连接跟踪之扩展

最新推荐文章于 2024-09-11 19:51:42 发布
最新推荐文章于 2024-09-11 19:51:42 发布
阅读量707 收藏
点赞数
文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rondyning/article/details/121283083
版权

1 扩展主要数据结构

如图所示:

在这里插入图片描述

2 添加扩展

nf_ct_ext_add的流程图:
在这里插入图片描述

3 扩展的限制

连接跟踪模块加载时的初始化函数里会判断各种扩展类型数据的总长度是否大于255,大于255则编译报错。缘由是扩展功能结构体nf_ct_ext的len为u8,即len不能大于255,否则len会溢出。len是扩展功能的数据总长度,包含结构体头部。

int nf_conntrack_init_start(void)
{
        int max_factor = 8;
        int ret = -ENOMEM;
        int i;
        /* struct nf_ct_ext uses u8 to store offsets/size */
        BUILD_BUG_ON(total_extension_size() > 255u);          
    
        seqcount_init(&nf_conntrack_generation);
……

}

total_extension_size计算内核所有扩展类型的数据总长度,如果NF_CT_EXT_NUM大于实际计算的扩展类型数则编译报错。

static __always_inline unsigned int total_extension_size(void)
{
        /* remember to add new extensions below */
#ifdef  CONFIG_FWOS_BASE
        BUILD_BUG_ON(NF_CT_EXT_NUM > 11);
#else
        BUILD_BUG_ON(NF_CT_EXT_NUM > 9);
#endif
        return sizeof(struct nf_ct_ext) +         //扩展头部,32
               sizeof(struct nf_conn_help)        //help扩展,56字节
#if IS_ENABLED(CONFIG_NF_NAT) 
                + sizeof(struct nf_conn_nat)      //nat扩展,8字节
#endif
                + sizeof(struct nf_conn_seqadj)      //24字节
                + sizeof(struct nf_conn_acct)       //32
#ifdef CONFIG_NF_CONNTRACK_EVENTS
                + sizeof(struct nf_conntrack_ecache)  //24
#endif
#ifdef CONFIG_NF_CONNTRACK_TIMESTAMP
                + sizeof(struct nf_conn_tstamp)      //16
#endif
#ifdef CONFIG_NF_CONNTRACK_TIMEOUT
                + sizeof(struct nf_conn_timeout)     //8
#endif
#ifdef CONFIG_NF_CONNTRACK_LABELS
                + sizeof(struct nf_conn_labels)         //16                                                                                                                
#endif
#if IS_ENABLED(CONFIG_NETFILTER_SYNPROXY)
                + sizeof(struct nf_conn_synproxy)       //12
#endif
#ifdef CONFIG_FWOS_BASE
                + sizeof(struct common_extend_info)  //自定义扩展,用于快转功能,88
            	
#endif
#if 0
            	+ sizeof(struct utm_conn)
                + sizeof(struct expect_extend_info) 
                + sizeof(struct opc_extend_info)
                + sizeof(struct dpi_proto_learn)
                + sizeof(struct dpi_extend_info)
#endif
        ;                                                                                                                                                               
};

即内核关于扩展功能的限制是所有扩展类型数据的长度总和不能超过255,除非更改扩展功能结构体的len类型。

4 增加自定义扩展功能的步骤

1)enum nf_ct_ext_id里增加一个自定义扩展的ID

2)定义一个nf_ct_ext_type类型的结构体,指明该自定义扩展的数据长度和ID等

3)通过扩展注册函数nf_ct_extend_register把nf_ct_ext_type类型的结构体赋值到数组nf_ct_ext_types[id]里

4)用扩展添加函数nf_ct_ext_add封装一个自定义扩展添加函数,返回值为该自定义扩展的数据结构体指针

5)用扩展查找函数nf_ct_ext_find封装一个自定义扩展查找函数,返回值为该自定义扩展的数据结构体指针

6)在连接跟踪框架合适的位置调用自定义扩展扩展添加函数

7)需要读写该自定义扩展数据时,调用自定义扩展查找函数获取对应的数据指针进行读写

8)total_extension_size里加上该自定义扩展数据长度的计算

rondyning
关注
连接跟踪扩展数据问题修改
turanwangguan的博客
02-24 227
连接跟踪扩展数据问题修改 内核版本:4.14 问题分析描述: 首先看一下连接跟踪扩展数据添加的代码。在连接跟踪上添加扩展数据的时候会调用nf_ct_ext_add函数。如下代码所示,在第一次添加扩展数据时,会首先分配扩展数据内存,指定扩展数据最小为128字节。后续如果在连接上继续添加很多其他的扩展数据结构,导致扩展数据的实际大小超过了128字节,就会调用realloc去根据新扩展数据的大小重新分配扩展数据的内存,并将原扩展数据内容copy到新内存。 对应代码如下: 但是,如下面的数据结构图所示,struc
sourcemod-connect:连接SourceMod的扩展
05-01
【源码MOD(SourceMod)连接扩展】 源码MOD(SourceMod)是一款强大的游戏服务器管理插件框架,主要应用于Valve的游戏服务器,如反恐精英:全球攻势(CS:GO)、半条命2(HL2)等。它允许开发者用简单易学的脚本语言...
连接跟踪流量统计
redwingz的博客
03-27 1171
连接跟踪的流量统计由扩展acct_extend实现,模块初始化函数nf_conntrack_acct_init注册连接跟踪扩展。 static const struct nf_ct_ext_type acct_extend = { .len = sizeof(struct nf_conn_acct), .align = __alignof__(struct nf_conn_acct), .id = NF_CT_EXT_ACCT, }; int nf_conntrack_acc
连接跟踪超时扩展
redwingz的博客
01-16 2055
连接跟踪超时扩展,允许应用层对连接的超时时长进行修改控制。如下,新增IPv4 TCP协议超时策略(tcp0,最大4个字符),其中指定4个状态的超时时长,其它采用默认值。随后,使用iptables命令将此策略应用到所有的连接跟踪tcp报文。 # nfct timeout add tcp0 inet tcp established 1000 close 10 time_wait 10 last_ack 10 # # nfct timeout list .tcp0 = { .l3proto =
连接跟踪子系统之extend
九天小哥的专栏
04-21 1126
NAT和状态防火墙是基于连接跟踪的,但是在 数据结构 在连接跟踪信息块struct nf_conn的定义中,有一个ct_ext字段,如下: struct nf_conn { ... struct nf_ct_ext *ext; struct rcu_head rcu; }; struct nf_ct_ext 连接跟踪信息块中用该结构来表示扩展信息。 /* Extensions: optio...
linux ip conntrack,如何扩展Linux的ip_conntrack
weixin_39832965的博客
05-10 100
Linux中有一个基于Netfilter的连接跟踪机制,即ip_conntrack,每一个conntrack表示的就是一个流,该流里面保存了大量的信息字段,这些字段本地有效,指导着数据包的转发策略,但是我觉得这些字段信息还不够详细,试想,一个nfmark字段好像就可以做到一切了,但是我如果想为一个数据流绑定一个字符串怎么办呢?也许你会说使用iptables+ipset+nfmark可以完成一切,这...
连接跟踪子系统之helper
九天小哥的专栏
04-13 1848
在Netfilter之AF_INET协议族连接跟踪子系统钩子函数 中有看到,在Netfilter子系统的出口,第一个钩子是ipv4_conntrack_help()(以AF_INET协议族为例),之后才是对新连接的确认钩子。并且help钩子的逻辑就是调用连接跟踪信息块中的help()回调函数。这篇笔记就来看看Netfilter子系统对helper模块的管理,相关代码文件为: 代码路径 说明...
跟踪Opencv源代码的动态连接库(通用)
02-26
在本篇内容中,我们将深入探讨如何跟踪OpenCV源代码的动态连接库,以便在调试过程中理解其内部实现。 首先,动态链接库(DLL,Dynamic Link Library)是Windows操作系统中的一种共享库机制。它允许多个程序同时使用...
奥德赛:可扩展的PostgreSQL连接
02-22
Odyssey跟踪当前事务状态,如果客户端意外断开连接,则可以自动Cancel连接并Rollback放弃的事务,然后再将服务器连接放回服务器池以进行重用。 此外,记住最后一个服务器连接所有者客户端,以减少在每个客户端到...
基于图挖掘扩展学习的增强需求跟踪恢复方法.docx
06-10
需求跟踪是软件开发过程中的关键环节,它连接了软件生命周期中的各个阶段,对于确保软件质量、维护、变更管理和测试等方面具有重要意义。然而,手动建立和维护需求跟踪关系既耗时又易出错。为了解决这一问题,研究者...
SAML-tracer:Firefox扩展程序,用于检查SAML消息
05-24
SAML追踪器 SAML-tracer是Firefox的扩展,旨在使网站之间的SAML-和WS-Federation-Communication的通信调试更加容易。 它是一个请求记录器,除了显示正常请求外,还突出显示和解码所传输的SAML消息。 使用SAML跟踪器 通过在浏览器工具栏中单击其图标可以激活SAML-tracer。 激活后,您将获得一个窗口,其中显示所有请求以及其中包含的数据。 它还显示了响应头。 包含SAML数据的邮件在请求列表的右侧以SAML徽标突出显示。 包含WS-Federation数据的数据分别以WS-Fed徽标突出显示。 选择一个请求后,您最多可以看到三个标签: HTTP:带有请求和响应标头的请求的快速概述。 参数:请求中包含的GET和POST参数。 SAML:在请求中找到已解码的SAML消息。 开发SAML跟踪器 要对SAML-tracer进行更改,您应
Linux-2.6.38驱动的几个结构体关系总结
08-10
Linux驱动程序刚接触,虽然不是很清楚,但是总归是慢慢学习的过程。我的环境是Fedora14虚拟机。内核版本是2.6.38.1,其中的实现过程存在很多的问题,主要是因为很多的内核函数发生了较大的差别.其中最大的可能是ioctl以及互信息量的实现。这两个的问题也使得我们在驱动设计过程中出现很多的疑惑和问题。
cstormc:检查 Cryptostorm Darknet 连接状态的 Firefox 扩展
06-21
对于Firefox扩展来说,JavaScript是主要的开发语言之一,用于实现浏览器内的各种功能和交互。 **文件名称列表:“cstormc-master”:** 这个文件名可能表示的是cstormc扩展的源代码仓库主分支,"master"通常是Git...
Iptables之nf_conntrack模块
u011029104的专栏
02-18 891
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
如何扩展Linux的ip_conntrack
striver1205的专栏
07-22 289
Linux中有一个基于Netfilter的连接跟踪机制,即ip_conntrack,每一个conntrack表示的就是一个流,该流里面保存了大量的信息字段,这些字段本地有效,指导着数据包的转发策略,但是我觉得这些字段信息还不够详细,试想,一个nfmark字段好像就可以做到一切了,但是我如果想为一个数据流绑定一个字符串怎么办呢?也许你会说使用iptables+ipset+nfmark可以完成一切,这也是UNIX/Linux哲学的风格,一种后现代主义的风格,但是最近我上了不归路,非要在ip_conntrack里
基于连接的每IP限速实现
系统运维
09-06 574
在《修改netfilter的limit模块实现基于单个ip的流量监控》中,介绍了一种方式实现针对一个网段每个IP地址的流量控制,如果细化到流,那个就叫做针对每个流的流量控制,我们知道,一个IP地址可以和很多流相关联,针对流的流控限制的不是主机,而是主机上的一个连接,它的约束要比针对IP地址的流控更加小。 然而如何来实现这个呢?实际上在Linux中,几乎所有的流控都可以用TC工具配置出来,然而还有一...
iptables之iptables表、链、规则 、匹配模式、扩展模块连接追踪模块(一)
Nightwish5的博客
08-15 1456
【执行完后 ssh会掉线】【注意!time模块,可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内,则符合匹配条件。●string模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。情景1示例:应用返回的报文中包含字符"video",我们就丢弃当前报文,其余正常通过。限制早上:8:00 ~ 12:00 (00:00-04:00)限制下午:14:00 ~ 18:00 (06:00-10:00)–timestart hh:mm[:ss]:开始时间。
netfilter连接跟踪(conntrack)详述
热门推荐
alittlefish1的博客
08-30 1万+
netfilter连接跟踪(conntrack)详述1 连接跟踪来龙去脉1.1 什么是连接跟踪1.2 为什么需要连接跟踪1.3 连接跟踪的应用场景2 内核中的连接跟踪2.1 netfilter连接跟踪框架2.2 重要函数和结构体2.3 连接跟踪流程2.4 连接跟踪ftp实例2.5 连接跟踪NAT流程3 扩展连接跟踪4 总结 1 连接跟踪来龙去脉 1.1 什么是连接跟踪 连接跟踪顾名思义是对网络连接跟踪,如果将网络比作 高速路 ,连接跟踪就像是高速路里的路上的检查站、摄像头一起的组合,可以记录下你在什么
【操作系统】二、进程管理:4.死锁(银行家算法、系统安全状态、静态分配策略、资源有序分配法)
最新发布
来csdn只办三件事:开源!开源!还是***开源!
09-11 944
【规范】在并发环境下(多道程序环境中),各进程因竞争有限的资源而造成的一种互相等待对方手里的资源,导致各进程都阻塞,都无法向前推进的现象,就是“死锁”。发生死锁后若无外力干涉,这些进程都将无法向前推进。。可能是只有一个进程“饥饿”。【规范】由于长期得不到想要的资源,某进程无法向前推进的现象。比如:在短进程优先(SPF)算法中,若有源源不断的短进程到来,则长进程将一直得不到处理机,从而发生长进程“饥饿”。:某进程执行过程中一直跳不出某个循环的现象。
PHP扩展编程入门指南
此外,扩展还可以处理资源,这是PHP中用于封装外部非内存资源(如数据库连接)的特殊类型。资源的创建、接收、销毁和管理都需要谨慎,尤其是对于持久资源,它们在脚本之间保持存活,需要特别的处理。 引用计数是PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值