连接跟踪子系统之期望连接

最新推荐文章于 2024-02-18 10:31:25 发布
最新推荐文章于 2024-02-18 10:31:25 发布
阅读量1.8k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Netfilter Linux Netfilter代码分析 文章标签: 连接跟踪 Netfilter 期望连接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaoyu_750516366/article/details/89303868
这篇博客深入探讨了连接跟踪子系统中的期望连接,包括期望连接跟踪信息块的结构、插入方法、子模块初始化过程以及信息块的匹配策略。通过分析ftp协议的应用,解释了期望连接在连接跟踪中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这篇笔记记录了连接跟踪子系统中期望连接相关的内容,这部分内容比较抽象,自己目前也只是基于ftp协议的使用来理解的,对于其它应用场景尚未接触过,尚不理解。期望连接相关代码文件有:

代码路径说明
/net/netfilter/nf_conntrack_expect.c期望连接子模块实现文件

1. 期望连接跟踪信息块

期望连接跟踪信息块用struct nf_conntrack_expect对象表示,该结构定义如下:

struct nf_conntrack_expect
{
	//同属一个master连接的期望连接被组织到一个链表中,见struct nf_conn_help定义
	struct hlist_node lnode;
	//用于将期望连接跟踪信息块加入到全局的哈希表中
	struct hlist_node hnode;
	//该期望连接跟踪信息块能够匹配的skb
	struct nf_conntrack_tuple tuple;
	struct nf_conntrack_tuple_mask mask;
	//当期望连接到来时,会调用该函数,该回调函数是可选的
	void (*expectfn)(struct nf_conn *new, struct nf_conntrack_expect *this);
	//指向识别出该期望连接的helper
	struct nf_conntrack_helper *helper;
	//指向master连接跟踪信息块
	struct nf_conn *master;
	//和普通的连接类似,每个期望连接也有有效定时器,定时器超时则会从系统中删除该期望连接
	struct timer_list timeout;
	//引用计数
	atomic_t use;
	/* Flags */
	unsigned int flags;
#ifdef CONFIG_NF_NAT_NEEDED
	__be32 saved_ip;
	/* This is the original per-proto part, used to map the
	 * expected connection the way the recipient expects. */
	union nf_conntrack_man_proto saved_proto;
	/* Direction relative to the master connection. */
	enum ip_conntrack_dir dir;
#endif
	struct rcu_head rcu;
};

2. 期望连接跟踪信息块的插入

当helper识别到即将要有一个期望连接到达时,就会创建一个期望连接跟踪信息块,然后将其加入到全局哈希表中,这样等真正的期望连接的skb到达时,就可以匹配该期望连接跟踪信息块,表示期望连接建立成功。

int nf_ct_expect_related(struct nf_conntrack_expect *expect)
{
	struct nf_conntrack_expect *i;
	struct nf_conn *master = expect->master;
	//找到master连接的help扩展
	struct nf_conn_help *master_help = nfct_help(master);
	struct hlist_node *n;
	unsigned int h;
	int ret;

	NF_CT_ASSERT(master_help);

	spin_lock_bh(&nf_conntrack_lock);
	//个人理解,这里只是一种检查,确保对应的helper存在
	if (!master_help->helper) {
		ret = -ESHUTDOWN;
		goto out;
	}
	//计算该期望连接的哈希值
	h = nf_ct_expect_dst_hash(&expect->tuple);
	//查找对应的冲突链,检查该期望连接是否已经存在,如果已经存在(如重传包导致的重复识别),
	//更新保活定时器,不存在则做个clash检查(不知道是干什么的)
	hlist_for_each_entry(i, n, &nf_ct_expect_hash[h], hnode) {
		if (expect_matches(i, expect)) {
			/* Refresh timer: if it's dying, ignore.. */
			if (refresh_timer(i)) {
				ret = 0;
				goto out;
			}
		} else if (expect_clash(i, expect)) {
			ret = -EBUSY;
			goto out;
		}
	}
	//检查该helper对象的最大允许期望连接数目是否还允许新增期望连接
	if (master_help->helper->max_expected && master_help->expecting >= master_help->helper->max_expected)
		evict_oldest_expect(master);
	//检查系统的最大允许期望丽娜姐数目是否允许新增期望连接
	if (nf_ct_expect_count >= nf_ct_expect_max) {
		if (net_ratelimit())
			printk(KERN_WARNING "nf_conntrack: expectation table full\n");
		ret = -EMFILE;
		goto out;
	}
	//将该期望连接信息块插入全局哈希表中进行跟踪,这样当属于该期望连接的skb来到后,就能正确匹配到
	nf_ct_expect_insert(expect);
	nf_ct_expect_event(IPEXP_NEW, expect);
	ret = 0;
out:
	spin_unlock_bh(&nf_conntrack_lock);
	return ret;
}
EXPORT_SYMBOL_GPL(nf_ct_expect_related);

3. 期望连接子模块初始化

//期望连接哈希表的哈希桶大小可以是模块参数
module_param_named(expect_hashsize, nf_ct_expect_hsize, uint, 0600);
int __init nf_conntrack_expect_init(void)
{
	int err = -ENOMEM;
	//如果没有指定模块参数,那么按照连接跟踪信息块哈希表的大小设置,
	//最小值为1,此时哈希表退化为双列表
	if (!nf_ct_expect_hsize) {
		nf_ct_expect_hsize = nf_conntrack_htable_size / 256;
		if (!nf_ct_expect_hsize)
			nf_ct_expect_hsize = 1;
	}
	//连接跟踪的最大次数
	nf_ct_expect_max = nf_ct_expect_hsize * 4;
	//为期望连接跟踪信息块哈希表分配内存
	nf_ct_expect_hash = nf_ct_alloc_hashtable(&nf_ct_expect_hsize, &nf_ct_expect_vmalloc);
	if (nf_ct_expect_hash == NULL)
		goto err1;
	//创建高速缓存
	nf_ct_expect_cachep = kmem_cache_create("nf_conntrack_expect",
			sizeof(struct nf_conntrack_expect), 0, 0, NULL);
	if (!nf_ct_expect_cachep)
		goto err2;
	//创建/proc/net/nf_conntrack_expect结点,通过该结点用户空间可以
	//获取当前系统中所有的期望连接。
	err = exp_proc_init();
	if (err < 0)
		goto err3;
	return 0;
...
}

期望连接子模块的初始化就干了三件事:

  1. 分配了一个哈希表用于保存期望连接:即struct nf_conntrack_expect对象;
  2. 创建一个高速缓存用于分配struct nf_conntrack_expect对象;
  3. 在/proc文件系统中创建期望连接相关的结点。

4. 期望连接跟踪信息块的匹配

在init_conntrack()中,根据skb创建了新的连接跟踪信息块后,会检查该新的连接是否是某个连接的期望连接,相关代码如下:

static struct nf_conntrack_tuple_hash *
init_conntrack(const struct nf_conntrack_tuple *tuple, struct nf_conntrack_l3proto *l3proto,
	       struct nf_conntrack_l4proto *l4proto, struct sk_buff *skb, unsigned int dataoff)
{
	struct nf_conn *ct;
	struct nf_conn_help *help;
	struct nf_conntrack_tuple repl_tuple;
	struct nf_conntrack_expect *exp;
...
	spin_lock_bh(&nf_conntrack_lock);
	exp = nf_ct_find_expectation(tuple);
	if (exp) {
		pr_debug("conntrack: expectation arrives ct=%p exp=%p\n", ct, exp);
		//设置IPS_EXPECTED_BIT表示该连接是一个期望连接
		__set_bit(IPS_EXPECTED_BIT, &ct->status);
		//连接跟踪信息块的master指针指向其master连接
		ct->master = exp->master;
		//类似于非期望连接的处理,见"连接跟踪子系统之helper"
		if (exp->helper) {
			help = nf_ct_helper_ext_add(ct, GFP_ATOMIC);
			if (help)
				rcu_assign_pointer(help->helper, exp->helper);
		}
#ifdef CONFIG_NF_CONNTRACK_MARK
		ct->mark = exp->master->mark;
#endif
#ifdef CONFIG_NF_CONNTRACK_SECMARK
		ct->secmark = exp->master->secmark;
#endif
		//增加master连接的引用计数
		nf_conntrack_get(&ct->master->ct_general);
		NF_CT_STAT_INC(expect_new);
	} else {
		...
	}
...
	//调用期望连接跟踪信息块的expecfn()回调,该回调函数是可选的
	if (exp) {
		if (exp->expectfn)
			exp->expectfn(ct, exp);
		nf_ct_expect_put(exp);
	}
	return &ct->tuplehash[IP_CT_DIR_ORIGINAL];
}

4.1 期望连接跟踪信息块的查找

/* If an expectation for this connection is found, it gets delete from
 * global list then returned. */
struct nf_conntrack_expect* nf_ct_find_expectation(const struct nf_conntrack_tuple *tuple)
{
	struct nf_conntrack_expect *exp;
	//在全局的期望连接跟踪信息块哈希表中查找匹配的tuple
	exp = __nf_ct_expect_find(tuple);
	if (!exp)
		return NULL;
	//如果master连接还没有被确认,那么不处理这种期望连接
	if (!nf_ct_is_confirmed(exp->master))
		return NULL;
	//一般来说,期望连接跟踪信息块对应的期望连接到达后,就会将其从全局哈希表中删除,但是对于设置了
	//NF_CT_EXPECT_PERMANENT的特殊处理,不会删除
	if (exp->flags & NF_CT_EXPECT_PERMANENT) {
		atomic_inc(&exp->use);
		return exp;
	} else if (del_timer(&exp->timeout)) {
		nf_ct_unlink_expect(exp);
		return exp;
	}
	return NULL;
}
linux内核协议栈 netfilter连接跟踪子系统初始化
11-03 738
目录 1 连接跟踪模块概述 2核心初始化入口module_init(nf_conntrack_standalone_init); 2.1创建/proc/net/nf_conntrack只读文件nf_conntrack_standalone_init_proc() 2.2 注册 /proc/sys/ 下相关文件 3 核心初始化nf_conntrack_init() 3.1 hash表大小计算、L3L4协议栈模块、helper模块初始化 3.1.1L3L4协议栈模块初始化 3.1.2...
linux内核协议栈 netfilter连接跟踪子系统AF_INET钩子函数
11-01 949
1连接跟踪子系统钩子函数概述 如《linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景》中的1.4小结所述,为了支持连接跟踪子系统,AF_INET协议族在4个HOOK点共注册了8个钩子函数,每个HOOK点有两个。这些钩子函数可分为入口(PRE_ROUTING和LOCAL_IN)和出口(LOCAL_OUT和POST_ROUTING)两大类。 1.1数据包流向 在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。 1.1.1 发往本地的数...
Linux协议栈-netfilter(4)-期望连接
落尘纷扰的专栏
04-04 5313
传统的conntrack和NAT处理只对IP层和传输层头部进行转换处理,但是一些应用层协议,在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换,NAT使用一种称作ALG的技术,它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。 例如:对于FTP协议的PORT/PASV命令,在数据包载荷中需要包含地址信息,并且数据包如果需要做NAT,那应用层数据部分的地址也需
连接跟踪期望连接
rondyning的博客
11-12 3702
1 概述 ​ 。。。 2 helper功能 2.1 概述 ​ helper功能是连接跟踪的扩展功能之一,给不同应用层协议来对连接跟踪模块进行功能上的扩展。比如ftp、tftp等利用helper功能来实现期望连接的建立和关联。 2.2 代码结构 ​ 如图: helper功能主代码文件主要提供API:helper扩展添加,helper实例查找,helper实例注册,helper实例初始化等 期望连接的主代码文件主要提供API:期望连接新建,期望连接初始化、期望连接查找、期望连接插入等 各协议对应的主代码文件主
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2806
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter中比较重要的两个模
Iptables之nf_conntrack模块
最新发布
u011029104的专栏
02-18 1844
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
CentOS7: kernel:nf_conntrack:expactation table full 引发的问题
chenyulancn的专栏
08-01 782
CentOS7 kernel:nf_conntrack:expactation table full
linux内核协议栈 netfilter连接跟踪子系统核心数据结构 struct nf_conn
11-01 2375
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
linux内核协议栈 netfilter连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2464
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
大规模分布式系统跟踪基础设施Dapper
热门推荐
张彦峰的博客
03-17 5万+
论文《Dapper, a Large-Scale Distributed Systems Tracing Infrastructure》介绍了谷歌开发的大规模分布式系统跟踪基础设施Dapper。Dapper旨在通过提供跨多个服务和计算机的详细跟踪信息,帮助开发人员理解和调试复杂的分布式系统。论文讨论了Dapper背后的动机、其架构以及在诊断性能问题和优化分布式系统方面所提供的实际好处。本文作为回顾经典,重新学习,翻译的同时加入一些现有的理解。
Iptables状态跟踪(conntrack)相关命令与参数
shijin741231的博客
01-22 2198
简述Iptables conntrack,介绍概念、参数,并给出推荐配置
linux五元组结构体,NF_HOOK conntrack 分析[nf_conn结构体分析篇] 三
weixin_42523389的博客
05-14 637
一 nf_conn结构体分析对于nf_conn的分析主要是针对3.6内核,相对于之前的结构体有很大的变化。先看一下新的结构体的定义其中有一个结构体nf_conntrack_expect,它到底是有什么作用呢。比如我们常用的FTP协议,在经过带有NAT的路由器的时候我们经常听到FTP穿透功能,为什么FTP要进行穿透呢。那么首先得从FTP的原理入手:FTP两种工作模式:主动模式(Active FTP)...
(七)洞悉linux下的Netfilter&iptables:如何理解连接跟踪机制?【下】
weixin_30699741的博客
07-24 163
连接跟踪系统的初始化流程分析 有了前面的知识,我们再分析连接跟踪系统的初始化ip_conntrack_standalone_init()函数就太容易不过了。还是先上ip_conntrack_standalone_init()函数的流程图:该函数的核心上图已经标出来了“初始化连接跟踪系统”和“注册连接跟踪的hook函数”。其他两块这里简单做个普及,不展开讲。至少让大家明白连接跟踪为...
出现nf_conntrack: expectation table full提示问题
wgl307293845的博客
11-09 2907
问题描述 修改了FullCone Nat之后,出现nf_conntrack: expectation table full 解决方案 echo 512 > /proc/sys/net/netfilter/nf_conntrack_expect_max 注意: nf_conntrack_expect_max这个值根据系统内存大小设置,内存足够大可以设置相对较大一些,内存太小可以选择128或者256 ...
Netfilter的expect连接的原理和利用
乖乖的专栏
01-05 1694
ip_conntrack有一个特性,那就是可以跟踪expect连接,所谓的expect连接,理解起来很简单,那就是“在一个连接生成的另一个连接”,那么如何来识别一个连接生成另一个连接呢?以FTP为例,FTP服务器会将文件传输所用的地址和端口信息作为数据载荷传输到对端的,Linux网关捕获这个数据包,将其解开然后根据FTP的协议规范获取地址和端口信息,随后就生成了一个expect连接。也就说,e
连接跟踪SIP协议
redwingz的博客
01-28 4726
ip_conntrack_sip模块用于为SIP协议建立所需的连接跟踪。支持指定最大8个监听端口,多个端口号使用逗号分隔。另外在加载模块时可指定的参数有: sip_timeout 主SIP会话的超时时长,默认3600秒 sip_direct_signalling 仅接受注册服务器发出的呼叫,默认为1 sip_direct_media 仅在交互信令的两端建立媒体流,默认为1 sip_external_media 支持与非交互信令的端点建立媒体流,默认为0 # modprobe
Linux netfilter 学习笔记 之七 ip层netfilter连接跟踪模块的概念及相关的数据结构分析
lickylin的专栏
06-26 6355
内核版本 2.6.16   连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。   因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntr
nf_conntrack连接跟踪模块
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值