实践之从linux内核驱动过滤并punt特定数据包到应用程序

最新推荐文章于 2025-11-07 00:16:06 发布
原创 最新推荐文章于 2025-11-07 00:16:06 发布 · 675 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客围绕Linux内核驱动展开,主要讲述了如何过滤特定数据包,并将其punt到应用程序,涉及Linux内核在数据包处理方面的实践操作,属于信息技术中后端开发相关内容。
hellonzx
关注
Linux内核网络结构,和收发数据基本流程
lingshengxiyou的博客
12-16 1139
不管是大型虚拟化云网络,还是嵌入式物联网系统,Linux网络都扮演着重要的角色。借用一句话说,如果说网络是信息系统的基石,那么Linux网络系统就是基石中的钢筋。它经过几十年的发展,它千锤百炼,几乎包含了市面上所有的网络通讯功能,要想一下子把学透是不容易的,只能顺着代码脉络看着前辈们写的文章,边分析边总结吧。先来看一下整体结构:Linux网络基本结构我把它分成几个层次,每个层次只是一个逻辑上的概念,没有严格的定义,只是为了理解上的方便,而且很多模块的代码都是交织混用的,要统一来划分也不容易的。况且,通讯技
Linux内核进程,线程,进程组,会话组织模型以及进程管理
tugouxp的专栏
11-27 2947
唤醒睡眠状态任意的线程可以用wake_up_process,它可和唤醒处于深度睡眠状态的线程。结合最开始的图和代码,我们可以得到如下结论:1.kthead衍生的内核线程没有session pid,说人话就是所有的内核线程没有都没有操作控制台,不能通过控制台去操作控制。2.idle任务不会出现在for_each_process的处理循环中。3.每cpu_rq就绪队列中,不会将idle统计到nr_running中。
linux下的文件过滤驱动
04-12
linux文件过滤驱动,编译成模块之后直接加载
教你如何实现LINUX下的数据包过滤
12-05
比较基础,但也比较全面 定义iptables/netfilter的匹配模块
linux网络管理中,一个数据包,到底要经过哪些的处理
最新发布
qq_47987543的博客
11-07 1691
Linux主机数据包处理流程分析(入站SSH连接) 摘要:本文以外部主机SSH连接Linux主机(公网IP 203.0.113.10)为例,详细剖析数据包处理流程。物理层完成信号转换和帧校验后,网络层进行IP校验和分片重组。数据包依次经过iptables的PREROUTING链(raw/mangle/nat表处理),conntrack模块跟踪连接状态。路由决策根据目的IP判断流向(本机INPUT链或转发FORWARD链)。处理过程涉及内核协议栈、sk_buff结构、连接跟踪及多级网络协议,展现Linux网络
过滤驱动 linux
07-15
linux 过滤驱动 传入 设计与实现
linux 磁盘过滤驱动_Linux系统结构
weixin_39637260的博客
12-11 470
打工人,打工魂,打工的都是人上人Linux系统由4个部分组成:shell、kernel、filesystem、user application。其中shell、kernel、filesystem组成了操作系统结构,他们使user可以运行程序、管理文件及使用系统。四者的关系如下图所示。Linux KernelKernel是User Application和Computer Source交流...
浅析基于中间层驱动的包过滤原理与实现
cnldy的专栏
11-27 1117
浅析基于中间层驱动的包过滤原理与实现   李大勇随着计算机网络技术的迅猛发展,网络安全的问题已经日益突出地摆在各类用户的面前。仅从掌握的资料表明,目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。虽然网络防火墙技术日趋成熟,但大多数基于SPI的数据报拦截技术是在用户级的。用户级的拦截有其优势,实现方便、便于移植、通用性强,但是用户级不能得到所有的数据报,本文将探讨基于IMD中
一文讲解Linux 内核网络协议栈-数据从接收到ip层
m0_74282605的博客
12-15 346
注意看下面的部分代码:基本的意思就是从CPU这个softnet_data的字段input_pkt_queue队列中不断的取和当前napi_struct相关的数据包,每次获取一个数据包那么就使用函数netif_receive_skb函数处理!这个函数也是非常重要的!local_irq_disable() , local_irq_enable() , local_irq_save() 和 local_irq_restore() 为中断处理函数,netif_receive_skb是链路层接收数据报的最后一站!
linux内核协议栈接收数据流程(一)
krokodil98的博客
10-10 2102
linux网络接收数据流程的第一站——网卡驱动
Linux 报文从网卡到协议栈之间处理的过程
mrtyxr的博客
12-27 1312
作为一个Linux内核开发的程序员,时常会被问到内核收报的处理过程,很多时候可以快速讲出一个大概,但关注的重点多在内核协议栈的报文处理过程,对于报文从到达网卡再到上送协议栈之间的处理过程总是很模糊,因此想就此过程进行学习研究,故有了本篇博客。
Linux文件加_解密过滤驱动的设计与实现.pdf
09-06
Linux文件加_解密过滤驱动的设计与实现.pdf
linux平台下的驱动
02-28
使用硬件 s5pc100 linux内核 字符驱动 平台设备驱动 中断
文件系统过滤驱动开发教程
12-16
文件系统过滤驱动开发教程,作者,楚狂人,
linux平台利用VFS实现目录重定向驱动
09-28
这个是Linux平台利用VFS开发新文件系统来实现目录重定向, 代码包括驱动和应用层部分, 驱动分别在 rhel 6.5(内核2.6)和rhel 7.2(内核3.10) 编译测试, 其他内核版本可能会稍微做些修改。 应用层使用FTP协议来连接FTP服务端。 相关文章请看如下链接, http://blog.youkuaiyun.com/fanxiushu/article/details/52681705 有兴趣可下载来看看。
FsDriver(一个过滤层文件系统驱动的完整代码)
07-24
FsDriver(一个过滤层文件系统驱动的完整代码,实现了文件的加密,操作截获等)
linux 过滤驱动 用户态,增强Linux内核中访问控制安全的方法
weixin_42365490的博客
04-29 653
背景前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件,任何软件在一开始设计的时候,都不能百分之百的满足人们的需求,所以操作系统也是一样,为了尽可能的满足人们需求,不得不提供一些供人们定制操作系统的机制。当然除了官方提供的一些机制,也有一些黑魔法,这些黑魔法不被推荐使用,但是有时候面对具体...
linux系统下文件过滤驱动开发(越过内核内存写保护)
kafetom的博客
05-19 2304
linux 越过内核内存写保护方法归纳,目前在工作中遇到的问题及解决方法,供大家参考。 在做文件过滤驱动模块功能时,分别基于X86_64架构 amd64操作系统 和 基于aarch64架构 arm64操作系统上开发实现,在hook内核的函数功能时,遇到内核内存写保护阻止替换函数地址的问题。公司响应国家推行国产化操作系统进程号召,所以是在 统信uos个人版操作系统上开发实施的: Linux uos-PC 5.4.50-amd64-desktop #73 SMP Mon Aug 24 15:42:54 CST
linux简单文件过滤器(含加密)
weixin_34366546的博客
01-12 302
思路hook调用表的读写函数:源码 #include <linux/init.h> #include <linux/module.h> #include <linux/kernel.h> #include <linux/init.h> #include <linux/sched.h> #include <asm/uni...
VPP框架中的drop和punt是什么节点
08-19
<think>我们正在讨论VPP框架中的drop节点和punt节点的功能及区别。根据引用[1]中的信息,我们可以得到一些线索: - DPO_DROP:将数据包送往"XXX-drop"节点,然后传给"error-drop"节点,完成丢弃和回收。 - DPO_IP_NULL:将数据包送往"ipx-null"节点,决定是否回送ICMP不可达或禁止包。 - DPO_PUNT:将数据包送往"punt"节点,核心函数(未详细说明)。 但我们需要更全面地理解这两个概念。 在VPP中,数据包的处理是通过节点(node)组成的图来进行的。每个节点对数据包执行特定操作,然后将数据包发送到下一个节点。 1. **Drop节点**: - 作用:丢弃数据包回收其资源。 - 类型:有多种drop节点,如`error-drop`、`ip4-drop`等,它们通常用于不同的错误情况(例如,没有路由、TTL过期等)。 - 行为:当数据包被送到drop节点时,它会被统计(增加对应原因的计数器),然后释放数据包缓冲区。 - 举例:在`ip4-lookup`节点中,如果找不到路由,就会将数据包送到`ip4-drop`节点,然后可能触发ICMP错误消息(由其他节点处理,如`ip4-icmp-error`节点)。 2. **Punt节点**: - 作用:将数据包从快速路径(fast path)“上缴”到慢速路径(slow path)或控制平面(control plane)进行处理。 - 场景:当快速路径无法处理某个数据包时(例如,需要交由控制平面处理的协议报文,如某些路由协议报文;或者需要应用层处理的报文),就会使用punt机制。 - 行为:数据包被放入一个特定的队列(punt queue),然后由调度器交给慢速路径节点处理(如`ip4-punt`节点)。 - 举例:对于目的地址是本地IP的数据包(例如,发送给VPP本身的TCP连接请求),VPP会将其punt到控制平面,由对应的TCP/IP协议栈处理。 **区别总结**: - **目的不同**:Drop节点用于丢弃数据包(错误处理),而Punt节点用于将数据包从快速路径转移到慢速路径(特殊处理)。 - **后续处理**:Drop节点最终会释放数据包,而Punt节点将数据包交给其他节点(慢速路径)继续处理。 - **统计**:两者都会更新统计信息,但统计的类别不同(drop的原因统计 vs punt的原因统计)。 引用[1]中提到的DPO(数据路径对象)类型: - `DPO_DROP`:对应drop节点,用于丢弃数据包。 - `DPO_PUNT`:对应punt节点,用于将数据包上缴。 另外,引用[1]还提到了`DPO_IP_NULL`,它对应的是`ipx-null`节点,这个节点负责决定是否发送ICMP错误消息(例如,不可达或禁止),然后可能会将数据包丢弃(送到drop节点)或进行其他处理。 因此,我们可以这样理解: - Drop节点是数据包处理的终点(丢弃)。 - Punt节点是数据包从快速路径到慢速路径的中转站。 下面用流程图说明两者的处理路径: **Drop路径示例**: ```mermaid graph LR A[节点X] -->|检测到错误| B[error-drop节点] B --> C[更新错误计数器] C --> D[释放数据包缓冲区] ``` **Punt路径示例**: ```mermaid graph LR A[节点Y] -->|需要慢速路径处理| B[punt节点] B --> C[将数据包放入punt队列] C --> D[慢速路径节点处理] D --> E[进一步处理,如协议栈] ``` **注意**:在VPP中,punt机制有多种方式,例如: - `PUNT`:通过punt socket将数据包发送给Linux网络栈。 - `PUNT_L2`:将二层帧punt。 - `PUNT_IP4`:将IPv4包punt。 而drop则根据错误原因有多种类型,如: - `DROP_NO_INTERFACE`:没有接口 - `DROP_NO_FIB_ENTRY`:没有FIB表项 **性能影响**: - Drop操作是高效的,因为它直接释放资源。 - Punt操作会引入额外的开销(上下文切换、队列操作等),所以应尽量避免频繁punt。 最后,我们还可以通过CLI命令查看drop和punt的统计信息: - `show errors`:显示各种错误(drop)的统计。 - `show punt`:显示punt的统计。 现在,我们回答用户的问题: **问题**:VPP框架中drop节点和punt节点的作用及区别 **回答**: 在VPP(Vector Packet Processing)框架中,`drop节点`和`punt节点`是数据包处理流水线中的关键节点,它们的功能和区别如下: ### **1. drop节点** - **功能**:丢弃数据包回收资源。当数据包因各种错误(如路由查找失败、TTL超时、校验和错误等)无法继续转发时,会被送入drop节点。该节点主要完成: 1. **错误统计**:更新对应错误类型的计数器(可通过`show errors`命令查看)。 2. **资源回收**:释放数据包占用的缓冲区内存。 - **典型场景**: - 路由查找失败(`ip4-lookup`节点未命中FIB表)。 - 接口不存在(如目的接口已删除)。 - 协议错误(如IPv4分片重组失败)。 - **节点示例**: - `error-drop`:通用错误丢弃节点。 - `ip4-drop`:IPv4专用丢弃节点(触发后可选择发送ICMP错误消息)[^1]。 ### **2. punt节点** - **功能**:将数据包从**快速路径**(fast path)转移到**慢速路径**(slow path)或控制平面。该机制用于处理需要协议栈深度参与的数据包(如发往本机的TCP连接请求、路由协议报文等)。主要步骤: 1. **队列中转**:将数据包放入punt队列(避免阻塞快速路径)。 2. **慢速处理**:由独立线程或节点处理(如Linux内核协议栈、VPP内置TCP栈)。 - **典型场景**: - 目的IP为本机的TCP/UDP报文(如SSH连接VPP管理端口)。 - 需要ARP解析的请求。 - 显式配置的punt规则(如`punt udp 5000`)。 - **节点示例**: - `ip4-punt`:IPv4数据包punt节点。 - `punt-socket`:通过socket将数据包发送到Linux网络栈。 ### **3. 核心区别** | **维度** | **drop节点** | **punt节点** | |------------------|---------------------------------------|---------------------------------------| | **处理目标** | 终止数据包回收资源 | 将数据包转移至慢速路径继续处理 | | **触发原因** | 转发错误(如路由失败、校验和错误) | 需控制平面处理(如本机流量、ARP请求) | | **资源释放** | 立即释放缓冲区 | 缓冲区由慢速路径接管释放 | | **性能影响** | 低开销(仅内存回收) | 较高开销(上下文切换、队列操作) | | **统计查看命令** | `show errors` | `show punt` | ### **4. 关联性分析** - **协同场景**: 当punt到慢速路径的数据包仍无法处理时(如TCP端口未监听),最终仍会被drop节点丢弃。例如: ```mermaid graph LR A[Fast Path] -->|punt| B[Slow Path] B -->|处理失败| C[error-drop] ``` - **DPO机制差异**: - `DPO_DROP`类型直接指向drop节点。 - `DPO_PUNT`类型指向punt节点(如`ip4-punt`)[^1]。 ### **5. 配置示例** - **主动丢弃特定流量**(配置drop规则): ```bash vpp# set ip drop src 192.168.1.100 # 丢弃源IP为192.168.1.100的流量 ``` - **Punt流量到Linux网络栈**: ```bash vpp# punt socket udp 0.0.0.0/0 5000 # 将UDP/5000流量puntLinux ``` > ▶︎ **最佳实践**: > 生产环境中应通过精细化ACL减少不必要的punt通过FIB优化降低drop率。 --- §§ 相关问题 §§ 1. 如何通过VPP CLI实时监控drop和punt的统计? 2. VPP中哪些常见错误会导致数据包被drop?如何优化配置以减少drop? 3. 如何配置VPP将特定协议(如BGP)的流量puntLinux网络栈? 4. `DPO_DROP`和`DPO_PUNT`在VPP数据路径中如何影响转发性能?</think>在VPP框架中,**drop节点**和**punt节点**是数据包处理流程中的关键决策点,它们的功能和区别如下: --- ### **1. drop节点:错误处理与资源回收** - **核心功能**: 当数据包因错误无法转发时,将其送入丢弃流程回收资源。主要处理场景包括: - 路由查找失败(无FIB表项) - TTL超时(TTL=1) - 校验和错误 - ACL策略拒绝 - **处理流程**: ```mermaid graph LR A[错误检测节点] -->|DPO_DROP| B[XXX-drop节点] B -->|分类错误类型| C[error-drop节点] C --> D[更新错误计数器] D --> E[释放数据包缓冲区] ``` - **关键行为**: 1. **错误分类**:在`XXX-drop`节点(如`ip4-drop`)中确定具体错误类型 2. **ICMP响应**:对特定错误(如路由失败)生成ICMP不可达报文[^1] 3. **资源回收**:最终由`error-drop`节点释放数据包内存 - **查看方式**: 通过`show errors`命令可查看各类型drop统计 --- ### **2. punt节点:控制平面移交** - **核心功能**: 将数据包从**数据平面**移交到**控制平面**处理,主要用于: - 需要CPU处理的特殊协议(如BGP/OSPF) - 发送到VPP本地的流量(如SSH管理流量) - 调试目的的数据包捕获 - **处理流程**: ```mermaid graph LR A[转发节点] -->|DPO_PUNT| B[punt节点] B --> C[控制平面队列] C --> D[协议栈处理/API访问] ``` - **关键行为**: 1. **队列中转**:通过`punt socket`或`punt redirect`机制移交 2. **协议处理**:由控制平面协议栈(如TCP/IP协议栈)深度处理 3. **避免丢弃**:保留数据包完整性用于上层处理 - **查看方式**: 通过`show punt`命令查看punt统计 --- ### **3. 核心区别对比** | **维度** | **drop节点** | **punt节点** | |------------------|---------------------------------------|---------------------------------------| | **处理目标** | 终止数据包生命周期 | 移交数据包到控制平面 | | **触发原因** | 转发错误(路由失败/校验错误等) | 需协议栈深度处理 | | **资源操作** | 立即释放缓冲区 | 保留数据包完整性 | | **响应行为** | 可能生成ICMP错误消息[^1] | 无自动响应,依赖上层处理 | | **性能影响** | 低开销(仅内存回收) | 高开销(上下文切换+协议处理) | | **配置指令** | `set ip drop ...` | `punt socket udp 5000` | --- ### **4. 典型应用场景** **drop节点示例**(路由失败): ```c // ip4-lookup节点查表失败时 if (!fib_entry_exists(dst_ip)) { dpo_set(&next_node, DPO_DROP); // 指向ip4-drop节点 } ``` **punt节点示例**(本地SSH流量): ```bash vpp# punt socket tcp 0.0.0.0/0 22 ``` --- ### **5. 协同工作关系** ```mermaid graph TD A[ip4-input] -->|正常流量| B[ip4-lookup] B -->|查表成功| C[ip4-rewrite] B -->|查表失败| D[DPO_DROP] --> E[ip4-drop] A -->|目的IP=本机| F[DPO_PUNT] --> G[punt节点] G -->|SSH流量| H[控制平面TCP栈] ``` > ▶︎ **设计哲学**: > VPP通过分离`drop`(快速错误处理)和`punt`(深度协议处理),实现数据平面与控制平面的高效解耦[^1]。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值