Android系统中iptables的应用(二)BandwidthController

最新推荐文章于 2024-05-29 15:15:51 发布
最新推荐文章于 2024-05-29 15:15:51 发布
阅读量9.8k 收藏 11
点赞数
分类专栏: Android 文章标签: android iptables android bandwidth android bandwidthcon
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokeweng/article/details/48810049
版权
个人邮箱:xiaokeweng@gmail.com  欢迎大家直接发邮件给我共同交流学习
      BandwidthController字面意思是带宽控制,实际模块实现的是监控系统数据流量使用情况的,主要分为流量阈值提醒(alert),流量使用上限(limite),限制app后台流量等。因android系统演进,最初设计的命令和相关功能已经不再使用,所以,如下是在android5.0系统中,据framework层保留在用的API,得出全部在用的bandwidth相关Netd cmd
bandwidth        enable|disable
removeiquota|riq<iface>
setiquota|sq<interface><bytes>
addnaughtyapps|ana<appUid...>
removenaughtyapps|rna<appUid...>
setgolbalalert|sga<bytes>cd ..
setinterfacealert|sia<iface><bytes>
removeinterfacealert|ria<iface>
gettetherstats|gts<iface0><iface1>
      接下来根据系统启动,到相关功能使用时code运行流程和iptables规则的改动来分析,只对相关功能的enable进行分析,相对应的disable的反向操作省略。
(1)Netd.CommanderListener初始化后
 
    createChildChains(V4V6, "filter", "INPUT", FILTER_INPUT); 
    createChildChains(V4V6, "filter", "FORWARD", FILTER_FORWARD); 
    createChildChains(V4V6, "filter", "OUTPUT", FILTER_OUTPUT); 
    sBandwidthCtrl->setupIptablesHooks(); 
    sBandwidthCtrl->enableBandwidthControl(false);
filter表:
  //分别创建3条子链,位置正是filter表可挂的INPUT/OUTPUT/FORWARD三条链
  -N bw_FORWARD
  -N bw_INPUT
  -N bw_OUTPUT
  //创建3条子链,costly表付费iface一般就是常规的数据流量,
  //happy_box与penalty_box规则就是针对限制app的UID的黑白名单规则,
  //happy_box已不再使用,shared这条链原本是用做各条costly_[iface]链汇总路线  
  -N bw_costly_shared
  -N bw_happy_box
  -N bw_penalty_box
  //添加默认jump规则,保证创建的子链中的规则被遍历
  -A INPUT -j bw_INPUT
  -A FORWARD -j bw_FORWARD
  -A OUTPUT -j bw_OUTPUT
  //tracking rule没啥作用
  -A bw_INPUT -m owner --socket-exists
  -A bw_OUTPUT -m owner --socket-exists

mangle表:
  //tracking rule
  -N bw_mangle_POSTROUTING
  -A POSTROUTING -j bw_mangle_POSTROUTING
  -A bw_mangle_POSTROUTING -m owner –socket-exists

raw表:
  //tracking rule
  -N bw_raw_PREROUTING
  -A PREROUTING -j bw_raw_PREROUTING
  -A bw_raw_PREROUTING -m owner --socket-exists
(2)Framework SystemReady后 
    sBandwidthCtrl->enableBandwidthControl(true);
    sBandwidthCtrl->setGlobalAlert([argv]);
会在filter表新增2条规则:
-A bw_INPUT -m quota2 ! --name globalAlert  --quota 2097152
-A bw_OUTPUT -m quota2 ! --name globalAlert  --quota 2097152

   默认2M(2097152)的alert流量计数,动态记录在/proc/net/xt_quota/globalAlert中,随经过该链的的数据包增加计数递减,减到0后触发netlink事件,netd来handle并上报给framework,触发framework去pollstate并重新更新规则中的alert计数,这两条规则的意义并不是策略性,只是循环触发framework和native的相关记录func的update。
(3) 开启手机的流量: 
    sBandwidthCtrl->setInterfaceQuota([iface], [java.Long.MAX_value = 9223372036854775807]);
在filter表中新增加表&规则:
-N bw_costly_ccmni0
-A bw_FORWARD -o ccmni0 -j bw_costly_ccmni0
-A bw_INPUT -i ccmni0 -j bw_costly_ccmni0
-A bw_OUTPUT -o ccmni0 -j bw_costly_ccmni0
-A bw_costly_ccmni0 -j bw_penalty_box
-A bw_costly_ccmni0 -m quota2 ! --name ccmni0  --quota 9223372036854775807  -j REJECT --reject-with icmp-port-unreachable

    以上新增加的规则实现了,经过ccmni0的数据统计,要经过链bw_penalty_box ,为实现黑名单的功能铺垫经过ccmni0的数据超过 9223372036854775807,将会直接reject掉数通过该链的所有据包。 这个计数记录在/proc/net/xt_quota/ccmni0中,是int64最大值,很难到达,而且计数会一直被framework来更新回2的64方,所以不用担心reject被触发。
(4)在setting设置界面开启流量超值提醒(alert): 
    sBandwidthCtrl->setGlobalAlert([argv]);
在filter表中新增加规则:
-A bw_INPUT -m quota2 ! --name globalAlert  --quota 131072
-A bw_OUTPUT -m quota2 ! --name globalAlert  --quota 131072

   只是更改了globalAlert的数值,从默认的2M改为经过逻辑计算后的数值,以setting中选择的值为输入,经过如下framework中的逻辑MathUtils.constrain(setting_val/1000,128KB,2MB)转换后,写入globalAlert中。例如设置20M超值提醒,globalAlert设置为128K,设置1G提醒,globalAlert设为1M。计算的逻辑是设置恰当的阈值节点触发framework和native中相关记录的循环update。在update的过程中framework会去比较setting中设置的流量阈值和当前流量使用值(记录在/proc/net/xt_qtaguid下)
(5) 在setting设置界面开启流量超值提醒(limite): 
    sBandwidthCtrl->setInterfaceQuota([iface], argv));
在filter表中新增加规则:
-A bw_costly_ccmni1 -m quota2 ! --name ccmni1  --quota 25694376  -j REJECT --reject-with icmp-port-unreachable
                                                        
    加入流量上限规则,本例中设置25M上限,超过后流量不可以使用,任何经过该链的数据包都会被reject掉,具体是将封包protocal改为icmp的port-unreachable并返回给发送端。
(6) 在setting中禁用个别应用的后台流量(naughtapps): 
        sBandwidthCtrl->addNaughtyApps([appUids]...);
在filter表中新增加规则:
    -A bw_penalty_box -m owner --uid-owner 10023 -j REJECT --reject-with icmp-port-unreachable

      这里针对一个或者多个UID参数来禁用个别应用的后台数据使用,关于所有应用的UID信息可以在package.xml中查:/data/system/packages.xml,注意,以上这条规则是禁用全部由UID=10023数据流量请求,那么关于应用是否处于foreground/background是由framework进行判断的,也就是当应用处于foreground的时候,这条规则会被remove掉,不用担心应用无法使用流量。
关于android的扩展match功能可以quota2的帮助文档,参考如下手册:
$ adb shell iptables -m -quota2 -h
quota match options:
    --grow           provide an increasing counter
    --no-change      never change counter/quota value for matching packets
    --name name      name for the file in sysfs
[!] --quota quota    initial quota (bytes or packets)
    --packets        count packets instead of bytes

$ adb shell iptables -m owner -h
owner match options:
[!] --uid-owner userid[-userid]      Match local UID
[!] --gid-owner groupid[-groupid]    Match local GID
[!] --socket-exists                  Match if socket exists
xiaokeweng
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bandwidth Controller实现局域网带宽控制
weixin_34378969的博客
11-09 87
Bandwidth Controller实现局域网带宽控制 很多做网络管理的朋友都知晓微软的ISA Serve防火墙,在ISA Server 2000,带宽管理功能是通过设置优先级来实现,但是管理员更多的是希望限制用户可以使用的实时带宽,并且ISA Server 2000的带宽管理功能难以理解和部署,所以在ISA Server 2004,微软...
Android下的 iptables命令的用法
babytiger的专栏
06-16 4494
A.“四表”是指,iptables的功能——filter, nat, mangle, raw.    filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的链路有input, forward, output    nat, 控制数据包地址转换,可以控制的链路有prerouting, input, output, postrouting    mangle,修改数据包的原数据,可以控制的链路有prerouting, input, forward, output
Android bw_costly_<iface>链
最新发布
dreamfly130的博客
05-29 522
下一步分析数据业务开关后,是什么流程触发NatworkManagementService的setInterfaceQuota和removeInterfaceQuota的调用。开关数据业务测试,果然关闭数据业务后,bw_OUTPUT不再会调用bw_costly_rmnet_data3,也没有bw_costly_rmnet_data3这个链了。再次打开数据业务后出现了bw_costly_rmnet_data2。说明上次上网的rmnet_data3口,这此上网的rmnet_data2。猜测这个链是动态生成的。
netd模块工作流程
Android framework
03-28 1699
第2章 深入理解Netd 本章所涉及的源代码文件名及位置 ·main.cpp system/ netd/ main.cpp ·NetlinkManager.cpp system/ netd/ NetlinkManager.cpp ·NetlinkHandler.cpp system/ netd/ NetlinkHandler.cpp ·CommandListener.cpp system/ netd/ CommandListener.cpp ·DnsProxyListener.cpp system/ net
NetworkManagementService介绍
人工智能
04-11 8809
本文为《深入理解Android Wi-Fi、NFC和GPS卷》读书笔记,Android源码为Android 5.1 NetworkManagementService(以后简称 NMService)将通过 netd socket 和 Netd 交互: android-5.1/frameworks/base/services/java/com/android/server/SystemServ
android流量防火墙iptables原理详解
08-27
Android 流量防火墙是一种基于 Iptables 的防火墙解决方案,旨在限制单个应用的联网状态。Iptables 是一个功能强大的 IP 信息包过滤系统,可以用于添加、编辑和删除规则,这些规则是在做信息包过滤决定时,防火墙所...
Linux系统Iptables在网络安全应用.pdf
09-06
Linux系统Iptables在网络安全应用.pdf
详解Android 利用Iptables实现网络黑白名单(防火墙)
08-27
主要介绍了详解Android 利用Iptables实现网络黑白名单(防火墙),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
操作系统安全:iptables工具.pptx
06-01
iptables;iptables工具;iptables工具;iptables工具;iptables工具;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;NATTable的...
基于iptablesAndroid手机防火墙.zip
05-11
Android是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的移动操作系统,主要应用于移动设备,如智能手机和平板电脑。该系统最初由安迪·鲁宾开发,后被Google公司收购并注资,随后与多家硬件制造商、软件...
bandwidth-android:带宽Android SDK
03-26
带宽Android SDK 带宽Android SDK可以轻松快捷地在您的Android应用构建出色的音频和视频体验。 我们提供工具来释放带宽的音频和视频网络的功能。 安装 要求 安卓 入门 class WebRTCService implements RTCBandwidthDelegate { RTCBandwidth bandwidth; public WebRTCService ( Context context ) throws URISyntaxException { bandwidth = new RTCBandwidthClient (context, this ); bandwidth . setOnConnectListener(() - > { // Start requesting to p
ANR常见场景分析策略
cmyperson的博客
07-15 3721
定义 主线程在特定的时间内没有做完特定的事情 常见的场景 A.input事件超过5S没有处理完成 B.service executing 超时(bind,create,start,unbind等等),前台20s,后台200s C.广播处理超时,前台10S,后台60s D.ContentProvider执行超时,20s 常见的原因 A.耗时操作,如复杂的layout,庞大的for循环,IO等。 B.被Binder 对端block C.被子线程同步锁b
Android网络安全:Netfilter与iptables
蓝精灵的专栏
05-31 664
Android 4.4.4 1、Netfilter与iptables关系 Netfilter: http://www.netfilter.org/: Netfilter is a framework provided by the Linux kernel that allows various networking-related operations to be im...
第十一篇 ANDROID 系统网络连接和管理机制与架构
热门推荐
固弘的专栏
09-03 2万+
一  网络连接功能介绍       ANDROID 系统网络连接和管理服务由四个系统服务ConnectivityService、NetworkPolicyManagerService、NetworkManagementService、NetworkStatsService共同配合完成网络连接和管理功能,四个服务只有ConnectivityService、NetworkPolicyManagerS
USB共享网络流程分析和自动分享网络给PC
u013560831的专栏
04-26 3535
1.点击网络共享菜单处理流程 类:TetherSettings.java public boolean onPreferenceTreeClick(PreferenceScreen screen, Preference preference) { ConnectivityManager cm = (ConnectivityManager)getSystemSer...
Android app网络访问控制
doomvsjing的博客
07-25 2895
Android下基于Iptables的一种app网络访问控制方案(一) http://blog.csdn.net/zhanglianyu00/article/details/50177873Android系统iptables应用BandwidthController http://blog.csdn.net/xiaokeweng/article/details/48810049
Linux基础命令---iptables防火墙
weixin_34221332的博客
03-06 620
iptablesiptables指令用来设置Linux内核的ip过滤规则以及管理nat功能。iptables用于在Linux内核设置、维护和检查IPv4数据包过滤规则表。可以定义几个不同的表。每个表包含许多内置链,也可能包含用户定义的链。每个链都是一个规则列表,可以匹配一组数据包。每条规则都指定如何处理匹配的数据包。这被称为“目标”,它可能...
浅谈Linux系统iptables应用
05-15
iptables 是 Linux 系统的一个强大的防火墙工具,它可以用于过滤、重定向和修改网络数据包。它是一个基于内核的软件,可以对数据包进行过滤和修改,从而实现网络连接的控制和管理。在 Linux 系统iptables 是最常用的防火墙软件之一,它可以在多个层面上进行过滤和管理网络连接。以下是 iptables 在 Linux 系统的一些应用: 1. 防火墙:iptables 可以配置防火墙规则,保护系统免受来自外部网络的攻击。它可以限制不同网络之间的数据流量,并允许或阻止特定的端口和协议。 2. NAT:iptables 可以实现网络地址转换(NAT),它可以将私有 IP 地址转换为公共 IP 地址以实现 Internet 访问。通过 NAT,可以将多个设备连接到 Internet,而不需要每个设备都拥有公共 IP 地址。 3. 端口转发:iptables 可以将进入系统的数据包重定向到其他系统或端口。这是在服务器环境非常有用的,因为它可以将外部流量重定向到内部服务器。 4. 流量限制:iptables 可以限制流量,这对于限制恶意用户或应用程序的带宽使用非常有用。它可以限制连接的数量、速率和带宽,从而保证网络的稳定性和可靠性。 总之,iptables 是 Linux 系统非常有用的一个工具,可以用于保护网络安全、管理网络连接和实现网络地址转换等功能。它的功能非常强大,但也需要用户具备一定的技术水平和经验,才能正确配置和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值