【转帖LINUX】netfilter中的conntrack内核阅读笔记(2)

最新推荐文章于 2021-05-14 18:44:29 发布
最新推荐文章于 2021-05-14 18:44:29 发布
阅读量766 收藏
点赞数
分类专栏: Linux技术相关 文章标签: linux struct null tcp header 数据结构


2008-07-07 22:05
初始化

1,ip_conntrack_standalone_init是contrack模块的初始化函数。它主要完成以下内容:

   /*1, 初始化conntrack相关的数据结构,如hash表,ip_conntrack_protocol以及内存管理等*/

ret = ip_conntrack_init();

if (ret < 0)

     return ret;


#ifdef CONFIG_PROC_FS

/* 在/proc目录下创建"ip_conntrack","ip_conntrack_expect"记录连接跟踪信息*/

……

#endif

/*2,为conntrack注册hook点*/

ret = nf_register_hooks(ip_conntrack_ops, ARRAY_SIZE(ip_conntrack_ops));

if (ret < 0) {

     printk("ip_conntrack: can't register hooks./n");

     goto cleanup_proc_stat;

}

#ifdef CONFIG_SYSCTL

/*3,注册sysctrl的操作函数集*/

ip_ct_sysctl_header = register_sysctl_table(ip_ct_net_table, 0);

if (ip_ct_sysctl_header == NULL) {

     printk("ip_conntrack: can't register to sysctl./n");

     ret = -ENOMEM;

     goto cleanup_hooks;

}

#endif

2,ip_conntrack_init:

   /*1,完成hash的初始化,hash桶的大小为内存大小的1/16384 ,在i386中,若内存小于32M,hash桶为256个,若大于1G,桶为8196个。Hash表的大小为桶个数的8倍,用ip_conntrack_hash 指针表示*/

    if (!ip_conntrack_htable_size) {

         ip_conntrack_htable_size

              = (((num_physpages << PAGE_SHIFT) / 16384)

                 / sizeof(struct list_head));

         if (num_physpages > (1024 * 1024 * 1024 / PAGE_SIZE))

              ip_conntrack_htable_size = 8192;

         if (ip_conntrack_htable_size < 16)

              ip_conntrack_htable_size = 16;

     }

     ip_conntrack_max = 8 * ip_conntrack_htable_size;

     …

     ip_conntrack_hash = alloc_hashtable(ip_conntrack_htable_size, &ip_conntrack_vmalloc);

     /*2, conntrack采用catche的内存管理方式*/

     ip_conntrack_cachep = kmem_cache_create("ip_conntrack",

                                             sizeof(struct ip_conntrack), 0,

                                             0, NULL, NULL);

     …

     ip_conntrack_expect_cachep = kmem_cache_create("ip_conntrack_expect",

                       sizeof(struct ip_conntrack_expect),

                       0, 0, NULL, NULL);

     …

/*3,初始化ip_ct_protos数组。conntrack对每种协议数据的处理,都有不同的地方,例如,tuple

中提取的内容,TCP的与ICMP的肯定不同的,因为ICMP连端口的概念也没有,所以,对于每种协议的一些特殊处理的函数,需要进行封装,struct ip_conntrack_protocol 结构就实现了这一封装。ip_ct_protos数组记录了个协议所需的私有数据,在初始化工作中,ip_ct_protos默认为ip_conntrack_generic_protoco,而对TCP、UDP和ICMP协议,定义了ip_conntrack_protocol_tcp、ip_conntrack_protocol_udp和ip_conntrack_protocol_icmp,封装至ip_ct_protos 数组。这样,在以后的数据包处理后,就可以根据包中的协议值,使用ip_ct_protos[协议值],找到注册的协议节点,调用协议对应的处理函数了*/

for (i = 0; i < MAX_IP_CT_PROTO; i++)

     ip_ct_protos[i] = &ip_conntrack_generic_protocol;

/* Sew in builtin protocols. */

ip_ct_protos[IPPROTO_TCP] = &ip_conntrack_protocol_tcp;

ip_ct_protos[IPPROTO_UDP] = &ip_conntrack_protocol_udp;

ip_ct_protos[IPPROTO_ICMP] = &ip_conntrack_protocol_icmp;

/*4,??用于ipt_REJECT,似乎和conntrack记录icmp以及TCP rst错误相关,具体需进一步研究*/

ip_ct_attach = ip_conntrack_attach


/*5,??*/

atomic_set(&ip_conntrack_untracked.ct_general.use, 1);

/* - and look it like as a confirmed connection */     set_bit(IPS_CONFIRMED_BIT, &ip_conntrack_untracked.status);

 

teleinfor
关注
专栏目录
Linux Netfilter框架之conntrack连接跟踪机制
悦分享
07-21 1730
一般conntrack用来指代“ConnectionTracking”,即连接跟踪,是建立在Netfilter框架之上的重要功能之一。连接跟踪允许内核跟踪所有逻辑网络连接或会话,从而关联可能构成该连接的所有数据包。NAT依赖此信息以相同的方式转换所有相关数据包,而iptables可以使用此信息充当有状态防火墙。连接跟踪(ConnectionTracking)用来跟踪会话连接,这样就可以根据数据包是否属于某个连接来做策略。例如(除有特殊配置,此命令会造成ssh远程连接断,谨慎执行!...
netfilterconntrack连接跟踪
fengcai_ke的博客
07-18 1261
netfilter conntrack
Netfilter的expect连接的原理和利用
系统运维
06-09 154
ip_conntrack有一个特性,那就是可以跟踪expect连接,所谓的expect连接,理解起来很简单,那就是“在一个连接生成的另一个连接”,那么如何来识别一个连接要生成另一个连接呢?以FTP为例,FTP服务器会将文件传输所用的地址和端口信息作为数据载荷传输到对端的,Linux网关捕获这个数据包,将其解开然后根据FTP的协议规范获取地址和端口信息,随后就生成了一个expect连接。也就说,e...
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2748
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter比较重要的两个模
对Netfilterconntrack机制的理解
dhRainer的博客
10-26 8580
对Netfilterconntrack机制的理解0x 01 状态防火墙和链接追踪系统0x 02 五种状态0x 03基础结构0x 04 conntrack创建以及查询过程0x 05 碎片处理0x 06 helpers和期望0x 07 参考 0x 01 状态防火墙和链接追踪系统 认识和熟悉过iptables之后,更加感叹netfilter的磅礴和浩瀚。在netfilter体系,状态跟踪机制(...
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
iptables的nf_conntrack相关参数引起两个问题
钱国正的专栏
06-13 6303
某关键业务系统上频繁出现业务失败,并发生了一次大规模业务断。 该系统采用两台IBM Power 740运行AIX 6.1+Oracle 11gR2 RAC作为数据库服务器,两台DELL PowerEdge R720作为应用服务器,前端采用F5作为负载均衡设备。 数据库服务器和应用服务器之间有Cisco ASA5585硬件防火墙进行访问控制。 应用服务器上运行自行开发的C程序,通过Oracle
linux conntrack 原理,十五、Netfilterconntrack的建立过程
weixin_33467061的博客
05-14 896
我们先来看一下iptables定义的连接状态:INVALID:无效连接,防火墙一般会丢弃该连接NEW:新建立的,既只是通信双方只一方发送了报文,还没有得到回应的ESTABLISHED:已经得到回应的连接。既通信双方都发送过报文的连接RELATED:关联的连接,既有期望连接关联的连接UNTRACKED:不进行连接跟踪的连接SNAT:配置了SNAT的连接DNAT:配置了DNAT的连接一、一般连接的...
haxi.zip_linux kernel hash_linux netfilter_linux 内核 抓包_netfilter
09-14
linux内核使用哈希的例子,利用netfilter抓包然后做成哈希链表
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter...
浅析 /proc/net/nf_conntrack 文件(转)
时间是把杀刀猪
12-03 2770
/proc/net/nf_contrack 是连接跟踪文件,它里面的内容由 nf_conntrack.ko 模块写入。在 iptables 使用 -m state 选项时,iptables 不但加载 xt_state.ko 模块,且 nf_conntrack.ko 模块也会被加载进来。一般而言,xt_state.ko 和 nf_conntrack.ko 这两个模块在许多 Linux 发行版里...
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
netfilter 链接跟踪机制与NAT原理
weixin_30822451的博客
02-26 267
内核版本:2.6.121.链接跟踪 conntrack 1.1.netfilter框架5个链: NF_IP_PRE_ROUTING:数据包进入路由表之前 NF_IP_LOCAL_IN:通过路由表后目的地为本机 NF_IP_FORWARD:通过路由表后,目的地不为本机 NF_IP+LOCAL_OUT:由本机产生,向外转发 NF_IP_POST_ROUTING:发送到网卡接口之前。 4...
PPTPD centos7 install problem fix
snowpiaop的专栏
08-05 6104
pptpd centos7 gre firewall-cmd
用nf_conntrack代替ipset搭建敲门验证程序
Netfilter
09-09 3087
昨天晚上,杂耍了一个敲门服务: https://blog.csdn.net/dog250/article/details/108479651 这里面的trick在于利用了TCP的重传特性: 第一个把padding了认证数据,仅用于敲门,注定被丢弃。 第二个重传包直接通过第一个敲门包敲开的大门,建立连接。 我在服务端使用的是ipset的方案,还是比较清晰的,我觉的不错。 早上起来,又思考了另一种方案,基于nf_conntrack来完成,毕竟我玩conntrack玩得那么熟,不拿出来杂耍两下子,总觉得虚度了
一个复杂的nf_conntrack实例全景解析
Netfilter
10-28 1万+
本文关注两点,一点是细节,另外一点是概览: 细节:一个完整的关于nf_conntrack和NAT互动的例子 概览:关于人云亦云的讽刺 近期搜集了一些关于iptables,NAT相关的问题,其最令人觉得麻烦的还是nf_conntrack相关的东西,比如它和NAT的关系,它和state match的关系,它的Helper机制怎么使用等等。  因此决定写一篇随笔来一个情景分析,也是方便自己终有一天遗忘了
conntrack命令安装分享
乖乖的专栏
01-05 7929
在论坛看到一个帖子关于ip_conntrack参数相关的,后来打开了个关于man命令conntrack的连接。 在此分享,如对你有一点帮主也是一点荣幸 http://linux.die.net/man/8/conntrack    man连接地址 正文:   系统   centos5.6  64位   安装包相关:       yum -y install bison  
深入解析Linux内核Netfilter的sniffer隐藏技巧
资源摘要信息:"本文深入探讨了利用Linux内核的Netfilter框架以及sniffer技术来实现对网络通信的控制和隐藏。NetfilterLinux内核用于进行网络包过滤、修改及网络地址转换的一个子系统,它允许程序员在内核层面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值