使用 kprobe 观察 tcp 拥塞窗口的变化

置顶 已于 2024-06-03 13:31:12 修改
阅读量1.5k 收藏 21
点赞数 51
分类专栏: linux 网络 文章标签: tcp/ip 网络协议 网络
于 2024-03-04 09:22:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38184628/article/details/136437659
版权

tcp 中拥塞窗口用来做拥塞控制。 在发送侧,要发送数据的时候会基于拥塞窗口进行判断,当前这个包还能不能发送出去。
tcp 发包函数是 tcp_write_xmit(),在这个函数中调用 tcp_cwnd_test() 来判断当前拥塞窗口让不让发包。从 tcp_cwnd_test() 函数能看出来,in_flight 是已经发送出去,但是还没有被确认的包,如果这个数大于拥塞窗口,那么就返回 0,不能发包了,因为没有确认的包太多了,再发送可能加重网络拥塞,所以就返回 0。如果没确认的包比拥塞窗口小,那么至少可以再发送一个包。

/* Can at least one segment of SKB be sent right now, according to the
 * congestion window rules?  If so, return how many segments are allowed.
 */
static inline unsigned int tcp_cwnd_test(const struct tcp_sock *tp,
					 const struct sk_buff *skb)
{
	u32 in_flight, cwnd, halfcwnd;

	/* Don't be strict about the congestion window for the final FIN.  */
	if ((TCP_SKB_CB(skb)->tcp_flags & TCPHDR_FIN) &&
	    tcp_skb_pcount(skb) == 1)
		return 1;

	in_flight = tcp_packets_in_flight(tp);
	cwnd = tp->snd_cwnd;
	if (in_flight >= cwnd)
		return 0;

	/* For better scheduling, ensure we have at least
	 * 2 GSO packets in flight.
	 */
	halfcwnd = max(cwnd >> 1, 1U);
	return min(halfcwnd, cwnd - in_flight);
}


static bool tcp_write_xmit(struct sock *sk, unsigned int mss_now, int nonagle,
			   int push_one, gfp_t gfp)
{
    ...
	while ((skb = tcp_send_head(sk))) {
        ...
		cwnd_quota = tcp_cwnd_test(tp, skb);
		if (!cwnd_quota) {
			if (push_one == 2)
				/* Force out a loss probe pkt. */
				cwnd_quota = 1;
			else
				break;
		}
        ...
   }

 

拥塞窗口和接收窗口以及发送窗口的单位是不一样的。

接收窗口和发送窗口的单位是字节。

拥塞窗口的单位是报文的个数,一般是 mss。

 

本文不涉及 tcp 的拥塞控制算法,只记录使用 kprobe 来观察 tcp 拥塞窗口这样一种方法。

 

1 tcp 服务端与客户端

本人的测试环境是在 windows 笔记本和 ubuntu 虚拟机。

服务端在 windows 上,使用如下链接的工具来创建。

TCP/UDP测试工具下载 V2.1.1绿色免费版--pc6下载站

客户端在 ubuntu 虚拟机上,代码如下。建立连接之后,客户端就一直发送报文,之所以使用死循环狂发报文,是因为这样能构造出发送窗口减小或者丢包的情况。

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <errno.h>
#include <fcntl.h>
#include <sys/epoll.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <unistd.h>
#include <netinet/in.h>
#include <arpa/inet.h>

#define SERVER_PORT   (12345)
#define SERVER_IP     "192.168.74.1"
#define MAX_BUFSIZE   (512)

int main(int argc,char *argv[]) {
    int sock_fd;
    sock_fd = socket(AF_INET, SOCK_STREAM, 0);
    if(sock_fd < 0) {
        printf("create socket error.\n");
        return -1;
    }

    struct sockaddr_in addr_serv;
    memset(&addr_serv, 0, sizeof(addr_serv));

    addr_serv.sin_family = AF_INET;
    addr_serv.sin_port =  htons(SERVER_PORT);
    addr_serv.sin_addr.s_addr = inet_addr(SERVER_IP);

    if(connect(sock_fd, (struct sockaddr *)&addr_serv,sizeof(struct sockaddr)) < 0){
        printf("connect error.\n");
        return -1;
    }

    char buff[1024] = "hello tcp, hello woasdfasdfasdfasdfasdfgasdfgasdfgasdfgsdfgsdfgsdfgsdfgsdfgsdfgsdfgfgsdfgsdfgsasdfadasfasdfasdfasdfasdfadfasdfsdfsdfasd";
    for (;;) {
        send(sock_fd, buff, 1000, 0);
    }
    close(sock_fd);
    return 0;
}

 

2 kprobe 内核模块

kprobe 通过内核模块来完成,探测的函数是  tcp_slow_start()。从名字也可以看出来,这个函数是在慢启动阶段,将拥塞窗口逐渐增大的。tcp 测试使用的端口号是 12345,但是在 struct inet_sock 结构体中,还需要做一下字节序转换,12345 转换之后是 14640。在函数 tcp_slow_start() 被调用时,会打印出源端口号,目标端口号,发送拥塞窗口,acked,发送窗口等信息。

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/tcp.h>
#include <net/sock.h>

#define MAX_SYMBOL_LEN  64
static char symbol[MAX_SYMBOL_LEN] = "tcp_slow_start";
module_param_string(symbol, symbol, sizeof(symbol), 0644);

static struct kprobe kp = {
    .symbol_name    = symbol,
};

static int __kprobes handler_pre(struct kprobe *p, struct pt_regs *regs)
{
    struct tcp_sock *tp = (struct tcp_sock *)(regs->di);
    unsigned int acked = (unsigned int)(regs->si);

    struct inet_sock *inet = (struct inet_sock *)(tp);
    if (inet->inet_dport == 14640 || inet->inet_sport == 14640) {
        printk("handler pre stack, -------------------------------\n");
        printk("dport = %d, sport = %d, snd cwnd = %d, acked = %u, slow start thresh = %d, cwnd max = %d, max packets out = %d, snd wnd = %d\n",
                        inet->inet_dport, inet->inet_sport, tp->snd_cwnd, acked, tp->snd_ssthresh, tp->snd_cwnd_clamp, tp->max_packets_out, tp->snd_wnd);
        dump_stack();
        printk("handler pre stack end, ---------------------------\n");
    }
    return 0;
}

static void __kprobes handler_post(struct kprobe *p, struct pt_regs *regs,
                                unsigned long flags)
{
}

static int __init kprobe_init(void)
{
    int ret;
    kp.pre_handler = handler_pre;
    kp.post_handler = handler_post;

    ret = register_kprobe(&kp);
    if (ret < 0) {
            printk("register_kprobe failed, returned %d\n", ret);
            return ret;
    }
    printk("kprobe at %p\n", kp.addr);
    return 0;
}

static void __exit kprobe_exit(void)
{
    unregister_kprobe(&kp);
    printk("kprobe at %p unregistered\n", kp.addr);
}

编译脚本:

root@wangyanlong-virtual-machine:/home/wyl/mod/kprobe# cat Makefile
obj-m += kprobe.o

all:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules

clean:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

 

内核模块中还打印了 tcp_slow_start() 的调用栈,如下是一次打印的截图。

222b8ce5f44849f0a569f0f684983c16.png

 

如下是 tcp_slow_start() 的代码,从代码中可以看出,这次 ack 确认了几个报文,那么拥塞窗口就会增加几个。但是拥塞窗口也是有最大限制的,不能大于 snd_cwnd_clamp。

u32 tcp_slow_start(struct tcp_sock *tp, u32 acked)
{
	u32 cwnd = min(tp->snd_cwnd + acked, tp->snd_ssthresh);

	acked -= cwnd - tp->snd_cwnd;
	tp->snd_cwnd = min(cwnd, tp->snd_cwnd_clamp);

	return acked;
}

 

3 结果

从下图可以看出来以下几点:

(1)拥塞窗口的初始大小是 10,slow start thresh 的初始值是一个很大的数。在 tcp_sock_init() 函数中进行赋值的。

void tcp_init_sock(struct sock *sk)
{
    ...
    tp->snd_cwnd = TCP_INIT_CWND;
    tp->snd_ssthresh = TCP_INFINITE_SSTHRESH;
    ...
}

#define TCP_INIT_CWND       10

#define TCP_INFINITE_SSTHRESH   0x7fffffff 

 

(2)慢启动阶段,拥塞窗口会逐渐增大,增大的个数就是 acked 所表示的确认的报文个数

(3)当丢包或者发送窗口变为 0 的时候,表示可能发生了拥塞,这个时候拥塞窗口会减小,然后再逐渐恢复

f80e8ad8b1f941d6ae49e4b920c8c5b0.png

https://www.cnblogs.com/zafu/p/10646188.html

 

王燕龙hope
关注
  • 51
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
kprobe分析
06-15
对kprobe的简单分析,也有不完全的地方
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
m0_74206992的博客
03-29 1104
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
kprobe监控tcp_v4_connect
yongjong的专栏
06-13 613
#include <linux/kernel.h> #include <linux/module.h> #include <linux/kprobes.h> #include <linux/init.h> #include <linux/uaccess.h> #include <linux/inet.h> #include <net/inet_sock.h> #include <linux/limits.h> .
最快的 TCP 拥塞控制算法
热门推荐
Netfilter
08-20 1万+
巨大 cwnd 意味着激进传输,丢包后依然激进重传,这不是拥塞控制,这是制造拥塞。声明:本文我并非表达这样的观点,即 “激进发包,就可以做出很好的协议”,我只是为想这么做的人提供一个如何这么做的方法。我说这样的算法是“快”的,因为它确实是快的,我并没有说它是“好”的,对于它的代价,我也提到了,但并不多说。但至少对 Linux TCP 而言,拥塞状态机和拥塞控制算法是分离的,为支持 BBR,不得不重构拥塞状态机实现,引入全权接管算法的 cong_control 回调函数,简而言之,一切都在该回调中完成。...
linux kprobe使用
qq_42931917的博客
02-28 581
kprobe
如何使用ebpf kprobe探测内核函数
c_cppcoder的博客
11-29 1229
使用ebpf kprobe探测内核函数
Linux kprobe的使用
小立仔
07-21 3447
Linux kprobe的简单使用
如何使用ebpf统计某个端口的流量
c_cppcoder的博客
01-04 933
如何使用ebpf统计某个端口的流量
Linux ftrace 2.3、kprobe event的使用
pwl999的博客
05-24 6240
原始的trace event插桩是静态的:使用TRACE_EVENT()定义tracepoint,并且在代码中显式调用tracepoint。而kprobe机制可以实现在内核运行时动态的插桩,利用kprobe机制我们可以动态的插入trace event,实现和静态trace event同样的功能。 参考原文:Kprobe-based Event Tracing 1、Overview 这些e...
kprobe 的 3 种使用
Network/Storage/Linux Kernel
06-17 4884
知识背景:会编写基础内核模块 kprobe用处:用来跟踪、记录、打桩。最常见的使用就是需要打印内核函数的执行流程,比如排查问题时、或者学习内核流程时需要用到。 准备工作:找一份和自己linux系统相同版本的源码(方法自行Google,ubuntu、centos、redhat各自有各自方法) 内核模块跟踪指定函数 官方文档: https://www.kernel.org/doc/Documentation/kprobes.txt 在 内核源码目录samples/kprobes/有几个kprobe模块例子,.
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表...
从移动切换到电信IP:详细介绍两种方法
hgdlip的博客
06-24 524
在当前的互联网环境中,用户可能会因为各种原因需要切换网络服务提供商,比如从移动切换到电信。这种切换不仅涉及到网络服务的变更,还可能意味着IP地址的改变。那么,移动的怎么切换成电信的IP?下面一起来了解一下吧。
域名反查IP多种方式
lupai的博客
06-21 796
域名反查IP是指通过已知的域名来查询其对应的IP地址。以下是几种常用的域名反查IP的方法: 使用ping命令: 在命令行中输入“ping 域名”,例如“ping www.example.com”。 系统会返回该域名对应的IP地址。 这种方法在Windows和Linux系统上都适用,是简单直接的反查方式。
如何快速判断IP被墙
最新发布
2301_78491269的博客
06-27 140
如此刻有异常情况会比较明显,例如:电信无法进行正常访问,移动无常访问(某某运营商),美国地区无常访问,日本无法访问(某某国家无常访问),会有一个比较明显无法进行正常访问的数据。被墙的原因有很多种不一一列举,由于被墙的时间短的为按周按月计算,时间长的则为按年计算,所以一般这种情况下只能选择更换IP。增加判断:这个IP段正常通信的IP任意选择一个去四大天王进行检查,可以去对比两者之间的情况。IP被墙并不常见,因此在出现时往往会被判断为其他情况,需要在判断时多检查一下。
网络协议 -- IP、ICMP、TCP、UDP字段解析
sz66cm 学习随笔
06-27 531
网络协议 -- IP、ICMP、TCP、UDP字段解析。
linux 查看寄存器变化
06-06
4. **Linux内核模块**:如果你正在开发或研究内核模块,可以直接使用内核调试接口(如kprobe、kretprobe或kmalloc debugging)来监控寄存器变化。 5. **硬件级观察**:对于某些特定的硬件(如CPU、GPU),可能需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值