conntrack删除链表

于 2022-10-09 23:00:00 发布
阅读量951 收藏 2
点赞数
分类专栏: netfilter防火墙 文章标签: conntrack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/127231902
版权

在删除conntrack时,首先设置IPS_DYING_BIT标志位,如果此位已经设置,表明conntrack正在被删除。

bool nf_ct_delete(struct nf_conn *ct, u32 portid, int report)
{
    struct nf_conn_tstamp *tstamp;

    if (test_and_set_bit(IPS_DYING_BIT, &ct->status))
        return false;


    nf_conntrack_ecache_work(nf_ct_net(ct));
    nf_ct_delete_from_lists(ct);
    nf_ct_put(ct);

将conntrack由全局的nf_conntrack_hash链表中删除,之后,添加到dying链表中。

static void nf_ct_delete_from_lists(struct nf_conn *ct)
{
    struct net *net = nf_ct_net(ct);
    unsigned int hash, reply_hash;
    unsigned int sequence;

    nf_ct_helper_destroy(ct);

    local_bh_disable();
    do {
        sequence = read_seqcount_begin(&nf_conntrack_generation);
        hash = hash_conntrack(net,
                      &ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
        reply_hash = hash_conntrack(net,
                       &ct->tuplehash[IP_CT_DIR_REPLY].tuple);
    } while (nf_conntrack_double_lock(net, hash, reply_hash, sequence));

    clean_from_lists(ct);
    nf_conntrack_double_unlock(hash, reply_hash);

    nf_ct_add_to_dying_list(ct);

要删除的conntrack的原始方向的tuple添加到当前处理器对应的dying链表上。

static void nf_ct_add_to_dying_list(struct nf_conn *ct)
{
    struct ct_pcpu *pcpu;

    /* add this conntrack to the (per cpu) dying list */
    ct->cpu = smp_processor_id();
    pcpu = per_cpu_ptr(nf_ct_net(ct)->ct.pcpu_lists, ct->cpu);

    spin_lock(&pcpu->lock);
    hlist_nulls_add_head(&ct->tuplehash[IP_CT_DIR_ORIGINAL].hnnode,
                 &pcpu->dying);
    spin_unlock(&pcpu->lock);

在conntrack引用计数减小到零时,由函数nf_conntrack_destroy进行销毁。

static inline void nf_conntrack_put(struct nf_conntrack *nfct)
{
    if (nfct && atomic_dec_and_test(&nfct->use))
        nf_conntrack_destroy(nfct);
}

最终,在函数destroy_conntrack中,将conntrack由dying链表中删除。

static void
destroy_conntrack(struct nf_conntrack *nfct)
{   
    struct nf_conn *ct = (struct nf_conn *)nfct;
    
    pr_debug("destroy_conntrack(%p)\n", ct);
    WARN_ON(atomic_read(&nfct->use) != 0);
    
    /* Expectations will have been removed in clean_from_lists,
     * except TFTP can create an expectation on the first packet,
     * before connection is in the list, so we need to clean here,
     * too.
     */
    nf_ct_remove_expectations(ct);
    
    nf_ct_del_from_dying_or_unconfirmed_list(ct);

将会话的原始方向的tuple结构由每处理器结构的dying链表中删除。这里的BUG_ON判断确保tuple处于某个链表上。

/* must be called with local_bh_disable */
static void nf_ct_del_from_dying_or_unconfirmed_list(struct nf_conn *ct)
{
    struct ct_pcpu *pcpu;

    /* We overload first tuple to link into unconfirmed or dying list.*/
    pcpu = per_cpu_ptr(nf_ct_net(ct)->ct.pcpu_lists, ct->cpu);

    spin_lock(&pcpu->lock);
    BUG_ON(hlist_nulls_unhashed(&ct->tuplehash[IP_CT_DIR_ORIGINAL].hnnode));
    hlist_nulls_del_rcu(&ct->tuplehash[IP_CT_DIR_ORIGINAL].hnnode);
    spin_unlock(&pcpu->lock);

内核版本 5.10

系统报错:nf_conntrack: 表已满,丢弃数据包
KrbwCoder的博客
09-24 523
在操作系统中,当出现 “nf_conntrack: 表已满,丢弃数据包” 的错误消息时,这意味着系统的连接跟踪表已经达到了其容量限制。您可以通过编辑系统的内核参数来增加连接跟踪表的容量。如果您的系统遭受到大规模的DDoS攻击,您可以考虑限制不必要的连接跟踪。这个错误通常发生在高负载的网络环境中,如服务器上的网络流量较大或遭受到大规模的分布式拒绝服务(DDoS)攻击时。您可以根据您的网络环境和需求,优化系统的连接跟踪设置。在执行任何更改之前,建议您备份重要的配置文件,并在生产环境之前进行适当的测试。
netfilter之conntrack连接跟踪
fengcai_ke的博客
07-18 1359
netfilter conntrack
linux conntrack命令 路由连接 跟踪表 显示删除监听记录
whatday的专栏
11-01 1万+
conntrack命令可以显示,删除和更新跟踪表现有状态条目,还可以监听流事件 1.安装: yum install -y conntrack 2.使用: 查看conntrack表记录 conntrack -L 过滤条件输出 # conntrack -U -p tcp --dport 3486 --mark 10 tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 pa
Linux关闭nf_conntrack模块
change_can的博客
08-31 6650
【问题描述】 服务器负载正常,但服务器内存飙升影响了中间件的使用,查看/var/log/messages 日志存在大量 kernel: nf_conntrack: table full, dropping packet 【说明】 nf_conntrack 模块在 kernel 2.6.15(2006-01-03 发布) 被引入,工作在 3 层,支持 IPv4 和 IPv6,取代只支持 IPv4 的 ip_connktrack,用于跟踪连接的状态,供其他模块使用,它会使用一个哈希表来记录 establishe
linux下清空连接跟踪表的方法
kcavi的博客
03-02 3906
做linux下iptables规则,特别是nat规则时,有时候增加的规则并没有立刻生效,其中原因多半是配置的规则已经连接跟踪表 里了,这时候需要手动清空一下连接表,linux提供的连接表操作库比较复杂,我写了一个简单的清空跟踪表的方法。 #include #include #include #include #include #include int main() { char
nf_conntrack满之解决方法
weixin_34221036的博客
11-12 872
问题: 没有占用多少流量,但是网络连接很慢,ping超时。已发现被大量不同的机器访问导致tcp连接数非常高,nf_conntrack满了 nf_conntrack满之解决方法 (2016-08-09 17:27:36) 转载▼ 分类:Linux vim /var/log/message报错 nf_conntrack: ta...
netfilter之conntrack-helper
fengcai_ke的博客
07-18 2128
netfilter conntrack-helper
Linux协议栈-netfilter(2)-conntrack
热门推荐
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
linux内核协议栈 netfilter 之连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2340
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
利用nf_conntrack机制存储路由,省去每包路由查找
tycoon的专栏
05-04 851
最终生成的IP数据报的路由称为目的入口(dst_entry),目的入口反映了相邻的外部主机在本地主机内部的一种“映象”,目的入口在内核中的定义如下 struct dst_entry {     struct dst_entry    *next;     atomic_t            __refcnt;     int                 __use;    
ctrmd:Conntrack条目删除守护程序
03-09
ctrmd-conntrack条目删除守护程序 ctrmd提供了一种使用iptables规则删除conntrack条目的机制。 由于不存在删除iptables中的conntrack条目的本机支持,因此使用以下方法: 数据包被发送到iptables中的专用NFLOG组 ctrmd侦听此NFLOG组,并为每个接收到的数据包发出conntrack删除指令 用法 创建iptables规则 # iptables -I FORWARDING -s 1.2.3.4 -d 5.6.7.8 -j NFLOG --nflog-group 666 启动ctrmd # ctrmd -g 666 观察如何删除conntrack条目(用conntrack销毁) # conntrack -E -e DESTROY [DESTROY] udp 17 src=1.2.3.4 dst=5.6.7.8 sp
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
linux nf conntrack,nf_conntrack满之解决方法
weixin_39975055的博客
05-25 843
问题:没有占用多少流量,但是网络连接很慢,ping超时。已发现被大量不同的机器访问导致tcp连接数非常高,nf_conntrack满了nf_conntrack满之解决方法(2016-08-09 17:27:36)vim /var/log/message报错nf_conntrack: table full, dropping packet先关掉iptables/etc/init.d/iptables...
nf_conntrack之解决方案
weixin_30369087的博客
08-23 256
1.现象 在/var/log/message中出现以下信息 Dec 8 11:22:29 product08 kernel: nf_conntrack: table full, dropping packet. Dec 8 11:22:29 product08 kernel: nf_conntrack: table full, dropping packet. 2.nf_con...
连接跟踪之期望连接
rondyning的博客
11-12 3635
1 概述 ​ 。。。 2 helper功能 2.1 概述 ​ helper功能是连接跟踪的扩展功能之一,给不同应用层协议来对连接跟踪模块进行功能上的扩展。比如ftp、tftp等利用helper功能来实现期望连接的建立和关联。 2.2 代码结构 ​ 如图: helper功能主代码文件主要提供API:helper扩展添加,helper实例查找,helper实例注册,helper实例初始化等 期望连接的主代码文件主要提供API:期望连接新建,期望连接初始化、期望连接查找、期望连接插入等 各协议对应的主代码文件主
系统当前conntrack数量
redwingz的博客
09-04 1669
内核注册了PROC文件nf_conntrack_count,可查询系统当前连接跟踪的数量。如下当前系统conntrack数量。conntrack系统初始化时将当前命名空间中的连接跟踪数量初始化为0。在每次分配连接跟踪结构时,递增命名空间中连接跟踪计算,如果分配失败,将计数递减回来。如果当前系统中连接跟踪数量超过最大数量,检查是否可提前删除一些连接跟踪(early_drop)。当释放连接跟踪结构时,递减命名空间中conntrack计数。
linux锁机制be_normal,Linux netfilter 学习笔记 之九 ip层netfilter的连接跟踪模块代码分析...
weixin_34108829的博客
05-14 467
基于linux2.6.21上一节分析了连接跟踪模块相关的初始化代码,本节分析连接中hook函数。在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。发往本地的数据:对于连接跟踪来说,只在hook点NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN两个hook点进入到连接跟踪模块,按优先级顺序,依次调用ipv4_conntrack_defrag->ipv4_conntrac...
一个复杂的nf_conntrack实例全景解析
TCP/IP
10-28 1万+
本文关注两点,一点是细节,另外一点是概览: 细节:一个完整的关于nf_conntrack和NAT互动的例子 概览:关于人云亦云的讽刺 近期搜集了一些关于iptables,NAT相关的问题,其中最令人觉得麻烦的还是nf_conntrack相关的东西,比如它和NAT的关系,它和state match的关系,它的Helper机制怎么使用等等。  因此决定写一篇随笔来一个情景分析,也是方便自己终有一天遗忘了
Linux协议栈-netfilter(4)-期望连接
落尘纷扰的专栏
04-04 5274
传统的conntrack和NAT处理只对IP层和传输层头部进行转换处理,但是一些应用层协议,在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换,NAT使用一种称作ALG的技术,它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。 例如:对于FTP协议的PORT/PASV命令,在数据包载荷中需要包含地址信息,并且数据包如果需要做NAT,那应用层数据部分的地址也需
nf_ct_delete_from_list
最新发布
01-10
### 关于 `nf_ct_delete_from_list` 函数详解 #### 函数定义与作用 `nf_ct_delete_from_list` 是 Linux 内核中的一个重要函数,用于从连接跟踪表中删除指定的连接条目。该操作通常发生在连接超时、主动关闭或其他异常情况触发时[^1]。 #### 参数说明 此函数主要接受一个参数——指向要被移除的连接对象 (`struct nf_conn`) 的指针。通过这个指针可以访问到特定连接的相关信息并执行相应的清理工作。 #### 实现细节 当调用 `nf_ct_delete_from_list` 时,会先检查传入的对象是否有效以及其状态是否允许被删除。如果一切正常,则将其从未完成队列或已建立列表中摘下,并更新内部计数器以反映当前活动连接数量的变化。此外,在某些情况下还会释放与此连接关联的资源,比如内存空间等。 ```c void nf_ct_delete_from_list(struct nf_conn *ct) { spin_lock_bh(&nf_conntrack_lock); hlist_del_rcu(&ct->tuplehash[IP_CT_DIR_ORIGINAL].hnnode); if (NFCT_DIRECTION(ct)) hlist_del_rcu(&ct->tuplehash[IP_CT_DIR_REPLY].hnnode); __nf_conntrack_free(ct); spin_unlock_bh(&nf_conntrack_lock); } ``` 上述代码片段展示了如何安全地锁定全局互斥锁来保护并发环境下的数据一致性;接着分别处理双向链表节点的卸载动作;最后调用了私有的析构方法来进行最终处置。 #### 使用场景 - 当某个 TCP 连接进入 TIME_WAIT 或 FIN_WAIT 状态超过设定时限; - 用户态应用程序显式请求终止某项服务对应的网络对话; - 内存压力过大导致系统自动削减不活跃记录的数量以防止单元溢出等问题发生[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值