连接跟踪扩展数据问题修改

最新推荐文章于 2024-09-16 19:11:00 发布
最新推荐文章于 2024-09-16 19:11:00 发布
阅读量227 收藏
点赞数
分类专栏: a 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/turanwangguan/article/details/114026976
版权

连接跟踪扩展数据问题修改

内核版本:4.14
问题分析描述:
首先看一下连接跟踪扩展数据添加的代码。在连接跟踪上添加扩展数据的时候会调用nf_ct_ext_add函数。如下代码所示,在第一次添加扩展数据时,会首先分配扩展数据内存,指定扩展数据最小为128字节。后续如果在连接上继续添加很多其他的扩展数据结构,导致扩展数据的实际大小超过了128字节,就会调用realloc去根据新扩展数据的大小重新分配扩展数据的内存,并将原扩展数据内容copy到新内存。
对应代码如下:
在这里插入图片描述
但是,如下面的数据结构图所示,struct nf_conn_help是多连接添加的扩展数据,expectations是struct nf_conn_help中的一员,是所属连接的期待链表头,下面挂载着各个多连接期待表项节点exp1,exp2等。此时exp1的prev是指向期待连接表头的。如果扩展数据内存被重新分配,expectations链表头也会变为新的地址expectations_new,但是原来多连接扩展数据的第一个节点exp1指向表头的pprev指针并没有改变,还是依旧指向原来的expectation地址。(exp的老化释放通过两种方式同时进行,一种是根据老化时间定时老化,另一种是连接删除时候进行摘链释放)这就导致了在触发exp1删除时,移除或者释放exp1后还可以通过遍历当前连接的expectation_new链表继续查找到exp1,引起了一系列期待连接相关的内存访问错误堆栈问题。

连接扩展数据结构组织形式如下ÿ

最低0.47元/天 解锁文章
turanwangguan
关注
专栏目录
MyBatis数据审计——跟踪数据的变动记录
程序员光剑
07-28 2018
数据审计(Data Audit)是指对信息系统中各种数据的完整性、真实性和准确性进行定期检查、评估、分析并向授权用户反馈,以发现、预防或解决信息系统中的数据问题。通过对数据的存储和流转过程进行审计,可以帮助企业更好地保障数据安全,提高数据质量和效益。在大型互联网公司,对数据库的数据访问及处理过程进行全面监控、控制和记录,不仅能够提供数据安全保障,还能够辅助管理人员追踪数据变化、分析数据趋势,改善业务流程和产品质量。
linux内核协议栈 netfilter 之连接跟踪子系统核心数据结构 struct nf_conn
11-01 2040
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
连接跟踪扩展
rondyning的博客
11-12 707
1 扩展主要数据结构 如图所示: 2 添加扩展 nf_ct_ext_add的流程图: 3 扩展的限制 连接跟踪模块加载时的初始化函数里会判断各种扩展类型数据的总长度是否大于255,大于255则编译报错。缘由是扩展功能结构体nf_ct_ext的len为u8,即len不能大于255,否则len会溢出。len是扩展功能的数据总长度,包含结构体头部。 int nf_conntrack_init_start(void) { int max_factor = 8; int ret =
连接跟踪超时扩展
redwingz的博客
01-16 2055
连接跟踪超时扩展,允许应用层对连接的超时时长进行修改控制。如下,新增IPv4 TCP协议超时策略(tcp0,最大4个字符),其中指定4个状态的超时时长,其它采用默认值。随后,使用iptables命令将此策略应用到所有的连接跟踪tcp报文。 # nfct timeout add tcp0 inet tcp established 1000 close 10 time_wait 10 last_ack 10 # # nfct timeout list .tcp0 = { .l3proto =
连接跟踪子系统之extend
九天小哥的专栏
04-21 1126
NAT和状态防火墙是基于连接跟踪的,但是在 数据结构 在连接跟踪信息块struct nf_conn的定义中,有一个ct_ext字段,如下: struct nf_conn { ... struct nf_ct_ext *ext; struct rcu_head rcu; }; struct nf_ct_ext 连接跟踪信息块中用该结构来表示扩展信息。 /* Extensions: optio...
netfilter连接跟踪(conntrack)详述
alittlefish1的博客
08-30 1万+
netfilter连接跟踪(conntrack)详述1 连接跟踪来龙去脉1.1 什么是连接跟踪1.2 为什么需要连接跟踪1.3 连接跟踪的应用场景2 内核中的连接跟踪2.1 netfilter连接跟踪框架2.2 重要函数和结构体2.3 连接跟踪流程2.4 连接跟踪ftp实例2.5 连接跟踪NAT流程3 扩展连接跟踪4 总结 1 连接跟踪来龙去脉 1.1 什么是连接跟踪 连接跟踪顾名思义是对网络连接跟踪,如果将网络比作 高速路 ,连接跟踪就像是高速路里的路上的检查站、摄像头一起的组合,可以记录下你在什么
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2723
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter中比较重要的两个模
sourcemod-connect:连接SourceMod的扩展
05-01
这个功能对于那些需要精确识别玩家并与其他系统进行数据同步的应用场景非常有用,比如实现跨服务器的玩家禁令、排行榜或统计跟踪。 【C++编程语言】 `sourcemod-connect`的实现使用了C++编程语言。C++是一种强大的...
数仓建模—数据模型的 10 个常见错误
热门推荐
05-24 6万+
构建数据资产是一个持续的过程。随着您的分析需求随着时间的推移而变化,架构也必须进行调整。将数据建模视为一次性活动是不现实的。想想那些因为源系统之一的数据结构发生变化而不得不更改列名、数据类型,甚至重建整个表的情况。以同样的方式,您可以构建一个完全适合特定时间用例的模式。但是,当数据持续增长或源系统发生变化(新的 ERP、CRM、PIM 系统)时,由于下游工作负载或性能优化的必要变化,设计工作仍将继续。
ip_conntrack的extend机制以及扩展
互联网
04-06 225
ip_conntrack为无状态无连接的IP增加了一个流记录机制,你可以把任何和一个流相关的东西放进去,但是放在哪里呢?原则上ip_conntrack应该是一个可以无限扩展的东西,但事实上,内核的设计者或者说Netfilter的ip_conntrack设计者并没有给用户程序员留下任何可以扩展它的接口和机制,你只能用现有的连接跟踪机制,虽然可以通过nf_ct_extend_register接口注册一...
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
netfilter之链接跟踪做nat
City_of_skey的博客
12-14 1179
上一节我们将了NAT是基于链接跟踪实现的,当一条链接跟踪建立要改变它的tuple的reply方向才能做nat,这个链接跟踪的nat是函数nf_nat_setup_info实现 1、nf_nat_setup_info nf_nat_setup_info对链接跟踪的做NAT,只会改变链接跟踪reply方向的ip、端口,不会改变数据包的ip、端口,数据包的DAT在上一节已经介绍了是在PRE_ROUT...
iptables之iptables表、链、规则 、匹配模式、扩展模块连接追踪模块(一)
Nightwish5的博客
08-15 1456
【执行完后 ssh会掉线】【注意!time模块,可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内,则符合匹配条件。●string模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。情景1示例:应用返回的报文中包含字符"video",我们就丢弃当前报文,其余正常通过。限制早上:8:00 ~ 12:00 (00:00-04:00)限制下午:14:00 ~ 18:00 (06:00-10:00)–timestart hh:mm[:ss]:开始时间。
linux设置连接跟踪老化时间,Linux 连线跟踪流程整理(linux-2.6.31)
weixin_39621044的博客
05-10 890
author: jonathan本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。Linux 连线跟踪流程整理(linux-2.6.31)0 主要数据结构0.1/*linux内核中抽象出一个net结构,代表了网络协议.其内部是协议族相关的数据结构.对于PF_INET来说,这里重点就是连线跟踪表*/struct net {atomic_tcount;...#if...
连接跟踪子系统之helper
九天小哥的专栏
04-13 1848
在Netfilter之AF_INET协议族连接跟踪子系统钩子函数 中有看到,在Netfilter子系统的出口,第一个钩子是ipv4_conntrack_help()(以AF_INET协议族为例),之后才是对新连接的确认钩子。并且help钩子的逻辑就是调用连接跟踪信息块中的help()回调函数。这篇笔记就来看看Netfilter子系统对helper模块的管理,相关代码文件为: 代码路径 说明...
Linux协议栈-netfilter(3)-NAT
落尘纷扰的专栏
04-04 3556
本文对netfilter中NAT部分的源码进行分析,读者需要先对NAT的基本概念有一个大致了解。1. NAT模块的初始化NAT模块的初始化过程主要是初始化一些全局变量以及注册NAT相关的hook函数。在下面nf_nat_init()函数和nf_nat_standalone_init()函数的流程图中用红色标记了要初始化的全局数据结构。nf_nat_init()函数:nf_nat_standalon...
C语言:结构体变量
2302_80978287的博客
09-16 281
设有30个学生,每个人都有学号、姓名和考试成绩三项数据,从键盘输入这些数据,找出成绩最高者并输出其数据。与普通变量一样,结构体变量也可以通过指针变量来间接访问。
report ETL .ffff
最新发布
09-17
report ETL .ffff
使用Instruments无线连接iOS设备进行数据收集
最后,文档讨论了查看和分析跟踪数据的工具和技术,如跟踪面板、详细面板、扩展详细面板和运行浏览器,这些都是分析数据和识别性能瓶颈的关键。同时,它还介绍了使用Sampler Instrument和其他工具进行数据分析的方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值