关于 FullNat 模式的 Toa 实现原理【转】

已于 2022-02-24 17:29:43 修改
阅读量4.3k 收藏 12
点赞数 1
分类专栏: 四层网关 文章标签: LB
于 2022-02-24 11:32:24 首次发布
原文链接:https://blog.csdn.net/liwei0526vip/article/details/106108844
版权

目录

背景

FullNat 模式的特点,比如跨机房、可运维性强等优势。不过会存在一个问题,在后端服务器上,应用程序能够获取到的请求源 IP 是 lvs 的 LocalIP,并不是真实客户端的 ClientIP。而现在大多数业务都需要对用户信息进行分析画像,也有一些敏感业务需要对用户进行溯源,所以获取用户的真实客户端 IP 地址是非常重要和必要的。

获取client ip的几种方法

有一定流量的业务基本上都要经过负载均衡设备,所以后端服务器要获取客户端真实IP地址,也是常见的问题和需求,这里先罗列几种常见的获取源 IP 的方式:

  • 通过 L3 转发时,源 IP 不变。
    比如 lvs 的 dr、nat、tunnel 模式,后端服务器可以直接获取到真实客户端 IP 地址。
  • 通过 proxy protocol 协议实现源 IP 传递。
    原理是在三次握手后,发送请求数据前,在四层头之后插入一个 proxy protocol 数据包,数据包中可以携带 src ip、src port 等信息,该协议是由 haproxy 提出的,目前常见的 web 服务器都已经支持。
  • 通过 toa 模块获取源 IP。
    在三次握手最后一个 ack 数据包的 tcp option 中插入源 IP 和源 Port 等信息;后端服务器在调用 getpeername 获取源 IP 时读取 tcp option 数据即可获取真实客户端的 IP 地址。
  • 通过七层的 XFF 字段。
    HTTP 协议实现的字段,没什么可说的。业务层自己实现。

几种方案各有优缺点,以及自己适用的应用场景。本文重点要说的是 TOA ,TOA 工作在 L4 层,适用性更通用一些。

toa/uoa 获取client ip

原理

TOA 名字全称是 tcp option address,是 FullNat 模式下能够让后端服务器获取 ClientIP 的一种实现方式,它的基本原理比较简单。

  • 客户端用户请求数据包到达 LVS 时,LVS 在数据包的 tcp option 中插入 src ip 和 src port 信息。
  • 数据包到达后端服务器(装有 toa 模块)后,应用程序正常调用 getpeername 系统函数来获取连接的源端 IP 地址。
  • 由于在 toa 代码中 hook(修改)了 inet_getname 函数(getpeername 系统调用对应的内核处理函数),该函数会从 tcp option 中获取 lvs 填充的 src 信息。
  • 这样后端服务器应用程序就获取到了真实客户端的 ClientIP,而且对应用程序来说是透明的。

tcp option 字段

在这里插入图片描述
client ip 就是放在 tcp option 字段中。option 字段最长 40 字节,每个选项由三部分组成:op-kind、op-length、op-data,我们最常见的 MSS 字段就是在 option 里。
目前 option 使用的 op-kind 并不多,我们只需要构建一个不冲突的 op-kind 就可以把 clientIP 填充进去。IPv4 地址占用 4 个字节,IPv6 占用 16 字节,填充到 option 中是没有问题的。

lvs中的toa格式与插入

格式

首先要确定 toa 的具体数据格式:
(一)IPv4 toa 格式

+----------+----------+--------------------+
|  opcode  |  opsize  |         port       |
+----------+----------+--------------------+
|                clientIP                  |
+------------------------------------------+

各字段含义:

opcode: opcode = 254
opsize: toa 大小 8 字节
port: 客户端端口
clientIP: 客户端 IP(4 字节)
注:opsize 大小包含了自身opsize(2B) + port(2B) + ip(4B)

(二)IPv6 toa 格式

+----------+----------+--------------------+
|  opcode  |  opsize  |         port       |
+----------+----------+--------------------+
|                                          |
|               clientIPv6                 |
|               clientIPv6                 |
|                                          |
+------------------------------------------+

各字段含义:

opcode: opcode = 254
opsize: toa 大小 20 字节
port: 客户端端口
clientIP: 客户端 IP(16 字节)

插入

lvs 需要对每个 tcp 数据包都要插入 toa 信息么?如果这样会影响到 lvs 整体性能的,而且后端服务器也没必要对每个 tcp 数据包进行解析,当然也很影响服务器性能。
其实只需要在第 3 次握手 ack 数据包中插入 toa 选项即可,后端服务器从 ack 数据包中解析并获取即可。

注:
其实syn包中插入 tcp option也是没有什么意义的。因为后端时收到三次握手的ack,才会从ack中获取tcp option的。

后端获取client ip

TCP 协议栈中处理三次握手的 ack 数据包的函数是 tcp_v4_syn_recv_sock,完成连接的建立,并创建 newsock。

  1. toa 模块会将此函数通过 tcp_v4_syn_recv_sock_toa 函数进行劫持,也就是说第三次握手的 ack 到达协议栈后调用的是 tcp_v4_syn_recv_sock_toa 函数,而不是tcp_v4_syn_recv_sock 。
  2. 在 tcp_xx_toa 函数中首先会调用内核原有的处理函数 tcp_v4_syn_recv_sock 函数,这样兼容了那些不是通过 toa 的连接。然后解析 ack 数据包中 tcp option 内容,获取到 lvs 插入到 toa 的 src ip 和 src port 信息,将此信息挂在 newsock 结构变量中。
static struct sock *
tcp_v4_syn_recv_sock_toa(struct sock *sk, struct sk_buff *skb,
            struct request_sock *req, struct dst_entry *dst)
{
    newsock = tcp_v4_syn_recv_sock(sk, skb, req, dst);
    newsock->sk_user_data = get_toa_data_compatible(AF_INET, skb, &nat64);

    return newsock;
}

当应用程序,如 nginx 或 MySQL 调用 getpeername 系统函数时,正常情况会调用 inet_getname 函数来获取连接远端的 ClientIP。

  1. toa 模块对 inet_getname 函数也用 inet_getname_toa 函数进行了劫持,也就是说应用程序调用 getpeername 时,内核对应的处理函数是 inet_getname_toa。
static int
inet_getname_toa(struct socket *sock, struct sockaddr *uaddr,
        int *uaddr_len, int peer)
{
    int retval = 0;
    struct sock *sk = sock->sk;
    struct sockaddr_in *sin = (struct sockaddr_in *) uaddr;
    struct toa_ip4_data tdata;

    // 调用内核原来的函数,兼容那些不是toa的情况
    retval = inet_getname(sock, uaddr, uaddr_len, peer);

    // 如果是toa,则直接从sk->sk_user_data获取数据
    if (retval == 0 && NULL != sk->sk_user_data && peer) {
            memcpy(&tdata, &sk->sk_user_data, sizeof(tdata));
            sin->sin_port = tdata.port;
            sin->sin_addr.s_addr = tdata.ip;
    }

    return retval;
}

总结:

  • hook 三次握手中收到ack后建立连接的函数:tcp_v4_syn_recv_sock:
    将三次握手的ack中携带的 client-ip, client-port 保存到 新建sock 的 sk_user_data 中。
  • hook 后端server的 getpeer 的函数:
    sock 的 sk_user_data 非空时,则getpeer 返回调度时 sock 的 sk_user_data 的数据。

ss/netstat 和 toa的关系

  • ss/netstat -apn 看到的连接的 ip 是否为真实的 client-ip?
    经过测试发现:
    netstat -apn 中看到的 ip 不是client-ip ,而是lvs的 local-ip
    因为netstat 并不是一个真实的server,监听某个端口,然后新建连接,进行getpeer 获取对端的ip,其是通过读取/proc/net下的内核文件来获取所有的连接信息。
(1)安装
> yum install -y nginx
> #which nginx
> #rpm -qf /sbin/nginx
(2) 安装 toa
(3) nginx 日志查看client ip
如下所示:此时看到的 ip 的确是 client-ip,但是netstat 看到的依然是 local-ip;

在这里插入图片描述

注:查看netstat /ss 的原理:
strace -e open netstat -apn ; 发现 netstat 其实是 打开/proc/net/tcp, /proc/net/tcp6,/proc/net/udp, /proc/net/udp6, /proc/net/raw, /proc/net/unix 等文件

其他实现方式

以上 toa 的方式的 两个 hook 函数是 内核中原始存在这样的函数,只不过将原有函数给劫持了, 所以不需要重新执行 nf_register_hook 进行注册 hook函数。
如果需要在netfilter 中添加新的函数,则需要考虑将 新的函数 添加到netfilter 的哪个链中(比如:PREROUTING链),以及对应的优先级的设置(相比较于该链中其他表/函数的优先级,比如:raw/mangle/nat/filter)。
【具体实现可参考 uoa 的实现以及百度 bcettm 的实现】

其他实现方法
比如:直接注册两个 hook 函数,执行 source nat操作,而不是劫持原有的函数。

具体行为是:将sip/sport 替换为 tcp option中的client-ip, client-port, 并且建立 session,后续的包中没有携带 clinet-ip、port,直接查找session,也可以进行snat 替换。

注:此时需要保证 lvs发给后端的 syn 包中携带有 client-ip, client-port 信息,而不仅仅是 三次握手的第三个包中携带有 client-ip, client-port。
这也是为什么 lvs会在 syn 以及三次握手的 ack中都携带有 client-ip、port信息了。因为后端可以通过nat方式,也可通过hook原有的函数的方式来获取 client-ip、port。

参考

https://blog.csdn.net/liwei0526vip/article/details/106108844
legend050709ComeON
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TOA定位_TOA_
10-01
TOA定位方法matlab仿真 TOACHAN TOALLOP方法
TOA(tcp option adress)安装
醉趋醍的博客
11-19 5149
1.说明 1.1.场景说明 TOA 属于 4层发系统的一个功能模块,缺省情况下服务经过 4层发系统,服务源站查看到的请求IP为NAT的回源地址,这对于一些特殊业务来说(比如游戏),是无法满足的,TOA的功能就是让真实源服务源站获取访问者真实IP地址,该模块安装在源站服务器上。以下为 TOA 的局限性: 仅支持 TCP 协议 仅支持 IPv4 仅支持 Linux 操作系统 1.2.前提条件 ...
TOA - TCP Option Address
depakin+的专栏
05-22 1万+
使用HaproxyTCP到业务服务器端,后端报文看到的源 IP 地址是代理服务器的IP 。 为了让后端能够获取到用户端实际的 IP 地址,有三个方案: 1. http 请求记录标识: 在客户端和服务器建立TCP连接之前,一般都是先http请求拿到服务器的IP和PORT。 在http请求时,使用客户端的ID或者macid,device_id,golbal_id等唯一标识映射用户的ip,存储起来,ex:redis的hash 或 zset。 这样,后端tcp服务器就可以根据唯一标识,在存储中拿到用户的ip
TCP/IP之IP协议及IP地址详解
月生的静心苑
05-01 8444
IP是Internet Protocol(网际互连协议)的缩写,IP是整个TCP/IP协议族的核心,也是构成互联网的基础。IP位于TCP/IP模型的网络层(相当于OSI模型的网络层)。设计IP的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则,IP只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。...
TOA/AOA定位算法C语言代码
12-08
改进的TOA/AOA定位算法C语言代码
无线定位原理:TOA & AOA
热门推荐
你通透就好 别问我是谁
09-17 6万+
无线定位原理:TOA&AOA TOA 定位方法 TOA 定位方法,主要是根据测量接收信号在基站和移动台之间的到达时间,然后换为距离,从而进行定位。该方法至少需要三个基站,才能计算目标的位置,其定位示意图如图所示。 三个基站测得与 MS 的距离分别为 r1,r2,r3r1,r2,r3r_1,r_2,r_3,以各自基站为圆心测量距离为半径,绘制三个圆,其交点即为 MS 的位置。...
F5 采用TCP::OPTION 方式做源地址插入
weixin_33953384的博客
04-17 1817
关键操作创建profile1, tmsh create ltm profile tcp options-set tcp-options “{29 last}”创建irule2,irule:when SERVER_CONNECTED {scan [IP::client_addr] {%d.%d.%d.%d} a b c dTCP::option set 29 [binary format cccc...
LVS的FULLNAT模式
weixin_39286923的博客
08-23 2480
LVS的FULLNAT模式 fullnat模式原理: fullnat模式nat模式比较类似,客户端的请求和响应都会经过lvs,不同的是nat模式换仅存在于目的方向,也就是说客户端的发来的请求经过lvs后,请求的目的ip会化成rs的ip地址,目的端口会化成rs的目的端口,而在fullnat模式下,客户端发来的请求的源ip和源端口都会被换成lvs的内网ip地址和端口,同理对于...
nginx获取真实ip——toa模块
赶路人儿
10-09 1万+
toa模块是为了让后端的realserver能够看到真实的clientip而不是lvs的dip。    1、下载http://kb.linuxvirtualserver.org ... 86_64.rs.src.tar.gz    2、解压    3、编辑.config,将CONFIG_IPV6=M改成CONFIG_IPV6=y        测试的时候发现如果不改会遇到报错,可以看下
Nginx 介绍与Linux下安装配置
RToax
03-08 404
Table of Contents Nginx 介绍 Nginx 安装配置 Nginx 安装 一、安装编译工具及库文件 二、首先要安装 PCRE 安装 Nginx Nginx 配置 启动 Nginx 访问站点 Nginx 介绍 Nginx(engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔...
tic-tac-toa.rar_TOA
09-14
this is source code of the game named tic-tac-toa .
Tic-Tac-Toa.zip_TOA
09-24
Tic Tac Toe A game designed in c++ to give student and idea about how tto do game programming in c++.
loca_2.rar_TOA matlab_TOA定位_Toa__三圆_三圆定位
07-13
利用三个基站进行TOA定位,即求三圆相交区域,再根据到每个圆距离最小的原则估算出目标点
基于matlab实现的空间调制通信过程,包含信号调制、天线选择等发送过程,以及采用最大似然估计的检测过程 .rar
最新发布
05-02
基于matlab实现的空间调制通信过程,包含信号调制、天线选择等发送过程,以及采用最大似然估计的检测过程。.rar
基于matlab的关于生猪养殖场经营管理的研究.docx
05-02
本文档是课题研究的研究报告内含调研以及源码设计以及结果分析
网络作为特征提取器-python源码.zip
05-02
网络作为特征提取器-python源码.zip
JavaScript-javaweb项目
05-02
JavaScript-javaweb项目
node-v12.11.0-linux-arm64.tar.xz
05-02
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
仿Slideby触屏版html5响应式手机wap网站模板下载.zip
05-02
触屏版自适应手机wap软件网站模板 触屏版自适应手机wap软件网站模板
matlab实现TOA
07-29
TOA算法是一种UWB定位算法,通过测量信号的到达时间来估计目标的位置。在MATLAB中实现TOA算法,可以编写两个函数:TOA_LLOP和TOA_CHAN。TOA_LLOP函数用于计算位置的估计,TOA_CHAN函数用于计算信道特性。通过这两个函数的组合,可以实现TOA算法的定位功能。同时,可以使用RMSE来评估算法的性能,并绘制RMSE曲线对比图,以比较不同噪声方差下两种算法的性能差异。具体的仿真方案设计和仿真结果可以根据具体需求进行设计和实现。\[2\]\[3\] #### 引用[.reference_title] - *1* *2* [UWB定位问题(TOA定位matlab实现)](https://blog.csdn.net/qq_40276082/article/details/130194075)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [TOA定位算法性能仿真(matlab,详细介绍仿真方案的设计、结果及结论、完整代码及注释)](https://blog.csdn.net/qq_44830040/article/details/106432941)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值