Linux - 网络子系统 - CT

最新推荐文章于 2022-03-12 10:27:18 发布
最新推荐文章于 2022-03-12 10:27:18 发布
阅读量776 收藏 2
点赞数
分类专栏: linux 网络协议栈 文章标签: LINUX CT
原文链接:https://blog.csdn.net/Golden_Chen/article/details/116645137
版权

引用

一. Overall

CT: 连接跟踪 - connection tracking,conntrack。

     连接跟踪是许多网络应用的基础。例如,Kubernetes Service、ServiceMesh sidecar、 软件四层负载均衡器 LVS/IPVS、Docker network、OVS、iptables 主机防火墙等等,都依赖 连接跟踪功能

例如,上图是一台 IP 地址为 10.1.1.2 的 Linux 机器,我们能看到这台机器上有三条 连接:

  1. 机器访问外部 HTTP 服务的连接(目的端口 80)
  2. 外部访问机器内 FTP 服务的连接(目的端口 21)
  3. 机器访问外部 DNS 服务的连接(目的端口 53)

连接跟踪所做的事情就是发现并跟踪这些连接的状态,具体包括:

  • 从数据包中提取元组(tuple)信息,辨别数据流(flow)和对应的连接(connection)
  • 为所有连接维护一个状态数据库(conntrack table),例如连接的创建时间、发送 包数、发送字节数等等
  • 回收过期的连接(GC)
  • 为更上层的功能(例如 NAT)提供服务

需要注意的是,连接跟踪中所说的“连接”,概念和 TCP/IP 协议中“面向连接”( connection oriented)的“连接”并不完全相同,简单来说:

  • TCP/IP 协议中,连接是一个四层(Layer 4)的概念。
    • TCP 是有连接的,或称面向连接的(connection oriented),发送出去的包都要求对端应答(ACK),并且有重传机制
    • UDP 是无连接的,发送的包无需对端应答,也没有重传机制
  • CT 中,一个元组(tuple)定义的一条数据流(flow )就表示一条连接(connection)。
    • 后面会看到 UDP, 甚至是 ICMP 这种3.5层协议在 CT 中也都是有连接记录的
    • 不是所有协议都会被连接跟踪

本文中用到“连接”一词时,大部分情况下指的都是后者,即“连接跟踪”中的“连接”。

二. 原理

要跟踪一台机器的所有连接状态,就需要

  1. 拦截(或称过滤)流经这台机器的每一个数据包,并进行分析
  2. 根据这些信息建立起这台机器上的连接信息数据库(conntrack table)。
  3. 根据拦截到的包信息,不断更新数据库

例如,

  1. 拦截到一个 TCP SYNC 包时,说明正在尝试建立 TCP 连接,需要创建一条新 conntrack entry 来记录这条连接
  2. 拦截到一个属于已有 conntrack entry 的包时,需要更新这条 conntrack entry 的收发包数等统计信息

三. 设计 - Netfilter

Linux的连接跟踪是在Netfilter中实现的。

Netfilter 是 Linux 内核中一个对数据包进行控制、修改和过滤(manipulation and filtering)的框架。它在内核协议 栈中设置了若干hook 点,以此对数据包进行拦截、过滤或其他处理。

更直白一些,hook 机制就是在数据包的必经之路上设置若干检测点,所有到达这 些检测点的包都必须接受检测,根据检测的结果决定:

  1. 放行:不对包进行任何修改,退出检测逻辑,继续后面正常的包处理
  2. 修改:例如修改 IP 地址进行 NAT,然后将包放回正常的包处理逻辑
  3. 丢弃:安全策略或防火墙功能

CT连接跟踪模块只是完成连接信息的采集和录入功能,并不会修改或丢弃数据包,后者是其他模块(例如 NAT-NetworkAddressTranslation)基于 Netfilter hook 完成的。

四. 设计 - 进一步思考

 现在提到连接跟踪(conntrack),可能首先都会想到 Netfilter。但由上节讨论可知, 连接跟踪概念是独立于 Netfilter 的,Netfilter 只是 Linux 内核中的一种连接跟踪实现

换句话说,只要具备了 hook 能力,能拦截到进出主机的每个包,完全可以在此基础上自 己实现一套连接跟踪

云原生网络方案 Cilium 在 1.7.4+ 版本就实现了这样一套独立的连接跟踪和 NAT 机制 (完备功能需要 Kernel 4.19+)。其基本原理是:

  1. 基于 BPF hook 实现数据包的拦截功能(等价于 netfilter 里面的 hook 机制)
  2. 在 BPF hook 的基础上,实现一套全新的 conntrack 和 NAT

因此,即便卸载 Netfilter ,也不会影响 Cilium 对 Kubernetes ClusterIP、NodePort、ExternalIPs 和 LoadBalancer 等功能的支持 [2]。

由于这套连接跟踪机制是独立于 Netfilter 的,因此它的 conntrack 和 NAT 信息也没有存储在内核的(也就是 Netfilter 的)conntrack table 和 NAT table。所以常规的 conntrack/netstats/ss/lsof 等工具是看不到的,要使用 Cilium 的命令,例如:

$ cilium bpf nat list
$ cilium bpf ct list global

配置也是独立的,需要在 Cilium 里面配置,例如命令行选项 --bpf-ct-tcp-max

另外,本文会多次提到连接跟踪模块NAT模块独立,但出于性能考虑,具体实现中 二者代码可能是有耦合的。例如 Cilium 做 conntrack 的垃圾回收(GC)时就会顺便把 NAT 里相应的 entry 回收掉,而非为 NAT 做单独的 GC。

五. 应用

Aiden_SHU
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux-TTY子系统.pdf
07-24
Linux系统中, 与终端相关的概念很容易让人迷糊. 首先有终端这个概念, 然后还有各种类型的终端(串口终端, 伪终端, 控制台终端, 控制终端), 还有一个概念叫console. 那么什么是终端? 什么是控制台终端? 什么是...
Linux ct6.5安装rabbitmq
weixin_33693070的博客
07-30 82
 yum install gcc glibc-devel make ncurses-devel openssl-devel xmlto   1.Erlang安装配置   下载安装包,地址http://www.erlang.org/downloads,我选择的是otp_src_18.3.tar.gz。   然后解压文件: [root@iZ25e3bt9a6...
Linux常用命令
ct253769347的博客
05-18 530
1.命令格式与目录处理命令ls   目录处理命令:ls   命令英文愿意:List   命令所在路径:/bin/ls   执行权限:所有用户   功能描述:显示目录文件   语法:ls 选项【-ald】 [文件或目录]   -a 显示所有文件,包括隐藏文件  -l 详细信息显示 -d查看目录属性
常用Linux 命令
想飞的鱼
06-30 837
(1) vi 命令模式下 :w 只保存不退出 (2)shell Ctrl + Z , 程序后台执行   fg:后台程序调到前台 (3)在当前shell里执行一个文件里的命令:                                       source /home/user/file.name     (4)列出包括子进程的进程树:             
Linux ct获取本机ip,linux ip命令
weixin_29370183的博客
05-09 176
ip 是个命令, ip 命令的功能很多!基本上它整合了 ifconfig 与 route 这两个命令,不过ip 的功能更强大!如果您有兴趣的话,请自行 vi /sbin/ifup 就知道整个 ifup 就是利用 ip这个命令来实现的。下面介绍一下使用方法[root@linux ~]# ip [option] [动作] [命令]参数:option :设定的参数,主要有:-s:显示出该设备的统计数据(...
linux-conntrack对报文的处理
bigsheng2的博客
02-03 411
Linux 内核中的 ct 系统,本身从不改变/操纵数据包。通常也不会丢弃数据包,只可能在极少数情况下发生这种情况。 ct更多的是为其他内核组件提供决策。如 NAT 子系统以及Iptables和Nftables 的状态包过滤模块。连接跟踪最重要的使用场景就是 NAT,NAT 依赖连接跟踪的结果。 所以,即使存在established 状态的 ct,数据包还是会经过各个hook点,各个内核组件,还是会查找路由表、neighbor表等。 如下,nat流程中,nf_nat_packet 调用 nf_nat_man
Linux 高性能服务器编程——IP协议详解
weixin_34005042的博客
05-04 98
1 IP服务特点IP协议是TCP/IP协议族的动力,它为上层协议提供无状态、无连接、不可靠的服务。无状态:IP通信双方不同步传输数据的状态信息,因此IP数据包的发送、传输和接收都是无序的。 缺点:无序,不可靠 优点:简单、高效不可靠:不能保证IP数据报准确地到达接收端,它只是承诺尽最大努力。发送端(转发端)一旦检测到IP数据包发送失败(如存活时间过长,数据报不正确),就通知...
OVS CT连接追踪实现NAT
bobi的博客
03-12 8580
OVS CT连接跟踪(connection tracking) CT连接跟踪中所说的“连接”,概念和 TCP/IP 协议中“面向连接”( connection oriented)的“连接”并不完全相同 TCP/IP 协议中,连接是一个四层(Layer 4)的概念。 TCP 是有连接的,或称面向连接的(connection oriented),发送出去的包都要求对端应答(ACK),并且有重传机制 UDP 是无连接的,发送的包无需对端应答,也没有重传机制 CT 中,一个元组(tuple)定义的一条数据流(flo
Open vSwitch中的报文跟踪
redwingz的博客
07-03 2934
Open vSwitch (OVS)是一种可编程的软件交换机,可以在每个报文级别执行操作。本文档介绍如何使用跟踪工具了解数据包在通过数据平面时发生了哪些处理。 ovs-vswitchd(8)手册页描述了ofproto/trace命令,在Open vSwitch中跟踪的基本用法。对于能够在OVN 逻辑交换机中跟踪数据包,类似于ofproto/trace的工具,请参见ovn-trace(8)_。 报文...
ovs conntrack的实现
zhangtongjian12的博客
12-09 378
ovs conntrack的实现
linux-输入子系统.vsdx
10-28
linux-输入子系统.vsdx
Linux-网络操作系统与实训-授课计划.docx
12-18
Linux-网络操作系统与实训-授课计划.docx
Linux-网络操作系统与实训-实训指导书.docx
12-16
Linux-网络操作系统与实训-实训指导书.docx
Linux-网络管理
01-09
网络管理器(NetworkManager)是一个动态网络的控制器与配置系统,它用于当网络设备可用时保持设备和连接开启并激活 默认情况下,CentOS/RHEL 7 已安装网络管理器,并处于启用状态。 查看网络管理程序的状态。 ...
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
linux-0.11操作系统实验
06-06
对于“linux-0.11操作系统实验”,需要具备对Linux操作系统的基本了解,了解其文件系统、进程管理、内存管理、输入输出等基本概念及其实现方式。要求实际操作,使用源代码进行调试和修改,进一步加深对Linux操作系统的理解和认识。同时需要掌握C语言编程基础,了解汇编语言。通过实践,提高解决问题和分析问题的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值