连接跟踪子系统之L4协议---udp

最新推荐文章于 2024-01-17 22:53:31 发布
最新推荐文章于 2024-01-17 22:53:31 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Netfilter Linux Netfilter代码分析 文章标签: Netfilter 连接跟踪 udp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyu_750516366/article/details/89075093
版权
本文深入探讨了UDP协议如何与连接跟踪子系统协作,通过初始化、回调函数如udp_pkt_to_tuple()、udp_packet()和udp_error()来实现连接跟踪。重点关注了数据包处理、连接跟踪信息的更新以及错误检查机制,揭示了UDP在连接跟踪中的行为特点。
摘要由CSDN通过智能技术生成

在前面的笔记中有看到,连接跟踪子系统框架只是提供了一种连接的抽象,并且为跟踪一个连接在数据包的传输路径上提供了一种通用的拦截方法,但是要想真正的完成连接的跟踪,还需要具体L3和L4协议的参与,之前的笔记已经详细分析了AF_INET协议族的L3协议ipv4具体是如何实现连接跟踪的,这篇笔记以udp协议为例来看看L4协议是如何和连接跟踪子系统框架配合的。

之所以选udp,是因为它足够简单,便于理解。tcp、udp和icmp作为标准的L4协议,是默认支持连接跟踪的,没有任何开关控制。udp协议相关的代码文件如下:

代码路径说明
net/netfilter/nf_conntrack_udp.c连接跟踪子系统中udp协议的实现

1. 初始化

作为内置支持的L4协议,udp协议的注册是在AF_INET协议族的连接跟踪初始化过程中完成的,具体如下:

static int __init nf_conntrack_l3proto_ipv4_init(void)
{
...
	//ipv4向连接跟踪子系统注册自己支持的L4协议,分别有tcp、udp、icmp
	ret = nf_conntrack_l4proto_register(&nf_conntrack_l4proto_udp4);
	if (ret < 0) {
		printk("nf_conntrack_ipv4: can't register udp.\n");
		goto cleanup_tcp;
	}
...
}

AF_INET协议族中,udp协议对应的连接跟踪L4协议定义如下:

struct nf_conntrack_l4proto nf_conntrack_l4proto_udp4 __read_mostly =
{
	.l3proto		= PF_INET,
	.l4proto		= IPPROTO_UDP,
	.name			= "udp",
	.pkt_to_tuple		= udp_pkt_to_tuple,
	.invert_tuple		= udp_invert_tuple,
	.print_tuple		= udp_print_tuple,
	.packet			= udp_packet,
	.new			= udp_new,
	.error			= udp_error,
#if defined(CONFIG_NF_CT_NETLINK) || defined(CONFIG_NF_CT_NETLINK_MODULE)
	.tuple_to_nlattr	= nf_ct_port_tuple_to_nlattr,
	.nlattr_to_tuple	= nf_ct_port_nlattr_to_tuple,
	.nla_policy		= nf_ct_port_nla_policy,
#endif
#ifdef CONFIG_SYSCTL
	.ctl_table_users	= &udp_sysctl_table_users,
	.ctl_table_header	= &udp_sysctl_header,
	.ctl_table		= udp_sysctl_table,
#ifdef CONFIG_NF_CONNTRACK_PROC_COMPAT
	.ctl_compat_table	= udp_compat_sysctl_table,
#endif
#endif
};

核心就是一组回调函数,这些回调部分是可选的,部分是必须要提供的。

2. 回调函数

下面来看一些核心回调函数的实现。

2.1 udp_pkt_to_tuple()

在连接跟踪的入口处,会回调该函数确定数据包tuple结构中的L4地址部分,如下,对于udp来讲,源端口和目的端口作为其L4地址再合适不过了。

static int udp_pkt_to_tuple(const struct sk_buff *skb,
			     unsigned int dataoff,
			     struct nf_conntrack_tuple *tuple)
{
	const struct udphdr *hp;
	struct udphdr _hdr;

	/* Actually only need first 8 bytes. */
	hp = skb_header_pointer(skb, dataoff, sizeof(_hdr), &_hdr);
	if (hp == NULL)
		return 0;
	tuple->src.u.udp.port = hp->source;
	tuple->dst.u.udp.port = hp->dest;
	return 1;
}

对应的,tuple地址反转回调为udp_invert_tuple(),很简单。

2.2 udp_packet()

packet()回调,当连接跟踪处理完毕后,会调用该回调,该回调的返回值将作为连接跟踪子系统返回给Netfilter框架的判决结果。个人理解:通常,应该返回NF_ACCEPT,因为该回调的本意应该是连接跟踪框架给L4协议一个改变连接跟踪信息块中内容的机会,而并非过滤数据包。

/* Returns verdict for packet, and may modify conntracktype */
static int udp_packet(struct nf_conn *ct, const struct sk_buff *skb, unsigned int dataoff,
	enum ip_conntrack_info ctinfo, int pf, unsigned int hooknum)
{
	/* If we've seen traffic both ways, this is some kind of UDP
	   stream.  Extend timeout. */
	if (test_bit(IPS_SEEN_REPLY_BIT, &ct->status)) {
		//如果该连接上双向数据包都已经出现,那么用
		//nf_ct_upd_timeout_stream更新超时时间
		nf_ct_refresh_acct(ct, ctinfo, skb, nf_ct_udp_timeout_stream);
		/* Also, more likely to be important, and not a probe */
		if (!test_and_set_bit(IPS_ASSURED_BIT, &ct->status))
			nf_conntrack_event_cache(IPCT_STATUS, skb);
	} else
		//依然是单向连接,用nf_ct_udp_timeout更新超时时间
		nf_ct_refresh_acct(ct, ctinfo, skb, nf_ct_udp_timeout);
	return NF_ACCEPT;
}

参数nf_ct_udp_timeout_stream和nf_ct_udp_timeout是两个系统控制参数,在/proc/sys/net/netfilter目录下有对应的节点,这两个内核变量的默认为如下:

static unsigned int nf_ct_udp_timeout __read_mostly = 30*HZ;
static unsigned int nf_ct_udp_timeout_stream __read_mostly = 180*HZ;

即默认情况下,连接跟踪子系统中,单向的udp连接可以保持30s静默,双向的可以保持180s。

2.3 udp_new() && udp_error()

在收到一个新的连接时,回调udp_new(),对于udp来说,该回调不会做任何事情,直接返回1。

连接跟踪子系统对每个入口处的数据包都会调用L4协议的error()回调对数据包进行校验,如果校验失败,连接跟踪子系统将不会继续处理该数据包,并且将error()回调返回值的相反数返回给Netfilter框架(这并不一定会导致丢包,具体要看L4协议的error回调返回值),udp提供的error()回调就是udp_error()。

static int udp_error(struct sk_buff *skb, unsigned int dataoff,
		enum ip_conntrack_info *ctinfo, int pf, unsigned int hooknum)
{
	unsigned int udplen = skb->len - dataoff;
	const struct udphdr *hdr;
	struct udphdr _hdr;
	//获取udp报文的首部指针
	hdr = skb_header_pointer(skb, dataoff, sizeof(_hdr), &_hdr);
	if (hdr == NULL)
		return -NF_ACCEPT;
	//数据包长度太小,是错误数据包
	if (ntohs(hdr->len) > udplen || ntohs(hdr->len) < sizeof(*hdr))
		return -NF_ACCEPT;
	//udp首部没有使用校验和,校验对于udp协议是可选的
	if (!hdr->check)
		return NF_ACCEPT;
	/* Checksum invalid? Ignore.
	 * We skip checking packets on the outgoing path
	 * because the checksum is assumed to be correct.
	 * FIXME: Source route IP option packets --RR */
	//检查数据包的校验和是否正确
	if (nf_conntrack_checksum && hooknum == NF_INET_PRE_ROUTING &&
	    nf_checksum(skb, hooknum, dataoff, IPPROTO_UDP, pf)) {
		return -NF_ACCEPT;
	}
	return NF_ACCEPT;
}

可以看出,udp的错误检查就是检查数据包长度是否正确,以及校验和是否正确。此外,对于异常情况,返回的也是-NF_ACCEPT,连接跟踪子系统再次取反,所以最终返回给Netfilter框架的还是NF_ACCEPT,所以udp的错误检查不会导致丢包。

fanxiaoyu321
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux内核协议栈 netfilter连接跟踪子系统核心数据结构 struct nf_conn
11-01 2029
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
操作系统整理(三)--网络协议
最新发布
文艺小少年的博客
05-20 185
本文接着上一章,继续介绍linux中的子系统,本篇介绍网络协议
L4是MMI/AT和协议栈的适配层
05-02
L4是MMI/AT和协议栈的适配层。 ATCI是AT命令解析器。 UEM是用于抽象如键盘、LED、通用输入/输出等基本设备,是用户设备模块。 PHB就是电话本。 SMU是安全管理单元(SIM、STK)。 CSM是呼叫服务管理。 RAC是登记访问控制。 SMSAL是SMS应用层。
连接跟踪详解
weixin_34223655的博客
04-30 1768
2019独角兽企业重金招聘Python工程师标准>>> ...
使用ip_conntrack实现UDP服务的多进程处理
互联网
04-13 507
UDP是无连接的,一个UDP包发出之后,对端接收到,事情就完了,即使对端没有接收到,事情也随之结束,两端都不会保存任何信息(UDP connect函数仅仅绑定了一个元组,不会对协议通信有影响)。因此无法像TCP那样实现accept。而TCP服务的多处理机制基本都是基于accept的,TCP的侦听socket只负责接受连接,进而调度给一个进程或者线程,accept/fork机制已经成了多处理的必杀技...
Open vSwitch相关字段详解之L4:TCP, UDP, SCTP
祈晴小义
11-26 676
Open vSwitch相关字段详解之L4:TCP, UDP, SCTP
第二十四章:L4协议和Raw IP的处理
weixin_42525458的博客
09-20 1090
笔记
详解SOME/IP-SD协议文档-翻译版
jasonj333
01-26 5466
1 介绍和概述 这份协议规范规定了协议SOME/IP Service Discovery (SOME/IP-SD)的格式、消息序列和语义 服务发现协议的主要任务是在车载通信中传达功能实体(也就是服务)的可用性,以及控制事件消息的发送行为。这允许只发送事件消息给那些需要它们的接收者(发布/订阅),此处描述的解决方案也称为SOME/IP-SD(基于IP的可扩展的面向服务的中间件-服务发现) 可以看出,SOME/IP-SD有两个功能: 应用程序之间传达自己的服务或获取对方的服务是否可用 向其他应用程序订阅服务
Linux内核--网络协议栈(四)sk_buff介绍
文艺小少年的博客
01-17 354
在 Linux 的网络栈实现代码中,引用到了一些数据结构。要理解 Linux 内部的网络实现,需要先理清这些数据结构的作用。 关键数据结构主要有两个: sk_buff 和 net_device。
Linux 操作系统原理 — 内核协议栈收包/发包流程
烟云的计算
03-17 2713
INET socket 层会调用具体传输层协议的 write 函数,该函数是通过调用本层的 inet_send() 来实现的,inet_send() 的 UDP 协议对应的函数为 udp_write()。:udp_write() 调用本层的 udp_sendto() 完成功能。在具体的实现中,poll() 会轮训检查 BDT Entries 的状态,如果发现当前 BDT 指针指向的 Entry Ready,则将该 Entry 对应的 sk_buff 取出来,并恢复该 Entry 的空闲状态。
连接跟踪(connection tracking,conntrack,CT)
Ghost_199503的博客
11-29 1019
连接跟踪
深入理解Linux网络技术内幕——L4协议与Raw IP的处理
Windeal
05-18 9044
我们简单了解下L4协议和Raw IP是如何与IP层进行交互的。 L4协议 L4协议可以通过静态编译和模块配置两种方式加入内核。 比较重要的协议如TCP、UDP、ICMP通常是静态编译至内核。 一些不常用的或者比较特殊的协议,则是通过内核配置加入内核。如IGMP,SCTP,IPIP等等。 L4协议的注册 L4协议有net_protocol结构定义: /* This is us
网络分层架构(七/四层协议
qq_44428824的博客
02-07 605
网络分层架构 业内普遍的分层方式有两种。OSI七层模型 和TCP/IP四层模型。 OSI七层模型:物、数、网、传、会、表、应 TCP/IP四层模型:链、网、传、应 物理层:主要定义物理设备标准,如网线的接口类型、光纤的接口类型、各种传输介质的传输速率等。它的主要作用是传输比特流(就是由1、0转化为电流强弱来进行传输,到达目的地后再转化为1、0,也就是我们常说的数模转换与模数转换)。这一层的数据叫做比特。 2)数据链路层:定义了如何让格式化数据以帧为单位进行传输,以及如何让控制对物理介质的访问。这一层通常
Netfilter 连接跟踪与状态检测的实现
Wait for 的专栏
09-08 1118
Netfilter 连接跟踪与状态检测的实现       作者:九贱 www.skynet.org.cn 内核版本:2.6.12 本文只是一部份,详细分析了连接跟踪的基本实现,对于ALG部份,还没有写,在整理笔记,欢迎大家提意见,批评指正。 [size=4][color=Red]1.什么是连接跟踪[/col
tcp协议概述入门
记录工作的点滴收获
06-21 222
tcp协议概述与汇总
linux conntrack 原理,十五、Netfilter中conntrack的建立过程
weixin_33467061的博客
05-14 873
我们先来看一下iptables定义的连接状态:INVALID:无效连接,防火墙一般会丢弃该连接NEW:新建立的,既只是通信双方中只一方发送了报文,还没有得到回应的ESTABLISHED:已经得到回应的连接。既通信双方都发送过报文的连接RELATED:关联的连接,既有期望连接关联的连接UNTRACKED:不进行连接跟踪连接SNAT:配置了SNAT的连接DNAT:配置了DNAT的连接一、一般连接的...
TCP和UDP详解(非常详细)
Zx13170918986的博客
07-24 8969
在TCP的协议头中,没有如同UDP一样的"报文长度"这样的字段,但是有一个序号这样的字段。接收端处理数据的速度是有限的,如果发送端发的太快,导致接收端的缓冲区被装满,这个时候如果发送端继续发送,就会造成丢包,然后引起丢包重传等等一系列连锁反应。虽然TCP有了滑动窗口这个大杀器能够高效可靠的发送大量的数据,但是如果在刚开始阶段就发送大量的数据,仍然可能引发问题,因为网络上有很多的计算机,可能当前的网络状态就已经比较拥堵,在不清楚当前网络状态下,贸然发送大量的数据是很有可能引起雪上加霜的,造成网络更加堵塞。..
Linux内核分析 - 网络[十七]:NetFilter连接跟踪
热门推荐
yoyo的专栏
12-04 1万+
内核版本:2.6.34 转载请注明 博客:http://blog.csdn.net/qy532846454 by yoyo       前面章节介绍过Netfilter的框架,地址见:http://blog.csdn.net/qy532846454/article/details/6605592,本章节介绍的连接跟踪就是在Netfilter的框架上实现的,连接跟踪是实现DNAT,SNAT还有有
DPDK-iperf在L4负载均衡器中的应用
"DPDK-iperf for L4 LoadBalancers.pdf" 本文主要探讨了DPDK-iperf在第四层负载均衡器中的应用,以及它如何优化网络性能。DPDK(Data Plane Development Kit)是一个开源软件框架,用于加速网络应用程序的数据包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值