nf_conntrack连接跟踪机制

最新推荐文章于 2024-04-03 11:34:58 发布
原创 最新推荐文章于 2024-04-03 11:34:58 发布 · 2.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

文章介绍了Linux内核中的nf_conntrack连接跟踪机制,涉及其功能、工作原理、状态识别、与防火墙、NAT和负载均衡的集成,以及性能优化注意事项。

命令

conntrack -L
cat /proc/net/nf_conntrack

连接跟踪 conntrack

conntrack -L 命令用于列出内核连接跟踪表中的所有活动连接。这个命令的结果提供了连接信息的详细描述,包括协议类型、状态、源地址、目标地址、源端口、目标端口等。

让我们逐行解释你提供的示例输出:

  1. udp 17 5 src=245.0.0.232 dst=245.0.2.17 sport=39916 dport=53 src=245.0.2.17 dst=245.0.0.232 sport=53 dport=39916 mark=0 use=1

    • udp: 表示协议类型为 UDP。
    • 17: 表示协议编号为 17(UDP 的协议编号)。
    • 5: 表示连接状态为 ESTABLISHED。
    • src=245.0.0.232 dst=245.0.2.17 sport=39916 dport=53: 源 IP 地址是 245.0.0.232,目标 IP 地址是 245.0.2.17,源端口号为 39916,目标端口号为 53。
    • src=245.0.2.17 dst=245.0.0.232 sport=53 dport=39916: 在另一个方向上,源 IP 地址是 245.0.2.17,目标 IP 地址是 245.0.0.232,源端口号为 53,目标端口号为 39916。
    • mark=0 use=1: 表示连接标记为 0,使用计数为 1。

  2. tcp 6 117 TIME_WAIT src=245.0.0.232 dst=245.0.0.66 sport=55488 dport=15021 src=245.0.0.66 dst=245.0.0.232 sport=15021 dport=55488 [ASSURED] mark=0 use=1

    • tcp: 表示协议类型为 TCP。
    • 6: 表示协议编号为 6(TCP 的协议编号)。
    • 117: 表示连接状态为 TIME_WAIT。
    • src=245.0.0.232 dst=245.0.0.66 sport=55488 dport=15021: 源 IP 地址是 245.0.0.232,目标 IP 地址是 245.0.0.66,源端口号为 55488,目标端口号为 15021。
    • src=245.0.0.66 dst=245.0.0.232 sport=15021 dport=55488: 在另一个方向上,源 IP 地址是 245.0.0.66,目标 IP 地址是 245.0.0.232,源端口号为 15021,目标端口号为 55488。
    • [ASSURED]: 表示此连接已被 “conntrack” 子系统标记为 “已确认”,也就是已经建立。
    • `mark=0

在这里插入图片描述

原理

nf_conntrack 是 Linux 内核中的连接跟踪机制,它用于追踪网络连接的状态和相关信息。下面是对 nf_conntrack 连接跟踪机制的详细介绍:

  1. 功能:nf_conntrack 跟踪网络连接的状态,包括 TCP、UDP 和其他协议的连接。它可以记录连接的源地址、目标地址、端口、协议等信息,并根据这些信息进行连接的管理和跟踪。

  2. 工作原理:nf_conntrack 在内核内部维护一个连接跟踪表(connection tracking table),用于存储活动连接的状态。当网络数据包到达时,nf_conntrack 会检查该数据包与现有连接之间的关系,以确定它是否属于现有连接,或者是新的连接请求。

  3. 连接状态:nf_conntrack 能够识别不同的连接状态,如 ESTABLISHED、NEW、RELATED、INVALID 等。这些状态反映了连接的当前状态,从而帮助内核进行适当的数据包过滤和处理。

  4. 过滤与处理:基于连接状态,nf_conntrack 可以与防火墙系统(如 netfilter/iptables)集成,以实现对连接的过滤和处理。它允许管理员定义规则来控制特定连接的进出流量,例如允许或阻止特定端口的数据包通过。

  5. NAT 转换:nf_conntrack 还可以与网络地址转换(NAT)机制结合使用。当进行源地址转换(SNAT)或目标地址转换(DNAT)时,nf_conntrack 可以跟踪转换后的连接状态,并确保返回数据包正确地映射回原始连接。

  6. 负载均衡:nf_conntrack 还在负载均衡环境中发挥作用。它可以识别来自负载均衡器的数据包,并根据连接状态将其分配给适当的服务器。

使用 nf_conntrack 的好处之一是它提供了更高级的数据包处理能力,允许内核基于连接的上下文做出决策。这对于网络安全、网络管理和性能优化非常重要。

需要注意的是,nf_conntrack 的性能受到连接跟踪表大小和系统资源限制的影响。因此,在高负载环境中,可能需要调整连接跟踪表的大小和相关参数,以确保系统的稳定性和性能。

Linux系统nf_conntrack连接跟踪机制简介

linux内核协议栈 netfilter 之连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2697
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
netfilter之conntrack连接跟踪
fengcai_ke的博客
07-18 1465
netfilter conntrack
linux之conntrack连接跟踪
农民工
04-15 3852
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可
Linux中的conntrack命令深入解析
展望、进击
04-03 4055
在Linux网络管理和监控领域,`conntrack`命令是一个强大的工具,它提供了对netfilter连接跟踪系统的直接访问🔍。这篇文章将深入探讨`conntrack`的由来、底层原理、参数意义,以及其常见用法,并对返回结果的每个字段进行详细解释。
Linux网络之连接跟踪conntrack
m0_74282605的博客
03-07 1925
例如,kubernetes的service,ServiceMesh sidecar,4层负载均衡软件LVS/IPVS,容器网络,OpenvSwitch,OpenStack安全组等等都是依赖连接跟踪。我们澄清了conntrack的概念是独立于NAT模块的,但是出于性能考虑,代码可能是耦合的。上图中,假设节点IP 10.1.1.2可以被其他节点访问,但是内部网络地址范围在192.168.1.0/24的,外部访问不了,类似节点上容器地址。更清楚地说,钩子(hook)是一种在包的遍历路径上放置多个检查点的机制
nf_conntrack
weixin_34236497的博客
04-11 923
(服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max 设成 65536) 症状CentOS服务器,负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dmesg或/var/log/messages看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因服务器访问量...
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3545
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
Linux系统nf_conntrack连接跟踪机制简介
qq_36382062的博客
05-11 1万+
1、前言 前段时间接手的一个连接跟踪表满导致网络不通的问题,因此对linux系统的连接跟踪模块进行了学习。本文梳理一下目前对nf_conntrack模块的一些个人理解。 2、连接跟踪机制 背景知识:netfilter Netfilter是一个内核架构,是集成到linux内核协议栈的一套防火墙系统,可通过用户空间(iptables等)的工具来把相关配置下发给Netfilt...
性能常识 [踩坑总结] nf_conntrack: table full, dropping packet [新]
weixin_67553250的博客
03-20 4625
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个 “新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该 “足够好”,其实不是。默认参数面向 “通用” 服务器,不适用于连接数和访问量比较多的场景。 症状 服务器负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dm.
f_ct_expect_event_report': net/netfilter/nf_conntrack_ecache.c:330:41: error: 'struct netns_ct' has no member named 'nf_conntrack_event_cb' 330 | notify = rcu_dereference(net->ct.nf_conntrack_event_cb); | ^
最新发布
07-27
根据引用[4]中提到的连接跟踪机制,我们知道`nf_conntrack`是Linux内核中用于连接跟踪的模块。而`nf_conntrack_ecache`(事件缓存)是连接跟踪的一个扩展,用于向用户空间报告连接跟踪事件。 在历史版本中,`struct...
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
Iptables之nf_conntrack模块
u011029104的专栏
02-18 2112
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
(七)洞悉linux下的Netfilter&iptables:如何理解连接跟踪机制?【下】
01-23 881
连接跟踪系统的初始化流程分析     有了前面的知识,我们再分析连接跟踪系统的初始化ip_conntrack_standalone_init()函数就太容易不过了。还是先上ip_conntrack_standalone_init()函数的流程图: 该函数的核心上图已经标出来了“初始化连接跟踪系统”和“注册连接跟踪的hook函数”。其他两块这里简单做个普及,不展开讲。至少让大家明白连接跟踪
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
Linux nf_conntrack(一)-连接建立
mrtyxr的博客
12-07 1552
网络安全业务正是基于连接展开的,关注的是针对一个连接正反向报文的处理,比如nat,当首包到来时基于报文信息创建连接,并记录针对该连接安全业务处理的相关信息,如nat 原始ip,转换后ip等等,后续同一连接的报文直接查会话进行相关处理,根据连接记录查询针对报文进行的安全业务处理,缩短了后续报文安全业务处理的步骤,提高服务处理的性能,此外连接跟踪也是一种查询定位报文经过哪些安全业务模块处理的手段。本着学习的态度,写下了这篇博客,可能存在误解或不清楚的地方,欢迎大家多提意见,共同学习讨论。
Linux下nf_conntrack(最全面)
董明磊
03-12 1万+
总结如下:dmesg |grep nf_conntrack连接跟踪nf_conntrack:如果输出值中有“nf_conntrack: table full, dropping packet”,说明服务器nf_conntrack表已经被打满如果服务器上跑着iptables,必须使用的情况下:1:高并发服务器内核调整(8核16G为例,不懂请自行百度):net.nf_conntrack_max = ...
Linux路由表的抽象扩展应用于nf_conntrack
TCP/IP
04-19 5557
思想标准IP路由查找的过程为我们提供了一个极好的“匹配-动作”的例程。即匹配到一个路由项,然后将数据包发给该路由项指示的下一跳。如果我们把上面对IP路由查找的过程向上抽象一个层次,就会发现,其实它还可以有别的用。抽象后的表述为:以数据包的源地址或者目标地址为键值去查询一张表,查到结果项以后执行结果项指示的一个动作。一个结果项为:struct result_node { uint32
系统报错:nf_conntrack: 表已满,丢弃数据包
KrbwCoder的博客
09-24 694
在操作系统中,当出现 “nf_conntrack: 表已满,丢弃数据包” 的错误消息时,这意味着系统的连接跟踪表已经达到了其容量限制。您可以通过编辑系统的内核参数来增加连接跟踪表的容量。如果您的系统遭受到大规模的DDoS攻击,您可以考虑限制不必要的连接跟踪。这个错误通常发生在高负载的网络环境中,如服务器上的网络流量较大或遭受到大规模的分布式拒绝服务(DDoS)攻击时。您可以根据您的网络环境和需求,优化系统的连接跟踪设置。在执行任何更改之前,建议您备份重要的配置文件,并在生产环境之前进行适当的测试。
踩坑总结] nf_conntrack: table full, dropping packet
yangzhenzhen的专栏
11-07 6217
  转载:https://testerhome.com/topics/7509 netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值