linux内核不支持 分片包,LINUX内核中Netfilter Hook的使用

最新推荐文章于 2023-03-07 14:23:14 发布
最新推荐文章于 2023-03-07 14:23:14 发布
阅读量207 收藏 1
点赞数
文章标签: linux内核不支持 分片包

2.6内核中netfilter hook点一览

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。

msn:

来源:http://yfydz.cublog.cn

1. 5个挂接点

以下内核代码版本2.6.17.11。

1.1 PREROTING

/* net/ipv4/ip_input.c */

int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)

{

......

return NF_HOOK(PF_INET, NF_IP_PRE_ROUTING, skb, dev, NULL,

ip_rcv_finish);

......

}

1.2 INPUT

/* net/ipv4/ip_input.c */

int ip_local_deliver(struct sk_buff *skb)

{

......

return NF_HOOK(PF_INET, NF_IP_LOCAL_IN, skb, skb->dev, NULL,

ip_local_deliver_finish);

}

1.3 FORWARD

/* net/ipv4/ip_forward.c */

int ip_forward(struct sk_buff *skb)

{

......

return NF_HOOK(PF_INET, NF_IP_FORWARD, skb, skb->dev, rt->u.dst.dev,

ip_forward_finish);

......

}

1.4 OUTPUT

/* net/ipv4/ip_output.c */

int ip_build_and_send_pkt(struct sk_buff *skb, struct sock *sk,

u32 saddr, u32 daddr, struct ip_options *opt)

{

......

return NF_HOOK(PF_INET, NF_IP_LOCAL_OUT, skb, NULL, rt->u.dst.dev,

dst_output);

}

int ip_queue_xmit(struct sk_buff *skb, int ipfragok)

{

......

return NF_HOOK(PF_INET, NF_IP_LOCAL_OUT, skb, NULL, rt->u.dst.dev,

dst_output);

......

}

int ip_push_pending_frames(struct sock *sk)

{

......

/* Netfilter gets whole the not fragmented skb. */

err = NF_HOOK(PF_INET, NF_IP_LOCAL_OUT, skb, NULL,

skb->dst->dev, dst_output);

......

}

1.5 POSTROUTING

/* net/ipv4/ip_output.c */

int ip_output(struct sk_buff *skb)

{

struct net_device *dev = skb->dst->dev;

IP_INC_STATS(IPSTATS_MIB_OUTREQUESTS);

skb->dev = dev;

skb->protocol = htons(ETH_P_IP);

return NF_HOOK_COND(PF_INET, NF_IP_POST_ROUTING, skb, NULL, dev,

ip_finish_output,

!(IPCB(skb)->flags & IPSKB_REROUTED));

}

2. 每个挂接点所挂接的hook操作

只考虑是AF_INET协议族的挂接点,以下各点的hook操作按执行顺序排序,优先级数值越小,级别越高,执行顺序越靠前。

如果用户可以通过iptables规则进行控制的处理点称为用户可控,否则为不可控。

2.1 PREREOUTING

/* net/bridge/br_netfilter.c */

// 这个hook点只丢弃skb结构中设置桥参数但没有相关桥标志的包

// 用户不可控

{ .hook = ip_sabotage_in,

.owner = THIS_MODULE,

.pf = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

// 优先级最高

.priority = NF_IP_PRI_FIRST,

},

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 这个hook点完成分片重组,以后处理过程中的包都是非分片包

// 直到发送出去重新分片。注意2.6重组后的分片包并不进行线性

// 化,所以逻辑上应该连在一起的两字节数据可能分属不同的页,

// 存储是不连续的

// 该点操作用户不可控

{

.hook  = ip_conntrack_defrag,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

// 优先级为-400

.priority = NF_IP_PRI_CONNTRACK_DEFRAG,

},

/* net/ipv4/netfilter/iptable_raw.c */

// 这个hook点为raw表,提供对收到的数据包在连接跟踪前进行处理的手段

// 该点用户可加载iptables规则进行控制

{

.hook = ipt_hook,

.pf = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

// 优先级为-300

.priority = NF_IP_PRI_RAW,

.owner = THIS_MODULE,

},

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 这个hook点完成连接跟踪,为每个skb找到所属连接(ESTABLISHED, REPLY)

// 或新建连接(NEW, RELATED)

// 该点操作用户不可控

{

.hook  = ip_conntrack_in,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

// 优先级为-200

.priority = NF_IP_PRI_CONNTRACK,

},

/* net/ipv4/netfilter/iptable_mangle.c */

// 这个hook点为mangle表,提供对收到的数据包进行修改的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_route_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

// 优先级为-150

.priority = NF_IP_PRI_MANGLE,

},

/* net/ipv4/netfilter/ip_nat_standalone.c */

// 该hook点对刚收到本机的skb包进行目的NAT操作

// 用户规则可控,nat表,但规则只对NEW包进行处理,后续包自动处理

{

.hook  = ip_nat_in,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

// 优先级为-100

.priority = NF_IP_PRI_NAT_DST,

},

/* net/sched/sch_ingress.c */

// 该hook点对j进入本机的skb包进行排队处理,QoS操作

// 用户不可控

static struct nf_hook_ops ing_ops = {

.hook           = ing_hook,

.owner  = THIS_MODULE,

.pf             = PF_INET,

.hooknum        = NF_IP_PRE_ROUTING,

// 优先级为1

.priority       = NF_IP_PRI_FILTER + 1,

};

2.2 INPUT

/* net/ipv4/netfilter/iptable_mangle.c */

// 这个hook点为mangle表,提供对收到的数据包进行修改的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_route_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_IN,

// 优先级为-150

.priority = NF_IP_PRI_MANGLE,

},

/* net/ipv4/netfilter/iptable_filter.c */

// 这个hook点为filter表,提供对进入本机的数据包进行过滤的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_IN,

// 优先级为0

.priority = NF_IP_PRI_FILTER,

},

/* net/ipv4/netfilter/ip_nat_standalone.c */

// 对进入本机的skb包进行源NAT操作

// 用户规则可控,nat表,但规则只对NEW包进行处理,后续包自动处理

{

.hook  = ip_nat_fn,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_IN,

// 优先级为100

.priority = NF_IP_PRI_NAT_SRC,

},

/* net/ipv4/ipvs/ip_vs_core.c */

// 该hook点对进入本机的skb包均衡分配

// 用户不可控

static struct nf_hook_ops ip_vs_in_ops = {

.hook  = ip_vs_in,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum        = NF_IP_LOCAL_IN,

.priority       = 100,

};

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 该hook点对进入本机的skb包完成对连接跟踪的help,也就是

// 多连接协议中对子连接的处理

// 用户不可控

{

.hook  = ip_conntrack_help,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_IN,

// 优先级为INT_MAX-2,相当低

.priority = NF_IP_PRI_CONNTRACK_HELPER,

},

/* net/ipv4/netfilter/ip_nat_standalone.c */

// 对进入本机的skb包进行TCP序列号调整操作,主要是因为跟踪多连接协议时

// 修改了数据包内容可能导致数据包长度发生变化,相应序列号和确认号需要

// 自动调整

// 用户规则不可控

{

.hook  = ip_nat_adjust,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_IN,

// 优先级为INR_MAX-1,相当低

.priority = NF_IP_PRI_NAT_SEQ_ADJUST,

},

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 该hook点对进入本机的skb包完成最后的确认,只对NEW包处理

// 确认NEW的连接信息在当前的连接表中是不存在的

// 用户不可控

{

.hook  = ip_confirm,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_IN,

// 优先级为INT_MAX,最低

.priority = NF_IP_PRI_CONNTRACK_CONFIRM,

},

2.3 FORWARD

/* net/bridge/br_netfilter.c */

// 这个hook点对由桥网卡转发的skb包设置桥信息和物理网卡等信息

// 该函数可能会返回NF_STOP不进行后续hook点的处理

// 用户不可控

{ .hook = ip_sabotage_out,

.owner = THIS_MODULE,

.pf = PF_INET,

.hooknum = NF_IP_FORWARD,

// 优先级为-175

.priority = NF_IP_PRI_BRIDGE_SABOTAGE_FORWARD,

},

/* net/ipv4/netfilter/iptable_mangle.c */

// 这个hook点为mangle表,提供对收到的数据包进行修改的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_route_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_FORWARD,

// 优先级为-150

.priority = NF_IP_PRI_MANGLE,

},

/* net/ipv4/netfilter/iptable_filter.c */

// 这个hook点为filter表,提供对转发的数据包进行过滤的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_FORWARD,

// 优先级为0

.priority = NF_IP_PRI_FILTER,

},

/* net/ipv4/ipvs/ip_vs_core.c */

// 该hook点对转发的skb包均衡分配前处理ICMP异常

// 用户不可控

static struct nf_hook_ops ip_vs_forward_icmp_ops = {

.hook  = ip_vs_forward_icmp,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum        = NF_IP_FORWARD,

.priority       = 99,

};

/* net/ipv4/ipvs/ip_vs_core.c */

// 该hook点对转发的skb包均衡分配

// 用户不可控

static struct nf_hook_ops ip_vs_out_ops = {

.hook  = ip_vs_out,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum        = NF_IP_FORWARD,

.priority       = 100,

};

3.4 OUTPUT

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 这个hook点对自身发出的包完成分片重组,以后处理过程中的包都是非分片包

// 直到最后发送出去重新分片。注意2.6重组后的分片包并不进行线性

// 化,所以逻辑上应该连在一起的两字节数据可能分属不同的页,

// 存储是不连续的

// 该点操作用户不可控

{

.hook  = ip_conntrack_defrag,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_OUT,

// 优先级为-400

.priority = NF_IP_PRI_CONNTRACK_DEFRAG,

},

/* net/ipv4/netfilter/iptable_raw.c */

// 这个hook点为raw表,提供对本机发出数据包在连接跟踪前进行处理的手段

// 该点用户可加载iptables规则进行控制

{

.hook = ipt_hook,

.pf = PF_INET,

.hooknum = NF_IP_LOCAL_OUT,

// 优先级为-300

.priority = NF_IP_PRI_RAW,

.owner = THIS_MODULE,

},

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 这个hook点对自身发出的包完成连接跟踪,为每个skb找到所属连接

// (ESTABLISHED, REPLY)或新建连接(NEW, RELATED)

// 该点操作用户不可控

{

.hook  = ip_conntrack_local,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_OUT,

// 优先级为-200

.priority = NF_IP_PRI_CONNTRACK,

},

/* net/ipv4/netfilter/iptable_mangle.c */

// 这个hook点为mangle表,提供对收到的数据包进行修改的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_local_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_OUT,

// 优先级为-150

.priority = NF_IP_PRI_MANGLE,

},

/* net/ipv4/netfilter/ip_nat_standalone.c */

// 对本机发出的skb包进行目的NAT操作

// 用户规则可控,nat表,但规则只对NEW包进行处理,后续包自动处理

{

.hook  = ip_nat_local_fn,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_OUT,

// 优先级为-100

.priority = NF_IP_PRI_NAT_DST,

},

/* net/bridge/br_netfilter.c */

// 这个hook点对由桥网卡发出的skb包设置桥信息和物理网卡等信息

// 该函数会返回NF_STOP,提前终止检查而返回

// 用户不可控

{ .hook = ip_sabotage_out,

.owner = THIS_MODULE,

.pf = PF_INET,

.hooknum = NF_IP_LOCAL_OUT,

// 优先级为-50

.priority = NF_IP_PRI_BRIDGE_SABOTAGE_LOCAL_OUT,

},

/* net/ipv4/netfilter/iptable_filter.c */

// 这个hook点为filter表,提供对本机发出的数据包进行过滤的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_local_out_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_LOCAL_OUT,

// 优先级为0

.priority = NF_IP_PRI_FILTER,

},

2.5 POSTROUTING

/* net/bridge/br_netfilter.c */

// 这个hook点对由桥网卡发出的skb包设置桥信息和物理网卡等信息

// 该函数会返回NF_STOP,提前终止检查而返回

// 用户不可控

{ .hook = ip_sabotage_out,

.owner = THIS_MODULE,

.pf = PF_INET,

.hooknum = NF_IP_POST_ROUTING,

// 优先级最高

.priority = NF_IP_PRI_FIRST, },

/* net/ipv4/netfilter/iptable_mangle.c */

// 这个hook点为mangle表,提供对收到的数据包进行修改的处理

// 该点用户可加载iptables规则进行控制

{

.hook  = ipt_route_hook,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_POST_ROUTING,

// 优先级为-150

.priority = NF_IP_PRI_MANGLE,

},

/* net/ipv4/ipvs/ip_vs_core.c */

// 该hook点对IPVS本身的控制包直接返回NF_STOP不进行后续hook点处理

// 用户不可控

static struct nf_hook_ops ip_vs_post_routing_ops = {

.hook  = ip_vs_post_routing,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum        = NF_IP_POST_ROUTING,

// 优先级为99

.priority       = NF_IP_PRI_NAT_SRC-1,

};

/* net/ipv4/netfilter/ip_nat_standalone.c */

// 对本机发出的skb包进行源NAT操作

// 用户规则可控,nat表,但规则只对NEW包进行处理,后续包自动处理

{

.hook  = ip_nat_out,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_POST_ROUTING,

// 优先级为100

.priority = NF_IP_PRI_NAT_SRC,

},

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 该hook点对转发的skb包完成对连接跟踪的help,也就是

// 多连接协议中对子连接的处理

// 用户不可控

{

.hook  = ip_conntrack_help,

.owner  = THIS_MODULE,

.pf  = PF_INET,

// 优先级为INT_MAX-2,相当低

.hooknum = NF_IP_POST_ROUTING,

.priority = NF_IP_PRI_CONNTRACK_HELPER,

},

/* net/ipv4/netfilter/ip_nat_standalone.c */

// 对发出本机的skb包进行TCP序列号调整操作,主要是因为跟踪多连接协议时

// 修改了数据包内容可能导致数据包长度发生变化,相应序列号和确认号需要

// 自动调整

// 用户规则不可控

{

.hook  = ip_nat_adjust,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_POST_ROUTING,

// 优先级为INR_MAX-1,相当低

.priority = NF_IP_PRI_NAT_SEQ_ADJUST,

},

/* net/ipv4/netfilter/ip_conntrack_standalone.c */

// 该hook点对进入本机的skb包完成最后的确认,只对NEW包处理

// 确认NEW的新连接信息在当前的连接表中是不存在的

// 用户不可控

{

.hook  = ip_confirm,

.owner  = THIS_MODULE,

.pf  = PF_INET,

.hooknum = NF_IP_POST_ROUTING,

// 优先级为INT_MAX,最低

.priority = NF_IP_PRI_CONNTRACK_CONFIRM,

},

3. 结论

由此可见,即使内核不支持bridge,

ipvs和sched,一个转发包通过netfilter时也会经过12个处理点的处理,任何一点的拒绝都会使该包丢弃,在各点的控制处理功能可以高度集

中,象流水线的各个环节一样。如果能用多核处理器能让比较费资源的点单独跑一个核,各个核的处理结果进行流水线,系统效率的提升肯定会很高,可惜这种

AMP处理还是"Mission

impossible",当前的SMP处理方式只会使netfilter架构效率很低,什么时候可以把“im”去掉还要等待。

weixin_39552874
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux内核学习笔记------ip报文的分片
tym8865的专栏
12-29 8582
对网络比较熟悉的童鞋都知道,当发送的ip报文长度超出了最大的传输单位MTU,且允许分片的情况下,就会对ip报文进行分片。在上层要发送数据时就会调用dst_output,dst_output就会调用ip_output,而ip_output就会调用ip_finish_output,在ip_finish_output把数据发送出去之前就会判断该报文是否进行分片。 static int ip_finis
Linux netfilter 学习笔记 之二 ip 层netfilterhook 注册以及执行hook函数的概要分析
lickylin的专栏
06-21 8995
上一节分析了hook机制,本节简单介绍下三层防火墙借助hook机制,实现的总体框架   1 三层netfilter hook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptablesfilter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1 f
Linux netfilter源码分析(4)
venoy4806的专栏
01-06 1272
四、nf_hook_ops 钩子的注册在filter表的初始化函数static int __init init(void)除了有一个nf_register_hook函数注册一个tables外,还由nf_register_hook函数注册了3个hook 4.1        nf_hook_ops数据结构 netfilter.hstruct nf_hook_ops{     
nf_hook_ops 钩子的注册
甜咖啡的专栏
05-18 1152
nf_hook_ops 钩子的注册 在filter表的初始化函数static int __init init(void)除了有一个nf_register_hook函数注册一个tables外,还由nf_register_hook函数注册了3个hook   1    nf_hook_ops数据结构 netfilter.h struct nf_hook_ops {         stru
Linux 内核网络栈分析: 接收数据
嵌入式Linux内核的博客
12-20 832
本文基于内核3.13,驱动采用 igb 作为参考来熟悉流程[1]。对于RSS/多队列,通过对packet头(五元组,可修改)做哈希选择对应的RX如果RX 队列有足够的帧,会通过 DMA 写入到内存触发配置的硬断处理函数,将 napi_struct 放入到 perCPU 的 softnet_data,其唤醒软断处理函数执行NAPI处理循环。
Linux网络数据处理Netfilterhook
haoyuxuanyuan的博客
03-07 993
  Netfilter是一个用于Linux操作系统的网络过滤框架,它提供了一种在Linux内核处理网络数据的机制。Netfilter允许Linux管理员通过定义一组规则来控制网络数据的流动,例如阻止或允许某些IP地址或端口的数据通过。这种过滤机制可以用于网络安全、流量控制和网络监控等应用。 Netfilter的核心是iptables,它是一个命令行工具,可用于在Linux系统配置Netfilter规则。iptables提供了一组命令,使管理员可以定义、修改、删除和显示规则集。这些规则集可以被用于控
arptable_filter.rar_hook ip_netfilter_netfilter a_内核HOOK
09-19
Netfilter内核源代码,可以作为研究ARP,IP的HOOK的前提。
netfilter hook 注册,调用示例
08-17
Linux4.x内核编程实战——netfilter hook 注册,调用示例.nf_hook_ops,nf_register_net_hook, nf_unregister_net_hook 使用
Linux防火墙内核NetfilterIptables的分析
06-02
文章在 Linux 相关源码的基础上对 Linux 内核防火墙框架 Netfilter/Iptables 进行了研究, 并利用HOOK 函数, 实现了对 Land 和 Winnuke 攻击的检测。
深入理解linux核心堆栈
04-07
介绍netfilter的基本应用,以及Linux的核心堆栈,最后介绍了hook函数的应用。
2.6.30内核Netfilter的简单例子(DropAll)
09-11
模块的功能是丢弃所有的进入内核的IP数据,够邪恶吧?!嘿嘿。 教程地址:http://blog.csdn.net/sahusoft/archive/2009/09/11/4540886.aspx
linux内核 ip分片,linux内核ip分片函数ip_fragment解析
weixin_42204453的博客
04-30 333
int ip_fragment(struct sk_buff *skb, int (*output)(struct sk_buff *)){struct iphdr *iph;int raw = 0;int ptr;struct net_device *dev;struct sk_buff *skb2;unsigned int mtu, hlen, left, len, ll_rs, pad;in...
Linux如何设置数据分片,Linux如何设置wifi
weixin_39643244的博客
05-12 408
满意答案iwconfigiwconfig是Linux Wireless Extensions(LWE)的用户层配置工具之一。LWE是Linux下对无线网络配置的工具,内核支持、用户层配置工具和驱动接口的支持三部分。目前很多无线网卡都支持LWE,而且主流的Linux发布版本,比如Redhat Linux、Ubuntu Linux都已经带了这个配置工具。用法: iwconfig interfac...
linux 内核 丢弃分片,LINUX内核关于IP分片重组问题请教
weixin_34094282的博客
05-03 342
最近研究学习IP分片重组,也拜读了不少dx的阅读理解。可还是有疑问,请教xdm。源代码:linux-2.4.26\linux-2.4.26\net\ipv4\ip_fragment.cIP分片的重组大概经过以下几个函数:0/ ip_defrag1/ ip_find-->ip_frag_create-->ip_frag_intern2/ ip_frag_queue3/ ip_frag_r...
TCP/IP协议与重组原理介绍、分片偏移量的计算方法、IPv4报文格式
热门推荐
运维派大星
08-07 1万+
本文章讲述了什么是IP分片、为什么要进行IP分片、以及IP分片的原理及分析。分片的偏移量的计算方法,一个IPv4前三个分片的示例。还讲述了IPv4表示字段的作用,标志位在IP首部的格式以及各个标志的意义:.........
linux设置socket禁止IP分片
无聊星期三的博客
07-19 6831
背景 UDP在传输过程,如果对端机器的MTU小于1500,结果你发出去的其实加上乱七八糟的头,刚好1500,本来是能被对端机器收到的,结果好巧不巧,刚好这个机器发出去的,默认不允许分,结果发出去全部被丢掉了。。。。。 分的标志位位于IP报头,有一个DF(Don’t Fragment)标志位,如果该标志为1,则禁止分,就会导致MTU不是1500的机器,丢弃掉一些UDP。 如何设置允许分 直接设置IP_DONTFRAG可以实现 int val = 0; setsockopt(sd, IPPR
linux 内核 丢弃分片,Linux发不出分片的问题分析
weixin_39864261的博客
05-03 329
今日有个网络攻击模拟需求,要打分片的ip,程序写好了,在开发机上验证也没问题,然后部署到沙盒环境之后不行,就是发不出来数据,而不分片的数据能够正常发送,定位过程如下1.对比了两台机器/proc/sys/net/ipv4下的ip相关参数的值,都一样,忽略了因为ipfrag相关设置带来的影响。2. 查看dmesg、/var/log/messages,没有什么异常的日志。3. 查看netstat ...
Linux内核网络部分---IP数据报文分片重组
逝去的浪花
03-30 9885
Linux内核2.6,网络部分,IP数据报分片与重组
linux内核CONFIG_BRIDGE_NETFILTER配置
最新发布
07-27
Linux 内核的 CONFIG_BRIDGE_NETFILTER 配置是用于启用或禁用桥接网络过滤功能的选项。当启用此配置时,Linux 内核支持在桥接设备上应用网络过滤规则。 具体来说,当 CONFIG_BRIDGE_NETFILTER 被启用时,桥接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值