Linux nf_conntrack(二)-连接确认

已于 2024-03-11 09:53:00 修改
阅读量764 收藏 12
点赞数 19
文章标签: linux 运维 服务器
于 2023-12-08 10:43:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrtyxr/article/details/134807285
版权

        最近走读学习Linux内核关于连接跟踪相关处理,上一篇中记录了连接建立的过程,感兴趣的同学可以参考: nf_conntrack(一)-连接建立 ;一个连接的完整性需要经过确认才能建立,因此这里学习连接确认相关处理;

        如前所述,连接处理依附于Linux内核Netfilter框架,连接处理函数即HOOK处理函数,关于HOOK处理函数(以ipv4为例)有如下定义:

static const struct nf_hook_ops ipv4_conntrack_ops[] = {
	{
		.hook		= ipv4_conntrack_in,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= ipv4_conntrack_local,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_OUT,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= nf_confirm,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
	{
		.hook		= nf_confirm,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
};

       从上述nf_hook_ops的定义来看,涉及连接确认的HOOK点有两个:NF_INET_LOCAL_IN和NF_INET_POST_ROUTING;分别对应对到本机报文建立连接的确认处理和转发报文建立的连接的确认处理,后面分别简称为本地会话和转发会话,但对应的处理函数均为nf_confirm,我们稍后讨论。

        已知同一HOOK点可以由不同模块挂在多个处理函数,函数依据优先级顺序逐个处理,优先级定义如下:

enum nf_ip_hook_priorities {
	NF_IP_PRI_FIRST = INT_MIN,
	NF_IP_PRI_RAW_BEFORE_DEFRAG = -450,
	NF_IP_PRI_CONNTRACK_DEFRAG = -400,
	NF_IP_PRI_RAW = -300,
	NF_IP_PRI_SELINUX_FIRST = -225,
	NF_IP_PRI_CONNTRACK = -200,
	NF_IP_PRI_MANGLE = -150,
	NF_IP_PRI_NAT_DST = -100,
	NF_IP_PRI_FILTER = 0,
	NF_IP_PRI_SECURITY = 50,
	NF_IP_PRI_NAT_SRC = 100,
	NF_IP_PRI_SELINUX_LAST = 225,
	NF_IP_PRI_CONNTRACK_HELPER = 300,
	NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
	NF_IP_PRI_LAST = INT_MAX,
};

        可见同一HOOK点,连接确认处理函数最后被执行。

连接确认

        如上连接确认处理函数为nf_confirm(),依据HOOK点(又称钩子),首先确认下被调用执行的位置,本机报文和转发报文分别讨论。

        在此之前,首先要对内核协议栈中报文转发路径的抉择有个基本的认知,主要过程如下:

        1)网卡接收报文,通过DMA技术,将报文存放到网卡指定缓冲区(通常存在一个ring_bufffer队列)

        2)产生硬件中断,通知CPU有报文到达

        3)硬中断处理,并触发收报软中断。

        4)软中段处理,将报文从ring_buffer中拷贝复制skb_buffer中并上送协议栈。

        5)协议栈报文合法性、完整性校验,

        6)根据目的mac是否到本地确定走L2转发还是L3转发

        7)L3转发,根据目的IP查路由,若目的IP是本地IP则为到本机的报文,本地报文上送

        8)否则,根据路由信息查找对应的邻居信息确认出接口,报文转发

本机报文

        ip_local_deliver函数内部有如下调用:

return NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_IN,
		       net, NULL, skb, skb->dev, NULL,
		       ip_local_deliver_finish);

转发报文

        ip_output函数内部有如下调用:

return NF_HOOK_COND(NFPROTO_IPV4, NF_INET_POST_ROUTING,
			    net, sk, skb, indev, dev, ip_finish_output,
			    !(IPCB(skb)->flags & IPSKB_REROUTED));

nf_confirm函数

        nf_confirm函数代码如下所示:

unsigned int nf_confirm(void *priv,
			struct sk_buff *skb,
			const struct nf_hook_state *state)
{
	const struct nf_conn_help *help;
	enum ip_conntrack_info ctinfo;
	unsigned int protoff;
	struct nf_conn *ct;
	bool seqadj_needed;
	__be16 frag_off;
	int start;
	u8 pnum;

    /* 获取连接信息、连接状态信息 */
	ct = nf_ct_get(skb, &ctinfo);
	if (!ct || in_vrf_postrouting(state))
		return NF_ACCEPT;

    /* 获取helper扩展信息,helper扩展信息通常用于处理特殊协议或应用层协议,如FTP(父子连接)等 */
	help = nfct_help(ct);

	seqadj_needed = test_bit(IPS_SEQ_ADJUST_BIT, &ct->status) && !nf_is_loopback_packet(skb);
	if (!help && !seqadj_needed)
		return nf_conntrack_confirm(skb);

	/* helper->help() do not expect ICMP packets */
    /* 存在相关连接以及扩展信息 */
	if (ctinfo == IP_CT_RELATED_REPLY)
		return nf_conntrack_confirm(skb);

	switch (nf_ct_l3num(ct)) {
	case NFPROTO_IPV4:
		protoff = skb_network_offset(skb) + ip_hdrlen(skb);
		break;
	case NFPROTO_IPV6:
		pnum = ipv6_hdr(skb)->nexthdr;
		start = ipv6_skip_exthdr(skb, sizeof(struct ipv6hdr), &pnum, &frag_off);
		if (start < 0 || (frag_off & htons(~0x7)) != 0)
			return nf_conntrack_confirm(skb);

		protoff = start;
		break;
	default:
		return nf_conntrack_confirm(skb);
	}

    /* help 扩展处理 */
	if (help) {
		const struct nf_conntrack_helper *helper;
		int ret;

		/* rcu_read_lock()ed by nf_hook */
		helper = rcu_dereference(help->helper);
		if (helper) {
			ret = helper->help(skb,
					   protoff,
					   ct, ctinfo);
			if (ret != NF_ACCEPT)
				return ret;
		}
	}

	if (seqadj_needed &&
	    !nf_ct_seq_adjust(skb, ct, ctinfo, protoff)) {
		NF_CT_STAT_INC_ATOMIC(nf_ct_net(ct), drop);
		return NF_DROP;
	}

	/* We've seen it coming out the other side: confirm it */
	return nf_conntrack_confirm(skb);
}

        确认的核心处理函数为nf_conntrack_confirm();代码走读发现该函数核心调用_nf_conntrack_confirm()函数,因此连接确认处理集中在_nf_conntrack_confirm函数中。

__nf_conntrack_confirm函数

/* Confirm a connection given skb; places it in hash table */
int
__nf_conntrack_confirm(struct sk_buff *skb)
{
	unsigned int chainlen = 0, sequence, max_chainlen;
	const struct nf_conntrack_zone *zone;
	unsigned int hash, reply_hash;
	struct nf_conntrack_tuple_hash *h;
	struct nf_conn *ct;
	struct nf_conn_help *help;
	struct hlist_nulls_node *n;
	enum ip_conntrack_info ctinfo;
	struct net *net;
	int ret = NF_DROP;

	ct = nf_ct_get(skb, &ctinfo);
	net = nf_ct_net(ct);

	/* ipt_REJECT uses nf_conntrack_attach to attach related
	   ICMP/TCP RST packets in other direction.  Actual packet
	   which created connection will be IP_CT_NEW or for an
	   expected connection, IP_CT_RELATED. */
	if (CTINFO2DIR(ctinfo) != IP_CT_DIR_ORIGINAL)
		return NF_ACCEPT;

	zone = nf_ct_zone(ct);
	local_bh_disable();

	do {
		sequence = read_seqcount_begin(&nf_conntrack_generation);
		/* reuse the hash saved before */
		hash = *(unsigned long *)&ct->tuplehash[IP_CT_DIR_REPLY].hnnode.pprev;
		hash = scale_hash(hash);
		reply_hash = hash_conntrack(net,
					   &ct->tuplehash[IP_CT_DIR_REPLY].tuple,
					   nf_ct_zone_id(nf_ct_zone(ct), IP_CT_DIR_REPLY));
	} while (nf_conntrack_double_lock(net, hash, reply_hash, sequence));

	/* We are not in hash table, and we refuse to set up related
	 * connections for unconfirmed conns.  But packet copies and
	 * REJECT will give spurious warnings here.
	 *

	 * Another skb with the same unconfirmed conntrack may
	 * win the race. This may happen for bridge(br_flood)
	 * or broadcast/multicast packets do skb_clone with
	 * unconfirmed conntrack.
	 */
	if (unlikely(nf_ct_is_confirmed(ct))) {
		WARN_ON_ONCE(1);
		nf_conntrack_double_unlock(hash, reply_hash);
		local_bh_enable();
		return NF_DROP;
	}

	if (!nf_ct_ext_valid_pre(ct->ext)) {
		NF_CT_STAT_INC(net, insert_failed);
		goto dying;
	}

	/* We have to check the DYING flag after unlink to prevent
	 * a race against nf_ct_get_next_corpse() possibly called from
	 * user context, else we insert an already 'dead' hash, blocking
	 * further use of that particular connection -JM.
	 */
    /* 将连接状态设置为已确认 */
	ct->status |= IPS_CONFIRMED;

	if (unlikely(nf_ct_is_dying(ct))) {
		NF_CT_STAT_INC(net, insert_failed);
		goto dying;
	}

	max_chainlen = MIN_CHAINLEN + get_random_u32_below(MAX_CHAINLEN);
	/* See if there's one in the list already, including reverse:
	   NAT could have grabbed it without realizing, since we are
	   not in the hash.  If there is, we lost race. */
    /* 正反方向其实是两个半链接,每个方向的五元组信息都应放入对应的hash链表中,插入前首先遍历已有连接判断是否已存在 */
	hlist_nulls_for_each_entry(h, n, &nf_conntrack_hash[hash], hnnode) {
		if (nf_ct_key_equal(h, &ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple,
				    zone, net))
			goto out;
		if (chainlen++ > max_chainlen)
			goto chaintoolong;
	}

	chainlen = 0;
	hlist_nulls_for_each_entry(h, n, &nf_conntrack_hash[reply_hash], hnnode) {
		if (nf_ct_key_equal(h, &ct->tuplehash[IP_CT_DIR_REPLY].tuple,
				    zone, net))
			goto out;
		if (chainlen++ > max_chainlen) {
chaintoolong:
			NF_CT_STAT_INC(net, chaintoolong);
			NF_CT_STAT_INC(net, insert_failed);
			ret = NF_DROP;
			goto dying;
		}
	}

	/* Timer relative to confirmation time, not original
	   setting time, otherwise we had get timer wrap in weird delay cases. */
    /* 连接超时时间相对于连接确认时刻,而不是最初建立连接的时刻,因此更新连接超时时间 */
	ct->timeout += nfct_time_stamp;

	__nf_conntrack_insert_prepare(ct);

	/* Since the lookup is lockless, hash insertion must be done after
	 * starting the timer and setting the CONFIRMED bit. The RCU barriers
	 * guarantee that no other CPU can find the conntrack before the above
	 * stores are visible.
	 */
    /* 将正反方向五元组信息插入对应的hash链表中 */
	__nf_conntrack_hash_insert(ct, hash, reply_hash);
	nf_conntrack_double_unlock(hash, reply_hash);
	local_bh_enable();

	/* ext area is still valid (rcu read lock is held,
	 * but will go out of scope soon, we need to remove
	 * this conntrack again.
	 */
	if (!nf_ct_ext_valid_post(ct->ext)) {
		nf_ct_kill(ct);
		NF_CT_STAT_INC_ATOMIC(net, drop);
		return NF_DROP;
	}

	help = nfct_help(ct);
	if (help && help->helper)
		nf_conntrack_event_cache(IPCT_HELPER, ct);

	nf_conntrack_event_cache(master_ct(ct) ?
				 IPCT_RELATED : IPCT_NEW, ct);
	return NF_ACCEPT;

out:
	ret = nf_ct_resolve_clash(skb, h, reply_hash);
dying:
	nf_conntrack_double_unlock(hash, reply_hash);
	local_bh_enable();
	return ret;
}

        由此可以看出连接确认的目的主要作了如下几件事:

        1)设置连接确认状态位。

        2)设置连接超时时间

        3)将正反方向五元组信息节点插入对应的hash链表中。

        从连接确认处理函数被执行的位置及处理过程来看,连接确认在原始报文内核协议栈处理过程已经完成了,而不是等待有回复报文到来后才确认。

        连接建立到连接确认的处理函数执行位置可以得出这样一个结论:入口报文建立连接,出口报文确认连接,这里出口报文值得是报文或者被转发出去,或者被上送到应用层。

        本着学习的态度写下了这篇博客,可能存在误解或不清楚的地方,欢迎多提意见,共同学习讨论。

进化中的码农
关注
linux内核协议栈 netfilter 之连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2012
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
linux内核协议栈 netfilter 之连接跟踪子系统核心数据结构 struct nf_conn
11-01 2055
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
Linux路由表的抽象扩展应用于nf_conntrack
Netfilter
04-19 5450
思想标准IP路由查找的过程为我们提供了一个极好的“匹配-动作”的例程。即匹配到一个路由项,然后将数据包发给该路由项指示的下一跳。如果我们把上面对IP路由查找的过程向上抽象一个层次,就会发现,其实它还可以有别的用。抽象后的表述为:以数据包的源地址或者目标地址为键值去查询一张表,查到结果项以后执行结果项指示的一个动作。一个结果项为:struct result_node { uint32
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
Linuxnf_conntrack(最全面)
董明磊
03-12 1万+
总结如下:dmesg |grep nf_conntrack连接跟踪表nf_conntrack:如果输出值中有“nf_conntrack: table full, dropping packet”,说明服务器nf_conntrack表已经被打满如果服务器上跑着iptables,必须使用的情况下:1:高并发服务器内核调整(8核16G为例,不懂请自行百度):net.nf_conntrack_max = ...
Linux nf_conntrack(一)-连接建立
mrtyxr的博客
12-07 1009
网络安全业务正是基于连接展开的,关注的是针对一个连接正反向报文的处理,比如nat,当首包到来时基于报文信息创建连接,并记录针对该连接安全业务处理的相关信息,如nat 原始ip,转换后ip等等,后续同一连接的报文直接查会话进行相关处理,根据连接记录查询针对报文进行的安全业务处理,缩短了后续报文安全业务处理的步骤,提高服务处理的性能,此外连接跟踪也是一种查询定位报文经过哪些安全业务模块处理的手段。本着学习的态度,写下了这篇博客,可能存在误解或不清楚的地方,欢迎大家多提意见,共同学习讨论。
nf_conntrack_max 参数测试与排查
人生若只如初见
10-30 1万+
压测步骤: 1.  新建一台操作系统为centos7云服务器B(10.173.34.83),部署并启动nginx; 开启防火墙:systemctlstart firewalld; 开启80端口:添加 firewall-cmd --zone=public --add-port=80/tcp –permanent 重载 firewall-cmd--reload   2.  新建一台操作系统
浅析 /proc/net/nf_conntrack 文件(转)
weixin_33816946的博客
12-11 2029
/proc/net/nf_contrack连接跟踪文件,它里面的内容由 nf_conntrack.ko 模块写入。在 iptables 中使用 -m state 选项时,iptables 不但加载 xt_state.ko 模块,且 nf_conntrack.ko 模块也会被加载进来。一般而言,xt_state.ko 和 nf_conntrack.ko 这两个模块在许多 Linux 发行版里是默...
TCP断开时的状态与Linux nf_conntrack
Netfilter
07-04 7814
题目有点大了,但是难免有一些愤怒!我们的网关产品目前处在系统测试阶段,不太顺利,是太不顺利!各方面都在懈怠,包括我!我除了懈怠,还在找机会逆袭!顺便蔑视一下测试者,希望产生一种想象,即他发现的问题其实不是问题,而是因为他的无知所导致!就在昨天,机会来了,我便气扬了!       很多人觉得我是下三层网络的专家,对于TCP之类的无权问津,但是我对TCP除了辱骂还是辱骂!因为它太复杂了,作为一个低层的
nf_conntrack
weixin_34236497的博客
04-11 792
服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max 设成 65536) 症状CentOS服务器,负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dmesg或/var/log/messages看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因服务器访问量...
Iptables之nf_conntrack模块
最新发布
u011029104的专栏
02-18 939
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
Linux系统nf_conntrack连接跟踪机制简介
qq_36382062的博客
05-11 8582
1、前言 前段时间接手的一个连接跟踪表满导致网络不通的问题,因此对linux系统的连接跟踪模块进行了学习。本文梳理一下目前对nf_conntrack模块的一些个人理解。 2、连接跟踪机制 背景知识:netfilter Netfilter是一个内核架构,是集成到linux内核协议栈的一套防火墙系统,可通过用户空间(iptables等)的工具来把相关配置下发给Netfilt...
踩坑总结] nf_conntrack: table full, dropping packet
yangzhenzhen的专栏
11-07 5884
  转载:https://testerhome.com/topics/7509 netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参...
Linux连接跟踪(nf_conntrack)中缓存私有数据省去每次查找
Netfilter
01-17 7065
前面说过很多次,conntrack作为一中连接跟踪机制,如果它本身是可扩展的,那么将会是多么令人激动的一件事,当你看了N多文档代码之后,你发现它确实是可以扩展的,但是却没有感到激动,因为你可能发现:1.它可以注册一个account扩展,但是计数机制却很原始;2.我希望增加一个新型的扩展,却不得不重新编译内核;怎么办?我曾经很生气地默默指责过当初实现这个的人,想当然的认为将扩展本身也做成可扩展的,而
Linux下快速解析nf_conntrack
staticnetwind的专栏
07-08 2021
1. 背景 回顾了项目需求是系统的统计tcp连接数; 于是想到了 nf_conntrack 这个Linux内核提供的记录和跟踪连接状态的功能; 然后写了个程序解析 /proc/net/nf_conntrack这个映射文件,后来悲剧就发生了,当conntrack表记录变增加到1w以上之后,解析速度急速下降,到了10w规模后,解析耗时几十秒都不能完成,,, 终于后来翻到了netfilter的老巢,发现了解决方法:libnml、libnetfilter_conntrack 2. 使用 核心原理是通过netlink
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3162
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
nf_conntrack连接跟踪机制
喝醉酒的小白
08-11 1205
当网络数据包到达时,nf_conntrack 会检查该数据包与现有连接之间的关系,以确定它是否属于现有连接,或者是新的连接请求。当进行源地址转换(SNAT)或目标地址转换(DNAT)时,nf_conntrack 可以跟踪转换后的连接状态,并确保返回数据包正确地映射回原始连接。过滤与处理:基于连接状态,nf_conntrack 可以与防火墙系统(如 netfilter/iptables)集成,以实现对连接的过滤和处理。它可以记录连接的源地址、目标地址、端口、协议等信息,并根据这些信息进行连接的管理和跟踪。
nf_conntrack: falling back to vmalloc.
weixin_33834075的博客
06-10 1367
System log message file is reporting "kernel: nf_conntrack: falling back to vmalloc". Memory page availability can be further checked from /proc/buddyinfo as below. # cat /proc/buddyinfo Node 0, zone...
nf_conntrack: table full, dropping packet
Be_Nice的博客
05-14 4575
连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip6tables off service iptables stop service ip6tables stop
nf_conntrack_core.c 其他函数用于处理具体的连接追踪逻辑有哪些,用法和意思在内核4.14.195版中
07-11
Linux 内核 4.14.195 版本的 nf_conntrack_core.c 文件中,除了之前提到的函数外,还有一些用于处理具体连接追踪逻辑的函数。以下是其中一些函数的用法和意思: 1. `nf_conntrack_alter_reply()`:修改连接追踪对象的回复数据包。 2. `nf_conntrack_event()`:处理连接追踪事件,如连接建立、连接关闭等。 3. `nf_conntrack_in()`:处理进入的数据包,更新连接追踪状态。 4. `nf_conntrack_confirm()`:确认连接追踪对象的状态。 5. `nf_conntrack_helper_register()`:注册一个协议处理辅助函数(connection tracking helper)。 6. `nf_conntrack_helper_unregister()`:注销一个协议处理辅助函数。 7. `nf_conntrack_hash_bynfproto()`:通过网络协议(如 IPPROTO_TCP、IPPROTO_UDP)进行连接追踪对象的哈希。 8. `nf_conntrack_hash_bytuple()`:通过连接追踪元组进行连接追踪对象的哈希。 9. `nf_conntrack_find_get()`:通过连接追踪元组查找连接追踪对象,并增加其引用计数。 10. `nf_conntrack_invert_tuplepr()`:将连接追踪元组反转,并处理 ICMP 协议相关的逻辑。 请注意,这些函数的具体用法和意义可能会随着不同的内核版本而有所变化。如果需要了解更详细的信息,请参考 Linux 内核 4.14.195 版本的源代码文件 nf_conntrack_core.c。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值