使用ip_conntrack实现UDP服务的多进程处理

最新推荐文章于 2024-05-20 10:22:16 发布
最新推荐文章于 2024-05-20 10:22:16 发布
阅读量549 收藏
点赞数
文章标签: 网络 c/c++ 数据结构与算法
本文探讨了如何通过Linux内核Netfilter的nf_conntrack模块实现UDP的多进程处理机制,介绍了利用iptables进行连接负载均衡的方法,并提出了自定义解决方案的思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

UDP是无连接的,一个UDP包发出之后,对端接收到,事情就完了,即使对端没有接收到,事情也随之结束,两端都不会保存任何信息(UDP connect函数仅仅绑定了一个元组,不会对协议通信有影响)。因此无法像TCP那样实现accept。而TCP服务的多处理机制基本都是基于accept的,TCP的侦听socket只负责接受连接,进而调度给一个进程或者线程,accept/fork机制已经成了多处理的必杀技,由于UDP无法实现accept,也就很难实现多处理以及xinetd那样的服务调度程序,可是事情并没有完!
虽然UDP不保存任何连接信息,可是Linux内核Netfilter的nf_conntrack为之保存了一个连接,这个conntrack如果能被使用,那么就可以利用它实现UDP的多处理,接下来唯一的问题就是端口的问题。多进程的UDP服务必须绑定不同的端口(或者不同secondary IP的同一个端口),比如6000-6004五个端口对应五个UDP服务进程,剩下的工作就是将客户端的访问定向到这五个服务中的一个:
iptables -t nat -A LBalance -p udp --dport $port_base -j DNAT --to-destination $LISTEN_ADDR:6000-6004
这样就好了。NAT是有状态的,conntrack模块负责保持这个连接,且NAT仅仅对一个流的头包有效,这样就可以把同一个连接的数据定向到同一个进程了,唯一需要注意的就是,nf_conntrack模块对于保持的连接是有超时时间的,如果过了超时时间,连接数据结构就会被释放掉,因此如果不能保证数据持续传输的情形下,最好在应用层有一定的心跳机制。
何时?iptables可以拥有一个模块,可以将连接定向到一个进程,进程PID可以通过procfs或者sysfs设置,到那时,UDP服务就可以不绑定那么多的端口了。左右思索,觉得还是自己实现一个为好,可以参考TPROXY以及2.4内核Netfilter的owner-pid来实现,在HOOK function中可以有以下的片断:
        struct task_struct *p;
        struct files_struct *files;
        int i;
        p = pid_task(find_get_pid(进程PID,可以通过procfs来配置), PIDTYPE_PID);
        if (!p)
                goto out;
        task_lock(p);
        files = p->files;
        if(files) {
                for (i=0; i < 目前打开的描述符; i++) {
                        struct file *f = files->fd_array[i];
                        if (S_ISSOCK(f->f_path.dentry->d_inode->i_mode)){
                                从file结构体中取出private_data;
                                从private_data映射到socket,进而取出sock结构体;
                                将sock结构体和skb关联;
                        }
                }
        }
        task_unlock(p);
以上只是一个片断,其实还要和conntrack结合对应到具体的流,可能还需要mark机制。
如果一个技术本身没有提供某个机制,那么肯定有其它的层可以为之提供该种功能,这个层可以在上面也可以在下面,对于UDP,你可以在应用层为之封装一个层,类似OpenVPN或者DTLS那样,也可以利用底层的ip_conntrack。

iteye_3759
关注
使用IP Conntrack实现UDP服务多进程处理
ByteGlide的博客
09-25 197
当需要处理大量的UDP数据包时,单个进程可能无法满足要求,这时可以通过多进程的方式来实现并行处理。本文将介绍如何使用IP Conntrack实现UDP服务多进程处理,并提供相应的源代码。下面是一个基于Python的示例代码,演示了如何使用IP Conntrack实现UDP服务多进程处理。值得注意的是,由于使用IP Conntrack模块,多个子进程之间可以共享同一个UDP套接字,而不会发生冲突。通过上述代码,我们可以实现UDP服务多进程处理,提高了处理能力和性能。函数接收UDP数据包,并调用。
《Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(一主多从)》
东城绝神
04-14 1482
《Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署Kubernetes 1.24.12集群(一主多从)》
再次深入到ip_conntrackconntrack full问题
系统运维
02-15 507
增加nf_conntrack_max固然可以缓解这个问题,或者说减小conntrack表项占据内核内存的时间也可以缓解之,然而这种补救措施都是治标不治本的.注解:不要过度减小NEW以及TCP的establish的CT状态的timeout的原因 尽量不要减小NEW状态时间,因为对于某些恶劣的网络,一个数据包的来回确实需要很长时间,对于TCP而言,此时RTT还没有测量呢。如果NEW状态的conntra...
扩展netfilter中udp的contrack字段
cybertan的专栏
10-21 1063
最近遇到这样的一个问题:在router背后有2台pc,通过dhcprelay的方式从外面的dhcpserver获取ip地址。问题描述: 但是当地址租期到一定的时间后,两台pc会去发单播包续自己的ip地址。但是server回这些单播地址的时候,会把ack包回给第一台机器。第二台机器续包不成功之后,会发广播包出去,被router上面的dhcprelay进程处理,然后从外面的dhcpse
ip conntrack 基本原理实现
zhonglinzhang
02-20 9463
1. 数据包分片处理 在netfilter框架下,各个hook点上的hook函数是以一定的优先级挂在一个链表上的,优先级排序是由高到底 module_init(nf_defrag_init); module_exit(nf_defrag_fini);
连接跟踪子系统之L4协议---udp
九天小哥的专栏
04-07 1400
在前面的笔记中有看到,连接跟踪子系统框架只是提供了一种连接的抽象,并且为跟踪一个连接在数据包的传输路径上提供了一种通用的拦截方法,但是要想真正的完成连接的跟踪,还需要具体L3和L4协议的参,之前的笔记已经详细分析了AF_INET协议族的L3协议ipv4具体是如何实现连接跟踪的,这篇笔记以udp协议为例来看看L4协议是如何和连接跟踪子系统框架配合的。 之所以选udp,是因为它足够简单,便于理解,后...
连接跟踪(conntrack)原理、应用以及Linux内核实现
Golden_Chen的专栏
05-11 9514
发现一篇好文章,立即转载了来,原地址:http://arthurchiao.art/blog/conntrack-design-and-implementation-zh/ 摘要 本文介绍连接跟踪(connection tracking,conntrack,CT)的原理,应用,及其在 Linux 内核中的实现。 代码分析基于内核4.19。为使行文简洁,所贴代码只保留了核心逻辑,但都给出了代码 所在的源文件,如有需要请查阅。 水平有限,文中不免有错误之处,欢迎指正交流。 1 引言 连接跟踪是许多.
网络协议深入分析:TCP_IPUDP、HTTP等关键协议详解
[网络协议深入分析:TCP_IPUDP、HTTP等关键协议详解](https://d1g9li960vagp7.cloudfront.net/wp-content/uploads/2022/10/WP-Bilder_TCP_Aufbau-eines-Headers-1024x576.jpg) # 摘要 网络协议是互联网通信的基础...
【Linux网络协议基础】:7个关键点深入理解TCP_IPUDP
[【Linux网络协议基础】:7个关键点深入理解TCP_IPUDP](https://img-blog.csdnimg.cn/20210127182825378.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4...
conntrack作用和原理
toyijiu的专栏
05-20 679
Conntrack(Connection Tracking)是Linux内核中的一个重要模块,它的主要作用是跟踪和维护网络连接的状态信息。Conntrack模块位于内核协议栈的网络层和传输层之间,对经过系统的所有网络数据包进行跟踪和记录。
iptables下udp穿越实用篇:iptablesnatcheck
xutom2006的专栏
09-27 950
Stun协议(Rfc3489、详见http://www.ietf.org/rfc/rfc3489.txt) 提出了4种NAT类型的定义及其分类,并给出了如何检测在用的NAT究竟属于哪种分类的标准。但是,具体到P2P程序如何应用Stun协议及其分类法穿越NAT,则是仁者见仁、智者见智。(因为Stun协议并没有给出也没有必要给出如何穿越NAT的标准) 在拙作“iptable
linux conntrack 原理,十五、Netfilter中conntrack的建立过程
weixin_33467061的博客
05-14 961
我们先来看一下iptables定义的连接状态:INVALID:无效连接,防火墙一般会丢弃该连接NEW:新建立的,既只是通信双方中只一方发送了报文,还没有得到回应的ESTABLISHED:已经得到回应的连接。既通信双方都发送过报文的连接RELATED:关联的连接,既有期望连接关联的连接UNTRACKED:不进行连接跟踪的连接SNAT:配置了SNAT的连接DNAT:配置了DNAT的连接一、一般连接的...
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
ip_conntrack: table full, dropping packet
weixin_34216107的博客
06-07 102
今早发现cacti报警,其中一台服务器宕机。检查了服务器的网络流量正常,系统负载正常,应该不存在snmptimeout的情况。于是查看cacti的日志,发现日志已经停用很久了。。。之后查看了message日志,发现了N多ip_conntrack:tablefull,droppingpacket的信息,且ip都是这台报警的服务器。conntrack:系统会为每一个网络...
简单的状态防火墙
leoysq的博客
03-06 1万+
https://wiki.archlinux.org/index.php/Simple_stateful_firewall#Port_knocking 先决条件 注意:您的内核需要使用iptables支持进行编译。所有股票Arch Linux内核都有iptables支持。 首先,安装userland实用程序iptables或验证它们是否已经安装。 本文假设当前没有设置i
linux之ip_conntrack容易混淆的问题点滴
系统运维
02-16 291
《再次深入到ip_conntrackconntrack full问题》最后的一个问题提示ip_conntrack有一个event机制,可以主动通报ip_conntrack的一些事件,包括追踪信息到期删除等事件,通知给谁呢?当然是通知给所有感兴趣的模块了,其中之一就是用户态进程,这样用户态进程得知可以采取一些措施,比如防火墙上设置一些放过规则等,这个通知机制使用了观察者设计模式。Linux ip_...
UDP中的Connect方法
awangdea99的博客
05-10 2956
上一篇文章中,我发现了UDP也是有这connect方法的,这使我非常不理解,下面为大家讲解一下这个connect方法。 我们知道UDP是无连接的,它可以给多个IP发送数据包,包括广播地址或者多播通信的实现,而这些是TCP/IP无法实现的。 但是UDP提供了这样的一个connect()方法,它有两种使用方式,当使用了这个方法之后,那么就限定了这个socket的使用范围: 只允许从这个指定的SocketAddress 上获得数据包和向这个指定的SocketAddress 发送数据包, 当你一旦通过这个socke
iptables连接跟踪ip_conntrack
weixin_34405557的博客
08-05 1342
一、ip_conntrack模块介绍:ip_conntrack 是Linux NAT一个跟踪连接条目的模块记录着允许的跟踪连接条目ip_conntrack 模块会记录 tcp 通讯协议的 established connection 记录, 而且预设 timeout 时间长达五天 (432,000 秒).所以局域网中当有人使用p2p类的软件就很容易使ip_conntrack达...
linux双网卡指定服务出口IP
最新发布
01-11
### 配置Linux服务器上的双网卡以指定服务使用的出口IP 为了使特定的服务通过不同的网卡发送流量,在Linux系统中可以采用基于策略的路由(Policy Based Routing)。这涉及到创建额外的路由表以及定义相应的规则。 #### 创建自定义路由表 编辑`/etc/iproute2/rt_tables`文件,向其中添加新的条目用于区分不同用途的路由表: ```bash echo "100 tableA" >> /etc/iproute2/rt_tables echo "101 tableB" >> /etc/iproute2/rt_tables ``` 这里假设tableA对应于第一个网卡而tableB则关联到第二个网卡[^1]。 #### 设置静态路由 对于每张网卡都需要设定独立的默认网关。例如如果要让eth0作为主要连接,则可以在其对应的配置脚本里加入如下命令;而对于次要连接即eth1来说同样操作但是指向另一个网关地址[^3]。 针对上述提到的例子中的具体IP分配情况(192.168.10.83 和 172.16.100.152),可以通过下面的方式来进行设置: ```bash ip route add default via GATEWAY_A dev eth0 table tableA ip route add default via GATEWAY_B dev eth1 table tableB ``` 这里的GATEWAY_A和GATEWAY_B分别是两个网卡所连通网络下的默认网关地址[^4]。 #### 添加源地址选择规则 为了让来自某个特定子网的数据包能够按照预设路径转发出去,还需要增加一些规则来指导内核如何处理这些数据流。比如当目标主机位于本地局域网内部时应优先考虑直连链路而不是经过外部路由器转接等情形下就需要这样做。 对于想要强制某些应用程序或进程使用固定的公网IP对外通信的情况而言,最简单的方法就是依据它们绑定监听端口所属范围内的私有IPv4段落来做决定——也就是说只要知道该应用通常占用哪个区间内的TCP/UDP port number就可以据此制定相应策略了。 以下是为每个网卡建立规则的具体方法: ```bash ip rule add from 192.168.10.83 lookup tableA ip rule add from 172.16.100.152 lookup tableB ``` 这意味着任何源自这两个IP之一的数据都将遵循之前定义好的专属路线图进行传输。 #### 应用程序级别的控制 有时可能需要更细粒度地管理哪些服务会经由哪一个物理接口发出请求。这时便可以用iptables配合conntrack模块实现此目的。例如,若希望SSH客户端总是利用eth0发起远程登录尝试的话,可执行下列指令完成这项工作: ```bash iptables -t mangle -A OUTPUT -p tcp --sport 22 -j MARK --set-mark 1 ip rule add fwmark 1 lookup tableA ``` 这段代码片段的作用在于标记所有从ssh守护进程中产生的外出连接,并将其导向至先前已经准备完毕的那个名为tableA的表格当中去查找匹配项以便最终确定实际走哪条线路送出机房之外[^2]。 以上就是在Linux平台上实施多网卡环境下精确调控各业务逻辑单元间通讯行为的一种可行方案概述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值