Linux网络之连接跟踪(conntrack)

最新推荐文章于 2024-05-26 22:18:13 发布
最新推荐文章于 2024-05-26 22:18:13 发布
阅读量1.6k 收藏 3
点赞数
文章标签: linux 网络协议 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74282605/article/details/129390783
版权

连接跟踪是很多网络服务和应用的基础。例如,kubernetes的service,ServiceMesh sidecar,4层负载均衡软件LVS/IPVS,容器网络,OpenvSwitch,OpenStack安全组等等都是依赖连接跟踪。

概念

顾名思义,连接跟踪就是跟踪或维护网络连接及其状态的。

机上连接跟踪示例

上图中,Linux主机的IP地址是10.1.1.2,包含3个连接:

1、10.1.1.2:55667 <-> 10.2.2.2.:80:本地发起的连接,用于访问外部HTTP/TCP服务。

2、10.3.3.3:23456 <-> 10.3.3.2.:21:外部连接访问该节点的FTP/TCP服务。

3、10.1.1.2:33987 <-> 10.4.4.4.:53:本地发起的连接,用于访问外部DNS/UDP服务。

Conntrack模块负责发现和记录这些连接及其状态,包括:

提取数据包的五元组,区分数据包和相关连接。

为所有连接维护一个“数据库”(连接跟踪表),存储连接的创建时间、发送的数据包、发送的字节信息等。

回收陈旧的连接信息(GC)。

为上层功能服务,例如NAT。

但是请注意,“连接跟踪”中的术语“连接”不同于我们常在TCP/IP栈中所指的“连接”概念。简而言之:

在TCP/IP协议栈中,“连接”是4层概念。TCP是一种面向连接的协议,所有的报文都需要得到确认(ACK),并且有重传机制。UDP是一种无连接协议,不需要确认(ACK),也不需要重传。

在连接跟踪中,五元组唯一地定义数据流,数据流表示连接。

后面我们将看到即使ICMP(3层协议)也有连接数据。但并不是所有的协议都有连接跟踪。

我们所说的“连接”,在大多数情况下是指后者,即“连接跟踪”上下文中的“连接”。

理论

有了上述概念,让我们来分析连接跟踪的基本理论。要跟踪一个节点上所有连接的状态,我们需要:

1、读取(或过滤)通过该节点的每个数据包,并分析数据包。

2、设置一个“数据库”记录这些连接的状态。

3、根据数据包提取信息,及时更新连接状态到数据库(连接跟踪表)。

例如:

1、当读取一个TCP SYC数据包时,我们将确认这是在尝试新的连接,我们需要创建一个新的连接跟踪记录。

2、当得到一个属于现有连接的数据包时,我们需要更新连接跟踪的统计信息,例如发送的字节数、发送的数据包数、超时值等。

最低0.47元/天 解锁文章
Linux加油站
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
Linux conntrack和iptables技术解析
李姓门徒
03-05 1516
conntrack和iptables是Linux操作系统中的两个网络工具,用于网络连接跟踪和流量过滤。 conntrack是一个内核模块,用于在网络连接建立时跟踪和记录连接的信息。它可以记录连接的源地址、目的地址、端口等信息,并且能够在连接关闭后继续跟踪一段时间。通过conntrack,系统管理员可以查看和管理网络连接状态,如查看活动连接、删除连接等。iptables是一个防火墙工具,用于管理和配置Linux操作系统的数据包过滤规则。它可以根据数据包的源地址、目的地址、端口等信息来过滤网络流量,以实现
Linux 依据连接跟踪处理报文的具体过程
mrtyxr的博客
12-27 417
连接跟踪Linux内核中一个重要的模块,当涉及报文过滤、安全服务处理时更是绕不开连接跟踪,在此前的博客中记录了连接建立、连接确认等处理过程,但依据连接信息对报文处理的过程并未详细描述,故此进一步学习。
Linux系统命令traceroute详解(语法、选项、原理和实例)
最新发布
weixin_70208651的博客
05-26 3744
Linux系统下,traceroute是一个网络诊断工具,用于追踪一个数据包从源点到目的地所经过的路由路径。它通过向目的地发送一系列的UDP或ICMP数据包,并记录每个数据包所经过的路由器,来显示数据包到达目的地的路径。通过发送不同TTL值的IP数据包来追踪数据包从源主机(源主机SA)到目的主机(目标主机DA)所经过的路由。通过这种方式,可以记录下从源主机到目的主机所经过的每个路由器的IP地址,以及每个路由器处理数据包的时间。这样,用户就可以看到数据包从源到目的地的完整路径。
conntrack命令安装分享
乖乖的专栏
01-05 7811
在论坛中看到一个帖子关于ip_conntrack参数相关的,后来打开了个关于man命令conntrack连接。 在此分享,如对你有一点帮主也是一点荣幸 http://linux.die.net/man/8/conntrack    man连接地址 正文:   系统   centos5.6  64位   安装包相关:       yum -y install bison  
【博客521】linux conntrack (connection tracking)
qq_43684922的博客
10-16 2390
conntrack本质是一个内核里的hash表,每个node上的conntrack跟踪流过它的每一条连接
linux之yum下载rpm包离线安装conntrack-tools
农民工
04-15 6715
如何下载rpm包,进行离线安装 文章目录前言一.yum下载rpm包离线安装方式方法一:使用yum 的 downloadonly 插件下载方法二:使用yumdownloader下载方法三:使用repotrack下载所有依赖二、下载conntrack-tools相关包1.获取依赖关系2.根据组织依赖下载包3.查看下载结果4.离线安装 rpm(未联网的环境也可以执行)5.测试 前言 ​ 通常生产环境由于安全原因都无法访问互联网。此时就需要进行离线安装,主要有两种方式:源码编译、rpm包安装。源码编译耗费时间长
kubernetes 二进制安装(v1.20.16)(一)环境准备
看,未来的博客
06-07 742
我们明明可以用 kubeadm 直接部署 k8s 集群,简单又快速,为什么要用繁琐复杂的二进制安装?
linuxconntrack连接跟踪
农民工
04-15 3329
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可
tcp连接跟踪安装包自取
03-04
Linux系统中,TCP连接跟踪由内核的Netfilter模块实现,尤其是其conntrack子模块。Netfilter是Linux内核中的一个框架,允许对进出的数据包进行过滤和修改。conntrack则负责跟踪网络连接的状态,为防火墙规则提供上...
LINUX2.4.x 连接跟踪和地址转换
05-29
高手总结的文档,获益非浅^^
高负载系统,网络参数调整 linuxetc.doc
09-03
1. `net.ipv4.ip_conntrack_max = 655360`指定了内核中netfilter可以同时处理的连接跟踪条目数量。增加这个值可以处理更多的并发连接。 2. `net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180`设定了...
基于eBPF/XDP实现conntrack功能
06-19
连接跟踪(conntrack)是网络应用非常非常的基础,比如有状态防火墙 (firewall),网络地址转换(nat),负载均衡(lb)。Linux conntrack 是 基于 netfilter 实现的,如图所示,分别在 PREROUTING, POSTROUTING 位置前 和后...
LINUX协议栈】netfilter之连接跟踪机制
不会游泳的程序猿
08-23 847
连接跟踪,顾名思义,就是跟踪(并记录)连接的状态。一般conntrack用来指代“Connection Tracking”,即连接跟踪,是建立在 Netfilter框架之上的重要功能之一。
iptables
cp_dvd的博客
08-20 1385
指定多个源端口[!# 指定多个目标端口[!..#多个源或目标端[!][root@rock1 ~]# iptables -A INPUT -s 10.0.0.151/16 -d 10.0.0.150 -p tcp -m multiport --dports 20:30,80 -j ACCEPT (追加,INPUT,源,目标,指定协议,-m指定命令,指定端口号,接受 )
Linux 安装Kubernetes集群
u011447403的专栏
03-07 4059
Kubernetes集群涉及的术语和组件较多,这与Kubernetes复杂的设计有关。本文基于kubernetes中文文档[使用 kubeadm 引导集群]的安装步骤,详细介绍了从容器运行时Docker安装到kubeadm工具安装,再到集群创建和应用部署,最终实现一个master节点两个worker节点的Kubernetes集群搭建及在集群上的三个Pod运行的Nginx服务创建和暴露。要顺利阅读或按步骤安装,你需要了解Kubernetes组件、理解 Kubernetes 对象和Pod运行容器等基本概念。
连接跟踪conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
03-20 714
本文介绍连接跟踪(connection tracking,conntrack,CT)的原理,应用,及其在 Linux 内核中的实现。代码分析基于内核4.19。为使行文简洁,所贴代码只保留了核心逻辑,但都给出了代码 所在的源文件,如有需要请查阅。水平有限,文中不免有错误之处,欢迎指正交流。// 为方便 NAT 的实现,内核将 tuple 结构体拆分为 "manipulatable" 和 "non-manipulatable" 两部分// 下面结构体中的 _man 是 manipulatable 的缩写。
Ubuntu conntrack命令
shijin741231的博客
02-12 641
ubuntu下没有 centos中的/proc/net/nf_conntrack文件,需要使用conntrack命令查看。
Linux网络连接跟踪 conntrack
wzj_110的博客
12-03 747
Linux网络连接跟踪 conntrackconntrack 命令。conntrack中的。
连接跟踪conntrack
04-25
好的,您问的是连接跟踪conntrack)的相关问题。Conntrack是一个Linux内核的网络连接追踪器,用于跟踪网络通信中的连接,可以识别并跟踪TCP、UDP、ICMP等协议中的连接状态。它可以帮助管理和维护网络连接,以及实现网络防火墙等功能。您可以通过配置iptables规则来使用conntrack进行网络连接跟踪。请问您还有其它问题需要我解答吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值