eBPF TC egress 方向 tcp checksum 问题

文章讨论了在Linux5.3环境下,对TCPpayload进行修改后,TCPchecksum的计算行为。作者发现虽然常规上认为需要重算checksum,但在EBPF/TCEGRESS中,内核可能在tchook后计算,导致客户端抓包的checksum保持不变。实际上,减少payload长度会导致checksum自动调整,仅需更新校验和部分。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在ebpf tc egress方向修改了tcp的payload信息,我通过bpf_skb_change_tail将tcp payload从尾部减少了diff_len(测试中该值为88)。
常规思路:我都修改了tcp的包了,肯定要需要重新计算checksum ,所以我按照常规方法计算了checksum ,发现返回包传到客户端时,用wireshark抓包,发现多次请求的checksum 都是一样的,这就非常违反常理,按理说checksum 在客户端每次不同的请求下(客户端使用的随机端口号)都是应该不同的。同时我在ebpf/tc程序中打印了我计算的checksum前后的值
在这里插入图片描述
每次请求
我在ebpf中打印的old checksum都是855e,在客户端wireshark抓包的checksum都是5e2d
我在ebpf中计算的checksum恰好为wireshark期望的正确checksum,图中为3fbf和bf3f(字节序不同,值相同),这个值是随着不同请求而变化的,checksum变化符合我们的预期

于是灵机一动,是不是tcp的checksum是在tc hook之后才计算的,我在ebpf/tc里计算完之后恰好和tc hook点之后内核计算的重复了,两者“抵消”,导致客户端抓包每次都是一样的checksum。
ebpf程序中每次打印的old checksum都恒定也印证了这一问题,如果我在ebpf程序中不修改checksum,只减少payload,发现每次请求客户端抓包的checksum都是不同ÿ

### Kubernetes 中 Ingress 和 Egress 的概念 在网络通信领域,Ingress 和 Egress 是指数据包进入和离开网络的方向。 #### Ingress 流量 Ingress 表示流入到集群内部的流量。这类流量通常来自外部客户端请求访问位于 Kubernetes 集群中的服务。为了管理这些入口流量,在 Kubernetes 中引入了专门的对象——`Ingress` 资源来定义 HTTP(S) 请求如何映射至后端的服务实例[^5]。 ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress spec: rules: - host: web.example.com http: paths: - pathType: Prefix path: "/" backend: service: name: frontend-service port: number: 80 ``` 这段 YAML 定义了一个简单的 `Ingress` 对象,它会将指向域名 `web.example.com` 下 `/` 前缀路径的所有 HTTP 请求转发给名为 `frontend-service` 的 Service。 #### Egress 流量 Egress 则指的是从集群向外发出的数据流。对于某些应用场景来说,可能需要严格控制哪些 Pod 或者命名空间能够发起对外部资源(比如数据库、API 网关等)的调用。这时就可以利用 `NetworkPolicy` 来设置针对出口流量的安全策略[^4]。 ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: namespace: default name: deny-all-egress spec: podSelector: {} policyTypes: - Egress ``` 上述配置文件创建了一条拒绝所有 Egress 连接的网络安全策略,除非另有更具体的规则允许特定类型的外发连接存在。 #### Kubernetes 网络策略特性 值得注意的是,当多个网络策略应用于同一个 Pod 上时,它们的效果是累积性的而不是互相排斥;这意味着只要有一个匹配项许可某类操作,则该种类型的通讯就是可行的[^1]。另外,默认情况下所有的 Pod 可以自由地发送出站流量而无需额外授权,但是可以通过自定义策略改变这一行为模式[^3]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值