2.6的网络数据包时间戳

最新推荐文章于 2023-10-28 17:19:52 发布
最新推荐文章于 2023-10-28 17:19:52 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: linux网络分析
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严
禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn

1. 前言
在linux 2.6内核中对于网络数据包中的时间戳处理和2.4相比有了不少变化,如果原样照搬2.4就要出错
了。

2. 2.6中的tstamp
2.4中skb的时间戳直接就用struct timeval结构,而且使用时直接访问该参数。
2.6中的时间戳已经改为skb专用的时间结构struct skb_timeval:
struct sk_buff {
......
    struct skb_timeval  tstamp;
.....
};
定义如下:
struct skb_timeval {
    u32 off_sec;
    u32 off_usec;
};
和2.4区别就是强调了参数是32位无符号数,时间是相对于一个基准时间的偏差,基准点可以自己定义,
通常还是按UNIX的缺省基准时间;而在timeval中定义的是long,在64位系统中将是64位,而且是有符
号的,时间是绝对时间,即基准点是固定的。
在 include/linux/skbuff.h 中提供以下两个函数接口来获取和设置skb的时间戳:
/**
 *  skb_get_timestamp - get timestamp from a skb
 *  @skb: skb to get stamp from
 *  @stamp: pointer to struct timeval to store stamp in
 *
 *  Timestamps are stored in the skb as offsets to a base timestamp.
 *  This function converts the offset back to a struct timeval and stores
 *  it in stamp.
 */
static inline void skb_get_timestamp(const struct sk_buff *skb, struct timeval *stamp)
{
    stamp->tv_sec  = skb->tstamp.off_sec;
    stamp->tv_usec = skb->tstamp.off_usec;
}
/**
 *  skb_set_timestamp - set timestamp of a skb
 *  @skb: skb to set stamp of
 *  @stamp: pointer to struct timeval to get stamp from
 *
 *  Timestamps are stored in the skb as offsets to a base timestamp.
 *  This function converts a struct timeval to an offset and stores
 *  it in the skb.
 */
static inline void skb_set_timestamp(struct sk_buff *skb, const struct timeval *stamp)
{
    skb->tstamp.off_sec  = stamp->tv_sec;
    skb->tstamp.off_usec = stamp->tv_usec;
}
 
3. 记录时间

2.4中skb的时间戳是自动记录的,获取skb后就能直接读取其进入系统的时间。
而在2.6中,是否记录时间戳成为可选的,大概因为很多网络应用中用不到skb的内部时间,为其赋值将
增加系统的开销,系统增加了一个静态参数netstamp_needed来控制是否记录时间戳。
/* net/core/dev.c */
/* When > 0 there are consumers of rx skb time stamps */
static atomic_t netstamp_needed = ATOMIC_INIT(0);
// 允许记录时间戳
void net_enable_timestamp(void)
{
    atomic_inc(&netstamp_needed);
}
// 停止记录时间戳
void net_disable_timestamp(void)
{
    atomic_dec(&netstamp_needed);
}
// 设置时间戳
void __net_timestamp(struct sk_buff *skb)
{   
    struct timeval tv;
    do_gettimeofday(&tv);
    skb_set_timestamp(skb, &tv);
}   
EXPORT_SYMBOL(__net_timestamp);
     
static inline void net_timestamp(struct sk_buff *skb)
{
    if (atomic_read(&netstamp_needed))
// 有需要时才设置时间戳
        __net_timestamp(skb);
    else {
// 否则时间戳值为0
        skb->tstamp.off_sec = 0;
        skb->tstamp.off_usec = 0;
    }   
}
在发包函数dev_queue_xmit_nit()和收包函数nettf_rx(),netif_receive_skb()中就调用了
net_timestamp()函数来设置时间戳,而缺省情况下不记录时间戳,要使系统记录时间戳必须模块中调用
net_enable_timestamp()来允许记录时间戳,模块退出时调用net_disable_timestamp()停止记录。

3. 结论

对于安全设备,要识别flood、scan等攻击都要用到时间上的统计信息,所以时间戳是必须的,而如果是
从2.4移植到2.6,就必须增加net_enable_timestamp()打开时间戳记录,否则将会发现时间戳都是0而
使统计失败,而如果没仔细检查时间戳值的话,真是死都不知道是怎么死的。
wangpengqi
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 2.4网络栈中包的处理过程(转)
weixiuc的专栏
09-20 1172
linux 2.4网络栈中包的处理过程1. 前言    由于我的能力有限,这篇文档主要是基于一个前提,即x86架构和IP包。    我对内核的理解也很有限,文章中的误之处在算难免,请不要对他期望太高,我会很感激你留下意见和建议。2. 包的接收2.1 接收中断    如果网卡收到一个包含本地MAC地址的以太帧或者一个链路层的广播, 他会触发一个中断。这个网卡的驱动会处理这个中断, 会通过DMA
谈谈数据库里的时间戳
晨曦雨露的博客
04-01 1万+
一直对时间戳这个概念比较模糊,相信有很多朋友也都会误认为:时间戳是一个时间字段,每次增加数据时,填入当前的时间值。其实这误导了很多朋友。 时间戳:数据库中自动生成的唯一二进制数字,与时间和日期无关的, 通常用作给表行加版本戳的机制。存储大小为 8个字节。 每个数据库都有一个计数器,当对数据库中包含 timestamp 列的表执行插入或更新操作时,该计数器值就会增加。该计数器是数据库时间戳。这可
wireshark:时间戳
OceanStar的博客
12-02 1万+
数据包被捕获时,每个数据包在进入的时候都打上了时间戳。这些时间戳将被保持到捕获文件中,因此它们也将用于(以后分析)。 那么这些时间戳是从哪里来的呢?在捕获过程中,wireshark从libpcap(npcap)库获取时间戳,而后者又从操作系统内核获取时间戳。如果捕获数据是从捕获文件加载的,wireshark会从这个文件里获取时间戳。 内部构件 wireshark用来保存数据包时间戳 ...
PCAP文件数据包时间戳是在哪里被标记上的
jinauto的博客
10-28 442
最近在调查网络收包延时问题,出现了发包时间戳和收包时间戳差距200ms左右的情况。这就先要明确pcap文件包数据包时间戳是谁标记的。
RTP时间戳概念
qq_40170041的博客
04-25 890
二、RTP与RTCP解释.含同步时间戳 RTP协议是real-time transport protocol的缩写,被设计来传输流媒体数据,有着广泛的应用,其它相关介绍自己去看RFC,我不打算讨论这些无聊的概念性的东西。 RTP 可以说,RTP协议不依赖于底层协议,也就是说,它是独立的协议。而一般的,由于UDP包的快速、时实性高的特点,它通常和UDP结合在一起,作为UDP的上层载体数据的形式传播。 typedef struct { IN OUT UINT32 timestamp; IN OUT BOO
linux网络分析
11-13
数据包在经过网络栈时会依次通过这些钩子点。Netfilter的核心在于它能够灵活地在这个过程中插入自定义的处理逻辑。 #### 六、总结 本文详细介绍了Netfilter的基本实现机制,包括规则的存储方式、遍历机制、表/匹配...
无线传感器网络 考试重点
03-26
- **时间戳管理**:为数据包添加时间戳,支持精确的数据处理。 **4.2 常见时间同步机制** - **TPSN**:使用分层结构实现时间同步。 - **RBS**:基于广播的消息传递来实现时间同步。 **4.3 TPSN时间同步协议设计...
软件定义网络中的数据完整性.pptx
最新发布
06-03
- **网络故障**: 由于网络故障、硬件故障或恶意攻击,导致数据包丢失或损坏,破坏数据完整性。 - **恶意软件感染**: 恶意软件或勒索软件感染网络后,加密或删除数据,导致数据丢失。 - **误操作**: 人为误操作可能...
ts流分析EasyICE_2.6.0.6.zip ts流分析工具,免费
08-01
2. **数据包解码**:解码TS包头信息,获取PTS/DTS时间戳、PCR值等关键参数。 3. **误检测**:检测并报告误码率、同步丢失等问题,帮助定位传输过程中的误。 4. **流分析**:分析视频、音频流的编码格式,如H.264...
Telemecanique Concept 2.6的系统函数参考手册-2004-EN.pdf
10-19
11. LOOPBACK(重入):该功能块用于创建一个回路,可能用于调试目的,允许信号或数据包在系统内部循环而不离开其源模块。 12. M1HEALTH(模块健康状态for M1):类似于DIOSTAT,但M1HEALTH是专门针对M1模块的健康...
SKB包的接收-----从网卡驱动到TCP层的处理流程
Justlinux2010的专栏
01-20 6759
在开发模块过程中,遇到一个问题:在NF_INET_LOCAL_IN钩子处截获数据包后,如果操作失败,还要把这些截获的数据包重新传递到TCP层处理。但是这个操作是在内核线程中完成,不知道会不会对正常的数据包接收过程产生影响?因此,需要知道数据包在从网络层传递到传输层时的上下文环境(指的是是否禁止内核抢占、是否需要获取锁等)。为了解决这个问题,决定将数据包的接收过程从驱动程序到TCP层的处理流程梳理了
c linux 获取网络时间戳,linux 2.6网络数据包时间戳
weixin_31100713的博客
05-04 405
http://blog.chinaunix.net/uid-127037-id-2919505.html20062.6网络数据包时间戳本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严1. 前言在linux 2.6内核中对于网络数据包中的时间戳处理和2.4相比有了不少变化,如果原样照搬2.4就要出了。2. 2.6中的tstamp2.4中s...
『.NET Tools』C#/.NET 获取当前时间戳
老陈聊架构
04-16 1万+
在.Net/C#中快速获取当前时间戳
SO_TIMESTAMP 数据链路层的接收时间戳
04-16 4927
网络设备在接收到来自网络中其它主机的数据报,或本地环回接口的数据报之后,交给协议栈的netif_rx函数,该函数首先要为收到的这个skb打上当前的时间戳(skb->tstamp成员),这个时间戳表示该数据到达的时间,它不是必选的,可以通过套接字选项SO_TIMESTAMP将其打开,该选项打开时间戳时,会将链路层的全局变量netstamp_needed加1,netif_rx在检查到这个变量不为零时,
Linux报文硬件时间戳,linux 时间戳,打戳代码分析,用于PTP报文协议(示例代码)...
weixin_33072655的博客
05-05 1580
1.linux内核打戳查看(1)打戳模式设置:代码文件: sk.c -> socket.c sock.c函数接口: setsockopt -> setsockopt sock_setsockopt代码位置: PTP代码 -》 内核代码作用:设置软硬件时间戳,发送接收时间戳;(2)recvmsg调用...
TCP/IP详解--TCP首部选项中时间戳选项的作用
热门推荐
鱼思故渊的专栏
10-14 2万+
在TCP选项字段中为TCP预留有时间戳功能,不管在网络层面还是应用层面,TCP时间戳往往被大家认为是一个系统行为,并忽略其存在。其实在某些环境下,TCP时间戳同样可以成为大家在时延问题troubleshooting定位时的一个利器。 首先,让我们先来回顾一下TCP时间戳的理论知识。 1) TCP时间戳位于TCP选项中,kind=8;lenth=10;data由timestamp和timesta
tcpdump/libpcap中捕获数据包时间戳
04-12 1万+
tcpdump从libpcap获取time-stamp,libpcap从OS内核获取time stamp Q: When is a packet time-stamped? Howaccurate are the time stamps? Tcpdump gets time stamps from libpcap, andlibpcap gets them from the OS kernel
获取网络包到达网卡的时间
梦里花
02-10 6087
为啥要获取数据包到达网卡的时间?        在回答这个问题之前,我们先看一下网卡消息队列。如下图所示,对端发送的网络数据包被网卡设备接收到之后,会存放到网卡消息队列中,由应用程序调用recv系列函数从网卡队列中获取网络消息。        现在假设:消息处理服务处理网络消息包的平均时间为1s,请求方等待回包的时间为1s,网卡消息队列的长度为10,在应用程序正常处理的情况
用flask框架写一个基于数据包时间戳阈值的异常检测
05-09
好的,我可以给您提供一个基于 Flask 框架的数据包时间戳阈值异常检测的示例代码。首先需要安装 Flask: ``` pip install flask ``` 接下来,我们可以编写一个简单的 Web 应用程序,该应用程序接受 PCAP 文件的上传并显示异常检测结果。 ```python from flask import Flask, request, render_template import dpkt app = Flask(__name__) @app.route('/', methods=['GET', 'POST']) def index(): if request.method == 'POST': f = request.files['file'] pcap = dpkt.pcap.Reader(f) timestamps = [] for ts, _ in pcap: timestamps.append(ts) threshold = float(request.form['threshold']) anomalies = [] for i in range(1, len(timestamps)): if timestamps[i] - timestamps[i-1] > threshold: anomalies.append(i) return render_template('result.html', anomalies=anomalies) else: return render_template('index.html') if __name__ == '__main__': app.run(debug=True) ``` 在上述代码中,我们定义了一个 index 函数,该函数处理 Web 应用程序的主页。如果用户上传了一个 PCAP 文件并提交了阈值值,则该函数将读取 PCAP 文件中的时间戳,并计算时间戳之间的差异。如果差异超过了阈值,则将该时间戳标记为异常点,并将结果显示在 result.html 页面中。 为了让用户上传 PCAP 文件,我们需要编写一个 HTML 表单,如下所示: ```html <!DOCTYPE html> <html> <head> <title>Packet Timestamp Anomaly Detection</title> </head> <body> <h1>Packet Timestamp Anomaly Detection</h1> <form method="post" enctype="multipart/form-data"> <label>Upload PCAP file:</label> <input type="file" name="file" required><br> <label>Threshold:</label> <input type="number" name="threshold" step="any" required><br> <input type="submit" value="Submit"> </form> </body> </html> ``` 最后,我们还需要编写一个 result.html 页面,用于显示检测结果: ```html <!DOCTYPE html> <html> <head> <title>Packet Timestamp Anomaly Detection Results</title> </head> <body> <h1>Packet Timestamp Anomaly Detection Results</h1> {% if anomalies %} <p>Detected anomalies:</p> <ul> {% for anomaly in anomalies %} <li>{{ anomaly }}</li> {% endfor %} </ul> {% else %} <p>No anomalies detected.</p> {% endif %} </body> </html> ``` 在运行该应用程序之前,请确保您的环境中已经安装了 dpkt 库,它是一个用于解析 PCAP 文件的 Python 库。您可以通过以下命令来安装它: ``` pip install dpkt ``` 希望这个示例代码能够帮助到您,如果您有任何问题,欢迎随时问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值