linux:dropwatch 网络协议栈丢包检查利器

最新推荐文章于 2024-09-12 16:41:04 发布
最新推荐文章于 2024-09-12 16:41:04 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: linux内核工具 文章标签: linux内核 tcp


http://blog.yufeng.info/archives/2497 

原创文章,转载请注明: 转载自系统技术非业余研究

本文链接地址: dropwatch 网络协议栈丢包检查利器

在做网络服务器的时候,会碰到各种各样的网络问题比如说网络超时,通常一般的开发人员对于这种问题最常用的工具当然是tcpdump或者更先进的wireshark来进行抓包分析。通常这个工具能解决大部分的问题,但是比如说wireshark发现丢包,那深层次的原因就很难解释了。这不怪开发人员,要怪就怪linux网络协议栈太深。我们来看下:
network-stack

这7层里面每个层都可能由于各种各样的原因,比如说缓冲区满,包非法等,把包丢掉,这样的问题就需要特殊的工具来发现了。 好了,主角dropwatch出场.
它的官方网站在这里

What is Dropwatch

Dropwatch is a project I am tinkering with to improve the visibility developers and sysadmins have into the Linux networking stack. Specifically I am aiming to improve our ability to detect and understand packets that get dropped within the stack.

Dropwatch定位很清晰,就是用来查看协议栈丢包的问题。

RHEL系的系统安装相当简单,yum安装下就好:

$ uname -r
2.6.32-131.21.1.tb477.el6.x86_64
$ sudo yum install dropwatch

man dropwatch下就可以得到使用的帮助,dropwatch支持交互模式, 方便随时启动和停止观测。

使用也是很简单:

sudo dropwatch -l kas
Initalizing kallsymsa db
dropwatch> start
Enabling monitoring...
Kernel monitoring activated.
Issue Ctrl-C to stop monitoring
1 drops at netlink_unicast+251
15 drops at unix_stream_recvmsg+32a
3 drops at unix_stream_connect+1dc

-l kas的意思是获取drop点的符号信息,这样的话针对源码就可以分析出来丢包的地方。

同学们可以参考这篇文章(Using netstat and dropwatch to observe packet loss on Linux servers):http://prefetch.net/blog/index.php/2011/07/11/using-netstat-and-dropwatch-to-observe-packet-loss-on-linux-servers/

那他的原理是什么呢?在解释原理之前,我们先看下这个工具的对等的stap脚本:

cat /usr/share/doc/systemtap-1.6/examples/network/dropwatch.stp
#!/usr/bin/stap
 
############################################################
# Dropwatch.stp
# Author: Neil Horman <nhorman@redhat.com>
# An example script to mimic the behavior of the dropwatch utility
http://fedorahosted.org/dropwatch
############################################################
 
# Array to hold the list of drop points we find
global locations
 
# Note when we turn the monitor on and off
probe begin { printf("Monitoring for dropped packets\n") }
probe end { printf("Stopping dropped packet monitor\n") }
 
# increment a drop counter for every location we drop at
probe kernel.trace("kfree_skb") { locations[$location] <<< 1 }
 
# Every 1 seconds report our drop locations
probe timer.sec(1)
{
  printf("\n")
  foreach (l in locations-) {
    printf("%d packets dropped at %s\n",
           @count(locations[l]), symname(l))
  }
  delete locations
}

这个脚本核心的地方就在于这行:
probe kernel.trace(“kfree_skb”) { locations[$location] <<< 1 }
当kfree_skb被调用的时候,内核就记录下这个drop协议栈的位置,同时透过netlink通知dropwatch用户态的部分收集这个位置,同时把它整理显示出来.以上就是dropwatch的工作流程。

现在的问题是内核什么地方,什么时候会调用kfree_skb这个函数呢? 我们继续追查下:
dropwatch需要对内核打patch,当然RHEL5U4以上的内核都已经打了patch。
patch在这里下载:https://fedorahosted.org/releases/d/r/dropwatch/dropwatch_kernel_patches.tbz2
通过查看里面的5个patch,我们知道drop主要修改了以下几个文件:

include/linux/netlink.h
include/trace/skb.h
net/core/Makefile
net/core/net-traces.c
include/linux/skbuff.h
net/core/datagram.c
include/linux/net_dropmon.h
net/core/drop_monitor.c
include/linux/Kbuild
net/Kconfig
net/core/Makefile

我们透过RHEL5U4的代码可以清楚的看到:

//include/linux/skbuff.h
extern void kfree_skb(struct sk_buff *skb);
extern void consume_skb(struct sk_buff *skb);

这些patch的作用是使得支持dropwatch的内核把kfree_skb分成二类: 1. 人畜无害的调用consume_skb 2. 需要丢包的调用kfree_skb 同时提供基础的netlink通信往用户空间传递位置信息。

知道了这点,我们在RHEL 5U4的源码目录下: linux-2.6.18.x86_64/net/ipv4 或者 linux-2.6.18.x86_64/net/core下 grep下

grep -rin kfree_skb  .
./tcp_input.c:3122:                     __kfree_skb(skb);
./tcp_input.c:3219:                     __kfree_skb(skb);
./tcp_input.c:3234:             __kfree_skb(skb);
./tcp_input.c:3318:                             __kfree_skb(skb);
...
./ip_fragment.c:166:static __inline__ void frag_kfree_skb(struct sk_buff *skb, int *work)
./ip_fragment.c:171:    kfree_skb(skb);
./ip_fragment.c:211:            frag_kfree_skb(fp, work);
./ip_fragment.c:452:            frag_kfree_skb(fp, NULL);
./ip_fragment.c:578:                    frag_kfree_skb(free_it, NULL);
./ip_fragment.c:607:    kfree_skb(skb);
./ip_fragment.c:732:    kfree_skb(skb);
./udp.c:1028:   kfree_skb(skb);
./udp.c:1049:           kfree_skb(skb);
./udp.c:1069:                   kfree_skb(skb);
./udp.c:1083:                   kfree_skb(skb);
./udp.c:1134:                                   kfree_skb(skb1);
./udp.c:1229:   kfree_skb(skb);
./udp.c:1242:   kfree_skb(skb);
./udp.c:1258:   kfree_skb(skb);
./udp.c:1418:                           kfree_skb(skb);
./ip_sockglue.c:286:            kfree_skb(skb);
./ip_sockglue.c:322:            kfree_skb(skb);
./ip_sockglue.c:398:    kfree_skb(skb);
./devinet.c:1140:               kfree_skb(skb);
./xfrm4_ninput.c:29:    kfree_skb(skb);
./xfrm4_ninput.c:122:   kfree_skb(skb);
./tunnel4.c:85: kfree_skb(skb);
./icmp.c:47: *                                  and moved all kfree_skb() up to
./icmp.c:1046:  kfree_skb(skb);
./ip_forward.c:121:     kfree_skb(skb);
./netfilter.c:73:               kfree_skb(*pskb);
./netfilter.c:114:              kfree_skb(*pskb);
./netfilter/ip_queue.c:277:             kfree_skb(skb);
./netfilter/ip_queue.c:335:     kfree_skb(nskb);
./netfilter/ip_queue.c:373:                     kfree_skb(e->skb);
./netfilter/ip_queue.c:556:             kfree_skb(skb);
...
./netfilter/ipt_TCPMSS.c:153:           kfree_skb(*pskb);
./netfilter/ipt_ULOG.c:435:                     kfree_skb(ub->skb);
./tcp.c:1458:                           kfree_skb(skb);
./tcp.c:1577:           __kfree_skb(skb);
./ip_gre.c:482:         kfree_skb(skb2);
./ip_gre.c:497:                 kfree_skb(skb2);
./ip_gre.c:504:                 kfree_skb(skb2);
...
./ip_gre.c:892: dev_kfree_skb(skb);
./raw.c:244:            kfree_skb(skb);
./raw.c:254:            kfree_skb(skb);
./raw.c:329:    kfree_skb(skb);
./tcp_ipv4.c:1039:      kfree_skb(skb);
./tcp_ipv4.c:1151:      kfree_skb(skb);
./ipvs/ip_vs_xmit.c:213:        kfree_skb(skb);
./ipvs/ip_vs_xmit.c:290:        kfree_skb(skb);
./ipvs/ip_vs_xmit.c:374:                        kfree_skb(skb);
./ipvs/ip_vs_xmit.c:378:                kfree_skb(skb);
./ipvs/ip_vs_xmit.c:423:        kfree_skb(skb);
./ipvs/ip_vs_xmit.c:480:        kfree_skb(skb);
./ipvs/ip_vs_xmit.c:553:        dev_kfree_skb(skb);
./ipvs/ip_vs_core.c:197:        kfree_skb(*pskb);
./ipvs/ip_vs_core.c:829:        kfree_skb(*pskb);
./ipconfig.c:504:       kfree_skb(skb);
./ipconfig.c:1019:      kfree_skb(skb);
./xfrm4_input.c:50:     kfree_skb(skb);
./xfrm4_input.c:162:    kfree_skb(skb);
./fib_semantics.c:292:          kfree_skb(skb);
./ipip.c:414:           kfree_skb(skb2);
./ipip.c:429:                   kfree_skb(skb2);
./ipip.c:436:                   kfree_skb(skb2);
./ipip.c:444:                   kfree_skb(skb2);
./ipip.c:458:   kfree_skb(skb2);
./ipip.c:482:                   kfree_skb(skb);
./ipip.c:609:                   dev_kfree_skb(skb);
./ipip.c:615:           dev_kfree_skb(skb);
./ipip.c:654:   dev_kfree_skb(skb);
./ipmr.c:185:   kfree_skb(skb);
...
./ip_output.c:763:      kfree_skb(skb);
./ip_output.c:964:                              kfree_skb(skb);
./ip_output.c:1313:             kfree_skb(skb);

我们可以看到一堆可以丢包的点。
当我们观察到dropwatch发现丢包的时候,可以根据符号信息结合以上的源码轻松的分析出来问题所在。

小结: 工具是知识的积累。

祝玩得开心!

Post Footer automatically generated by wp-posturl plugin for wordpress.

Related posts:

  1. 调查用户空间程序某函数最常调用路径
  2. Linux IO协议栈框图
  3. systemtap观察page_cache的使用情况
  4. 调查服务器响应时间的利器 tcprstat
  5. 调研内核调用栈方便的工具 kmalloc-top

scdxmoe
关注
专栏目录
网络诊断工具dropwatch
06-23
网络诊断工具dropwatch,在UBUNTU16.04上编译,已经通过测试
dropwatch 网络协议栈丢包检查利器
supermanwg的专栏
04-25 2911
在做网络服务器的时候,会碰到各种各样的网络问题比如说网络超时,通常一般的开发人员对于这种问题最常用的工具当然是tcpdump或者更先进的wireshark来进行抓包分析。通常这个工具能解决大部分的问题,但是比如说wireshark发现丢包,那深层次的原因就很难解释了。这不怪开发人员,要怪就怪linux网络协议栈太深。我们来看下: 这7层里面每个层都可能由于各种各样的原因,比如说缓冲区满,包非
流动性质押协议 Drop:DeFi 新一轮革新
最新发布
Lovely_xwys的博客
09-12 926
我们可以预见,随着区块链技术的不断进步和市场的成熟,流动性质押将成为 DeFi 领域的重要组成部分,为用户带来更多的金融自由和创新机会。换句话说,流动性质押不仅仅让用户享受质押奖励,还提供了一种方式,使用户能够在锁定资产的同时保持资产的流动性。而 Drop 通过提供流动性代币,使得质押资产可以在保持质押状态的同时,继续在市场中流通,极大地提高了资产的流动性。质押通常会限制用户在其他投资机会中的参与,而流动性质押协议通过提供流动性代币,降低了用户因为质押资产而错失其他投资机会的风险。
linux内核丢包分析工具,Linux性能分析工具
weixin_27875131的博客
04-30 255
当我们登陆一台Linux服务器之后、如何快速对Linux主机的性能进行检测分析?我们可以使用包括有针对云上的监控工具 Atlas,和按需要进行实例分析的 Vector。虽然这些工具能帮助我们解决大多数问题,但是我们有时候还需要登陆机器实例去运行一些标准的 Linux 性能分析工具。例如下面这些常用性能分析工具:注:上面有些命令需要安装 sysstat 工具包。这些命令展示的指标会帮助你完成一些 U...
Linux内核二】常用的网络丢包错包debug工具介绍
highman110的博客
03-09 5493
介绍常用Linux系统下网络丢包错包定位工具、简述网络收发包流程、解释drop和overrun的区别、理解socket buffer和ring buffer的区别
使用dropwatch观测网络丢包
xiayutian747的博客
02-03 1620
通常网络丢包有众多排查或观测方案,如 :1.ifocnfig观测网卡层丢包。2.ethtool -s观测协议栈丢包。3.netstat 观测连接丢包。4.nettrace分析丢包。本文给出内核net/core自带drop_monitor模块和用户态dropwatch配合使用,完整定位协议栈丢包回溯定位的方案。
netutils-linux:一套简化linux网络堆栈性能故障排除和调整的实用程序
02-03
Linux网络堆栈性能优化与故障排查利器:netutils-linux》 在Linux系统管理中,网络性能优化和故障排查是一项至关重要的任务。netutils-linux工具集正是为了解决这一问题而设计的一套实用程序,它提供了简洁高效的...
最新Charles v3.11.2破解补丁,网络抓包利器,兼容Mac、Windows、Linux
11-22
最新Charles v3.11.2破解补丁,网络抓包利器,兼容Mac、Windows、Linux。 使用说明:将下载的charles.jar替换安装目录下的charles.jar即可(Mac:/Application/Charles.app/Contents/Java/; Windows: charles/lib/; ...
最新Charles v4.0.2破解补丁,网络抓包利器,兼容Mac、Windows、Linux
02-06
最新Charles v4.0.2破解补丁,网络抓包利器,兼容Mac、Windows、Linux。 使用说明:将下载的charles.jar替换安装目录下的charles.jar即可(Mac:/Application/Charles.app/Contents/Java/; Windows: charles/lib/; ...
packetdrill 深入理解内核网络协议栈的工具集
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
11-26 2711
内核网络协议栈的学习,验证和深度研究packetdrill 将大事化小深入packetdrillpacketdrill 模拟包和验证包packetdrill 设计独特的packetdrill脚本语言注入包和验证包的脚本系统调用shell命令python命令时间戳格式协议栈协议支持IPv4和IPv6Path MTUECN安装和执行参考文献: packetdrill 将大事化小 本文是学习和研究内核网络协议栈的一个文笔记录,主要围绕的是一款能帮助大家深入理解内核网络协议栈的工具——packetdrill。pa
掌握Linux编程的神兵利器:Vim与Emacs高效使用指南
07-14
Linux是一个开源的操作系统,广泛用于服务器、桌面计算机、移动设备以及嵌入式系统等多种平台。以下是Linux开发可能包含的几个方面: 1. **Linux系统开发**:开发和维护Linux操作系统本身,包括内核开发、系统库、...
dropwatch:丢包分析
04-26
Dropwatch is a project I am tinkering with to improve the visibility developers and sysadmins have into the Linux networking stack. Specifically I am aiming to improve our ability to detect and understand packets that get dropped within the stack.
dropwatch-1.2-1.el6.i686.rpm
07-12
dropwatch-1.2-1.el6.i686.rpm
dropwatch-1.4-8.el7.x86_64.rpm
11-29
离线安装包,亲测可用
drop_watch:监视linux丢弃UDP数据包的原因和位置
02-03
drop_watch:监视linux丢弃UDP数据包的原因和位置
Linux网络抓包分析工具(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
04-18 6168
其他抓包工具wireshark具有图形化和命令行两种版本,可以对 tcpdump 抓的包进行分析,其主要功能就是分析数据包。ngrep它将抓到的包数据以文本形式直接显示出来,适用于包数据包含文本的[抓包]分析 (如 HTTP、MySQL)-a 将网络地址和广播地址转变成名字-A 以 ASCII 格式打印出所有分组,并将链路层的头最小化-b 数据链路层上选择协议,包括 ip/arp/rarp/ipx 都在这一层-c 指定收取数据包的次数,即在收到指定数量的数据包后退出 tcpdump-d 将匹配信息包的代码以
探索网络问题的新工具:DropWatch
gitblog_00042的博客
05-20 457
探索网络问题的新工具:DropWatch 项目地址:https://gitcode.com/gh_mirrors/dr/dropwatch 项目介绍 在IT世界中,尤其是在服务器管理和软件开发领域,诊断网络问题是必不可少的任务之一。DropWatch 是一个由开发者Norman Horman创建的开源项目,旨在帮助我们更有效地定位Linux网络栈中的丢包问题。通过集成功能,提供清晰的信息和高性能的...
Linux丢包检查工具,dropwatch
mzhan017的博客
08-20 1300
丢包警告过来的时候,选择使用什么方法来做翻译。默认的是指令的裸地址,这样的话对用户不太友好,最好能够翻译成函数名。当前支持kas,使用/proc/kallsyms,符号信息来解析指令地址。dropwatch是检测丢包的一个上层工具。给实际用户使用,交互式的检测,记录工具。set alertlimit value:设置停止检测的数量值。exit:退出dropwatch交换界面。list:可以展示所有支持的方法。start:告诉内核开始记录丢包。stop:告诉内核,停止记录丢包。help:展示帮助信息。
Linux内核网络丢包查看工具dropwatch的安装和使用
金荣的个人技术博客
08-11 5839
本文将安装并使用dropwatch工具,来收集并查看Linux内核网络丢包的数量和位置。 安装 sudo apt-get install -y libnl-3-dev libnl-genl-3-dev binutils-dev libreadline6-dev git clone https://github.com/pavel-odintsov/drop_watch.git 进入/drop_watch/src目录后执行make: 使用 dropwatch安装完成后使用以下命令运行: sudo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值