scrapy ip地址 tcp time out_kubernetes用户态TCP代理实现原理

最新推荐文章于 2022-09-14 20:38:34 发布
最新推荐文章于 2022-09-14 20:38:34 发布
阅读量154 收藏
点赞数
文章标签: scrapy ip地址 tcp time out
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39870413/article/details/111607761
版权
本文探讨了在Kubernetes环境中,如何实现用户态TCP代理,包括随机端口分配、TCP流量复制等关键技术。通过构建随机端口分配器,利用随机数生成算法选择未占用端口,并实现TCP代理的流量双向复制,确保服务间的连接建立和负载均衡。
摘要由CSDN通过智能技术生成

在k8s中针对service的访问通常基于kube proxy实现负载均衡,今天我们来探索下基于用户态的TCP代理组件的工业级实现核心设计, 其中包括随机端口生成器、TCP流复制等技术的核心实现

1. 基础筑基

今天主要是聊用户态的转发,而基于内核态的先不聊

1.1 流量重定向

b11cc1e74dd59a97bff5cfe31d27b802.png流量重定向通常是指通过内核的netfilter来对数据包进行拦截,将其定向到我们指定的端口,实现对流量的劫持,从而针对流量里面的一些数据包进行一些额外的处理,这个过程对应用来说是完全透明的

1.1.1 目的地址重定向

目的地址重定向是指将针对某个IP或者某个端口的流量,进行重定向,从而实现流量发送的处理,在kube proxy中主要是通过REDIRECT来实现

1.1.2 目标地址转换

目标地址转换主要是指针对REDIRECT出去返回的流量,需要做一个重定向操作,即将其地址返回给本地的代理服务,由本地的代理服务再去实现转发给真正的应用

1.2 TCP代理实现

e5f7b31f176ee599c41f98e310e603ed.png

1.2.1 随机端口

随机端口是指我们要为为对应的Service建立一个一个临时的代理服务器,该代理服务器需要随机选择一个本地端口进行监听

1.2.2 流复制

代理服务器需要将要本地服务发送的数据复制的目标服务, 同时接收目标服务返回的数据,复制给本地服务

2. 核心设计实现

2.1 随机端口分配器

61fdd81cdf263390c8b14f01e9cadb64.png

2.1.1 核心数据结构

分配器的核心数据结构主要是通过rand提供随机数生成器来进行端口的随机获取,并通过采用位计数方式来进行端口使用状态的记录, 获取的随机端口则会放入到ports中提供给进行端口的获取

type rangeAllocator struct {
    net.PortRange
    ports chan int    // 保存当前可用的随机端口
    used  big.Int    // 位计数,记录端口的使用状态
    lock  sync.Mutex
    rand  *rand.Rand // 随机数生成器,生成随机端口
}

2.1.2 构建随机分配器

随机分配器主要是构建rand随机数生成器通过当前的时间作为随机因子,并构建ports缓冲buffer,当前是16个

    ra := &rangeAllocator{
        PortRange: r,
        ports:     make(chan int, portsBufSize),
        rand:      rand.New(rand.NewSource(time.Now().UnixNano())),
    }

2.1.3 随机数发生器

随机数发生器主要是通过调用nextFreePort来进行随机端口的生成,并放入到ports chan中

func (r *rangeAllocator) fillPorts() {for {// 获取一个随机端口if !r.fillPortsOnce() {return
        }
    }
}func (r *rangeAllocator) fillPortsOnce() bool {
    port := r.nextFreePort() // 获取当前随机端口if port == -1 {return false
    }
    r.ports // 将获取的随机端口放入到缓冲buffer中return true
}

2.1.4 portrange

PortRange是指端口随机的范围,支持单个端口、min-max区间、min+offset区间三种设置方式, 通过其构建Base和Size参数,供算法使用

    switch notation {case SinglePortNotation:var port int
        port, err = strconv.Atoi(value)if err != nil {return err
        }
        low = port
        high = portcase HyphenNotation:
        low, err = strconv.Atoi(value[:hyphenIndex])if err != nil {return err
        }
        high, err = strconv.Atoi(value[hyphenIndex+1:])if err != nil {return err
        }case PlusNotation:var offset int
        low, err = strconv.Atoi(value[:plusIndex])if err != nil {return err
        }
        offset, err = strconv.Atoi(value[plusIndex+1:])if err != nil {return err
        }
        high = low + offsetdefault:return fmt.Errorf("unable to parse port range: %s", value)
    }
    pr.Base = low
    pr.Size = 1 + high - low

2.1.5 随机端口生成算法

随机端口的生成主要是通过先生成随机数,如果端口已经被使用,则会按照高低两个区间进行顺序搜索,直到找到未被占用的端口

func (r *rangeAllocator) nextFreePort() int {
    r.lock.Lock()defer r.lock.Unlock()// 随机选择port
    j := r.rand.Intn(r.Size)if b := r.used.Bit(j); b == 0 {
        r.used.SetBit(&r.used, j, 1)return j + r.Base
    }// search sequentially// 如果当前端口已经被占用,则从当前的随机数顺序递增查找,如果找到就将对应的bit位设置为1for i := j + 1; i < r.Size; i++ {if b := r.used.Bit(i); b == 0 {
            r.used.SetBit(&r.used, i, 1)return i + r.Base
        }
    }// 如果高端端口已经被占用则会从低地址开始顺序查找for i := 0; i < j; i++ {if b := r.used.Bit(i); b == 0 {
            r.used.SetBit(&r.used, i, 1)return i + r.Base
        }
    }return -1
}

2.2 TCP代理实现

1ac24dc177c7d1c7d0186d1bc0644153.png

2.2.1 核心数据结构

tcp代理实现上基于net.Listener构建一个tcp的监听器, port则是监听的地址

type tcpProxySocket struct {
    net.Listener
    port int
}

2.2.2 接收本地重定向流量构建转发器

tcp代理接收到链接请求,则会accept然后根据Service和loadbalancer算法选择一台后端pod来进行链接的建立,然后启动异步流量复制,实现流向的双向复制

func (tcp *tcpProxySocket) ProxyLoop(service proxy.ServicePortName, myInfo *ServiceInfo, loadBalancer LoadBalancer) {for {if !myInfo.IsAlive() {// The service port was closed or replaced.return
        }// 等待接收链接
        inConn, err := tcp.Accept()if err != nil {if isTooManyFDsError(err) {panic("Accept failed: " + err.Error())
            }if isClosedError(err) {return
            }if !myInfo.IsAlive() {// Then the service port was just closed so the accept failure is to be expected.return
            }
            klog.Errorf("Accept failed: %v", err)continue
        }
        klog.V(3).Infof("Accepted TCP connection from %v to %v", inConn.RemoteAddr(), inConn.LocalAddr())// 根据目标地址的信息和负载均衡算法来选则后端一台server进行链接的建立
        outConn, err := TryConnectEndpoints(service, inConn.(*net.TCPConn).RemoteAddr(), "tcp", loadBalancer)if err != nil {
            klog.Errorf("Failed to connect to balancer: %v", err)
            inConn.Close()continue
        }// 启动异步流量复制go ProxyTCP(inConn.(*net.TCPConn), outConn.(*net.TCPConn))
    }
}

2.2.3 TCP流量双向复制

TCP流量双向复制则是将流量进行双向的拷贝,通过io.Copy在底层完成从输入流和输出流的流量复制

func ProxyTCP(in, out *net.TCPConn) {var wg sync.WaitGroup
    wg.Add(2)
    klog.V(4).Infof("Creating proxy between %v  %v  %v  %v",
        in.RemoteAddr(), in.LocalAddr(), out.LocalAddr(), out.RemoteAddr())// 实现流量想的双向复制go copyBytes("from backend", in, out, &wg)go copyBytes("to backend", out, in, &wg)
    wg.Wait()
}func copyBytes(direction string, dest, src *net.TCPConn, wg *sync.WaitGroup) {defer wg.Done()
    klog.V(4).Infof("Copying %s: %s -> %s", direction, src.RemoteAddr(), dest.RemoteAddr())// 实现底层的流量的拷贝
    n, err := io.Copy(dest, src)if err != nil {if !isClosedError(err) {
            klog.Errorf("I/O error: %v", err)
        }
    }
    klog.V(4).Infof("Copied %d bytes %s: %s -> %s", n, direction, src.RemoteAddr(), dest.RemoteAddr())
    dest.Close()
    src.Close()
}

2.2.4 通过负载均衡与重试机制实现链接建立

建立链接时有两个核心的设计即sessionAffinity机制与超时重试机制亲和性机制:如果之前的亲和性链接存在依然有效,则会使用,如果发生断开,则需要重置亲和性超时重试机制:这里其实可以采用backoff机制来进行超时重试机制的实现

func TryConnectEndpoints(service proxy.ServicePortName, srcAddr net.Addr, protocol string, loadBalancer LoadBalancer) (out net.Conn, err error) {// 默认是不重置亲和性,即之前建立的亲和性链接此时依然有效
    sessionAffinityReset := false// EndpointDialTimeouts = []time.Duration{250 * time.Millisecond, 500 * time.Millisecond, 1 * time.Second, 2 * time.Second}// 是一种延迟重试机制,是一种等待重试的机制,减少因为网络不稳定导致的瞬间重试全部失败的情况for _, dialTimeout := range EndpointDialTimeouts {// 通过负载均衡算法和亲和性选择一台endpoint来进行链接
        endpoint, err := loadBalancer.NextEndpoint(service, srcAddr, sessionAffinityReset)if err != nil {
            klog.Errorf("Couldn't find an endpoint for %s: %v", service, err)return nil, err
        }
        klog.V(3).Infof("Mapped service %q to endpoint %s", service, endpoint)// 建立底层的链接
        outConn, err := net.DialTimeout(protocol, endpoint, dialTimeout)if err != nil {if isTooManyFDsError(err) {panic("Dial failed: " + err.Error())
            }
            klog.Errorf("Dial failed: %v", err)// 如果发生链接失败,则之前的亲和性则可能失败,此时就要重新进行选择节点进行链接
            sessionAffinityReset = truecontinue
        }return outConn, nil
    }return nil, fmt.Errorf("failed to connect to an endpoint.")
}

好了今天的内容就到这里,文章核心介绍了一种随机端口选择算法的实现,然后剖析了TCP代理的底层实现机制,其核心包括建立链接的亲和性、超时重试,以及TCP流量的复制技术的实现,今天就到这里,希望大家帮忙分享传播,让作者有继续分享写作的动力,谢谢大家

推荐阅读

  • K8S 中分布式负载均衡算法之亲和性轮询

喜欢本文的朋友,欢迎关注“Go语言中文网”:

d1c3014b464cd69cc09264a36096456f.png

Go语言中文网启用微信学习交流群,欢迎加微信:274768166

weixin_39870413
关注
python实现TCP代理 图文过程解析
jelly
06-06 1054
概述 最近在学习python黑帽编程,这篇文章的代码主要来自于这本书。至于为什么要自己写一个python代理,因为在渗透其它电脑时,其它电脑并不一定有burp之类的代理程序,这时候就需要自己写一个了。但对于我这种菜鸡来说熟悉python网络编程才是最大的作用。 proxy的实现原理如图 代码实现 import sys import socket import threading def request_handler(buffer): return buffer def respo
彻底搞懂 Scrapy 的中间件
墨鱼菜鸡
07-11 893
彻底搞懂Scrapy的中间件(一):https://www.cnblogs.com/xieqiankun/p/know_middleware_of_scrapy_1.html 彻底搞懂Scrapy的中间件(二):https://www.cnblogs.com/xieqiankun/p/know_middleware_of_scrapy_2.html 彻底...
tcp代理服务
12-09
用于实现端口转换,可以通过80等端口转换TCP通讯并绕过防火墙,同时也能把网络传输的数据截取到文本中,对于没有加密的传输来说,那么传输的内容就完全暴露在你眼皮上了..还可以在指定机器上运行通过端口转换作为代理服务器,即安全又能隐藏你暴露在Internet的网络端口
TCP协议实现原理
qq_37408567的博客
08-26 314
TCP协议是端到端的传输控制协议,之所以是“端到端”的协议,是因为”路由“是由IP协议负责的,TCP协议负责为两个通信端点提供可靠性保证,这个可靠性不是指一个端点发送的数据,另一个端点肯定能收到(这显然是不可能的),而是指,数据的可靠投递或者故障的可靠通知。 #### TCP的可靠性通过以下方式来保证: 1. 超时重传:TCP每发送出一个报文段后,都会启动一个定时器,对目的端传回的确认信息进行...
创建TCP代理
新博客:https://aping-dev.com/
01-16 2300
TCP代理可以将流量从一个主机转发给另一个主机,还可以起到类似Wireshark的作用,了解未知的协议,修改发送到应用的数据包。 main 读入命令行,解析,调用server_loop监听连接请求,当一个新的请求到达时,交给proxy_handler处理。 proxy_handler: 每接收1 bit数据,发送到目标远程主机。持续从本地读取数据、处理、发送到远程主机,从远程读取数据、处理、
tcpproxy实现
weixin_34249678的博客
03-23 143
2019独角兽企业重金招聘Python工程师标准>>> ...
Scrapy
casn_d的博客
02-08 952
Scrapy框架(一) 简介 Scrapy是纯Python开发的一个高效,结构化的网页抓取框架; Scrapy是一个为了爬取网站数据,提取结构性数据而编写的应用框架。 其最初是为了页面抓取 (更确切来说, 网络抓取 )所设计的,也可以应用在获取API所返回的数据(例如 Amazon Associates Web Services ) 或者通用的网络爬虫。 Scrapy用途广泛,可以用于数据挖掘、监测和自动化测试 Scrapy使用了Twisted 异步网络库来处理网络通讯。 使用原因: 1.为了更利于我们将精
TCP_IP协议栈及网络编程基础
介绍TCP/IP协议栈 TCP/IP协议栈是指传输控制协议/因特网协议(Transmission Control Protocol/Internet Protocol)的的分层体系结构,包括了链路层、网络层、传输层和应用层协议。它是互联网的基础架构,为网络中...
Python采集网站ip代理, 检测IP代理是否可用,构建自己的ip代理
Python_ku的博客
02-08 3004
开发环境 Python 3.8 Pycharm 模块使用 requests >>> pip install requests parsel >>> pip install parsel 代理ip结构 proxies_dict = { "http": "http://" + ip:端口, "https": "http://" + ip:端口, } 代码实现步骤: 1. 导入模块 # 导入数据请求模块 import requests # 数据请求模
基于Scapy的传统网络攻击实现
a1379292747的博客
09-14 3268
Scapy是一个由Python编写的强大工具,目前很多优秀的网络扫描攻击工具都使用了这个模块。也可以在自己的程序中使用这个模块来实现对网络数据包的发送、监听和解析。Scapy还是一个功能强大的交互式数据包操作程序。它能够伪造或解码大量协议的数据包,通过线路发送,捕获它们,匹配请求和回复等等。Scapy可以轻松处理大多数经典任务,如扫描,跟踪路由,探测,单元测试,攻击或网络发现。它可以取代hping,arpspoof,arp-sk,arping,甚至是Nmap,tcpdump和tshark的某些部分。
scapy使用教程,scapy可以仿造和解析大量协议类型的包
02-19
scapy是一个强大的交互式(interactive)的包操作程序,用python写的,有一个python的命令行解释器界面,可直接运行,当然也可以作为第三库,在我们的python程序中import进去使用它的类和方法。
TCP单边加速原理
12-27
TCP单边加速原理 核心部分就是对拥塞算法做优化。如慢启动,拥塞避免,快速重传,快速恢复等。
TCP代理应用
weixin_33709219的博客
06-12 759
为什么80%的码农都做不了架构师?>>> ...
分享一个使用python的scapy包来提取pcap文件中TCP数据包的标志位的代码
赵宗义的专栏
11-19 1805
如题所述,分享一个使用python的scapy包来提取pcap文件中TCP包的标志位的代码。 from scapy.all import * FIN = 0x01 SYN = 0x02 RST = 0x04 PSH = 0x08 ACK = 0x10 URG = 0x20 ECE = 0x40 CWR = 0x80 caida = "/home/zongyi/traces/CAID...
如何用Go实现一个tcp代理服务器
zg_hover的专栏
07-26 7188
概述 通过linux和C/C++来实现一个代理服务器并不是那么容易,不仅要考虑内存管理和性能,还需要考虑同步和线程/进程管理等问题。为了保证性能,有时候还需要考虑和被代理的服务器保持长连接,这样就需要对链接进行管理。那么使用Go来实现一个代理服务器会如何呢? 首先,通过Go来实现后台服务时至少有以下一些优势:协程可随用随起,内存管理和回收不需要自己来做。这样,再加上Go提供的一些工具函数,极大...
使用Python进行TCP数据包注入(伪造)
chengfangang的专栏
08-20 9721
数据包注入是对已经建立的网络连接通过构建任意协议(TCP…UDP…)然后用原始套接字发送的方式进行妨碍的过程,这种方法被广泛使用在网络渗透测试中,比如DDOS,端口扫描等。 一个数据包由IP头部信息、TCP/UDP头部信息和数据构成: Packet = IP Header + TCP/UDP Header + Data 大多数操作系统的socket API都支持包注入(尤其是基于Berkel
玩转网络-TCP代理-3
qq_29010757的博客
11-17 569
TCP代理 什么是代理 了解一下什么是Proxy? 当我们有三台机器,1号和2号没法互相通信,可能由于各种各样的网络原因没法通信,可能是内网机器被隔绝,也有可能是防火墙一些其他原因,而3号又能跟2号通信,也能跟1号通信,所以我们在2号上面运行TCP代理,把我们流量进行中转 设计代理 我们要先想一下,一个socket能同时与几个端进行通信呢?答案:2个 因为我一个send数据,一个recv数据,s...
scapy 解析pcap数据包笔记
abc
04-16 6277
scapy 解析pcap数据包笔记 1 from scapy.all import * def analyzePcap(filepath): s1 = PcapReader(filepath) # data 是以太网 数据包 data = s1.read_packet() ip_packet = data.payload icmp_packet = ip_packet.payload payload = icmp_packet.payload
scrapy爬虫遇到TCP connection timed out: 10060怎么解决
最新发布
04-24
出现TCP connection timed out: 10060错误通常是由于请求被防火墙拦截或目标服务器无法响应,网速过慢等原因引起的。要解决这个问题,可以尝试以下方法: 1. 检查网络连接是否正常,确保没有网络故障。 2. 检查目标服务器是否正常工作。可以尝试使用ping命令测试它是否能响应。 3. 尝试使用代理服务器,避免请求被防火墙拦截。 4. 增加连接超时时间,让爬虫等待更长的时间以获取响应。 5. 减少并发请求数量,以降低请求被拦截的概率。 以上是一些常见的解决方法,根据具体情况可能还需要采取其他措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值