台上,无论编写客户端程序还是服务端程序,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量 的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。可使用ulimit命令查看系统允许 当前用户进程打开的文件数限制: [speng@as4 ~]$ ulimi
一文解决OpenCloudOS 如何基于 eBPF 实现容器级别的TCP 连接监控?
youzhangjing_的博客
05-29 774
eBPF 是一种在 Linux 内核运行沙箱程序的技术,在无需修改内核源码或者加载内核模块的情况下安全高效地扩展内核功能,可以看作是在内核的一些 hook point 上执行用户代码的一个虚拟机。用户编写的代码被 clang 编译成字节码后加载到 linux 内核,经过 verifier 引擎保证字节码的安全性,然后通过内嵌的 JIT 编译器将字节码转成本地机器码。eBPF 是由事件触发的,当事件到来时,则在内核空间执行用户态 BPF 程序,改变内核的处理流程。
连接跟踪nf_conntrack_tcp_loose设置
redwingz的博客
02-28 2111
nf_conntrack_tcp_loose选项如果设置为0,对于未完成三次握手的流,内核连接跟踪模块将不会为其创建conntrack结构。反之,值为0的话,将为任意收到的tcp报文创建conntrack结构。默认值为一,如下可通过proc文件nf_conntrack_tcp_loose,获取其当前值。 $ sudo modprobe nf_conntrack_ipv4 ...
终于搞懂了 TCP 的 11 种状态 ,太不容易了…
weixin_45727359的博客
06-27 336
点击上方“肉眼品世界”,选择“设为星标”深度价值体系传递本来想写运维过程,nginx 服务器 time_wait 的相关测试及解决方法的,然后发现TCP 的状态需要先铺垫一下,于是就...
连接跟踪TCP序号检查
redwingz的博客
12-30 1846
连接的每个方向定义了如下的3个值: 1)td_maxend为最大序号,其由反方向的回复报文计算而来,即最大确认序号SACK+窗口值。 2)td_maxwin为最大窗口,其由本方向的发送报文计算而来,即报文TCP头部通告的窗口值+乱序报文使用的空间值。 如果当前的报文结束序号超过最大序号td_maxend,需将超出部分累计到最大窗口值。 3)td_end为结束序号,其由发送报文计算而来,即报文的开始序号加上数据长度。 连接跟踪TCP序号检查,包含以下4个标准。 I. Upper bound fo
网络篇之三次握手(SYN+ACK)
weixin_46381158的博客
01-26 1874
介绍tcp三次握手的第二次握手(SYN+ACK)的发送过程
网络扫描程序的详细分析与实现
weixin_34174132的博客
04-10 283
1.网络扫描简介   网络扫描是一种自动化程序,用于检测远程或本地主机的弱点和漏洞。漏洞扫描是入侵防范最基本的工作,攻击者正式利用各种漏洞入侵系统。借助自动化的扫描工作,在攻击者之前发现漏洞问题,并给予相应的修正程序。   一名攻击者入侵系统,一般分为四个步骤:系统发现,漏洞探测,漏洞利用和痕迹清除。   本文的重点就是在于系统发现与漏洞探测方面。 2.端口扫描技术   端口扫描能够用来...
netfilter 子系统实现tcp断链
xuwaiwai的博客
06-10 513
netfiler的优势不仅包含防火墙的实现,还包括各种报文的处理工作(如报文的加密,统计等)。可以方便地利用netfilter提供的接口实现内核态的报文处理。在netfilter可以解析报文,同时根据阻断规则做匹配,将符合阻断的报文直接DROP,但是在tcp的会话,这样并不优雅,tcp是可靠传输,如果是直接drop掉某一个报文,则发送端会一直重发,所以在tcp的协议需要向发送端发送一个fin或者是rst的报文,用来断来链接。下面是我测试使用的代码。...
Linux内核2.6.1编译全攻略
3. **Linux 2.4.x内核的特性**:这一版本的内核引入了全新的网络内核代码,增强了网络性能,并且支持了许多新的技术。这包括对新型硬件的支持,更高的并发处理能力,以及可能的性能提升。 4. **升级流程**:升级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值