探寻struct ipq_packet_msg结构体大小

在Ubuntu系统中,通过iptables的QUEUE目标处理ICMP数据包时,内核会使用struct ipq_packet_msg结构体传递信息。本文探讨了当从Windows主机向Ubuntu发送ping请求时,如何计算出该结构体的大小为72字节,通过GDB调试揭示了各字段占用的内存位置,从而验证了这一结论。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题来源:

在Ubuntu主机上添加一条iptables命令:sudo iptables -A INPUT -p icmp -j QUEUE,将使得流入该系统的icmp数据包由内核转发到IP Queue中,用户空间的应用程序通过netlink协议与内核空间进行通信,将从IP Queue队列中读取转发的icmp数据包。 内核空间向用户空间转发数据包时,包括一个netlink消息头,接着一个struct ipq_packet_msg结构体,最后是IP数据包。

当从一个windows主机向该Ubuntu主机发送ping命令时,用户空间的应用程序每次从IP Queue中读取到148字节,那这148字节是怎样产生的呢?

分析发现:

我们知道,从148字节中,减去windows主机ping的IP数据包60字节,再减去netlink消息头struct nlmsghdr的16字节(感兴趣的读者可以查阅该结构体包含的具体内容),猜测:剩下的72字节就应该是struct ipq_packet_msg结构体的大小了。

通过在程序中打印sizeof(struct ipq_packet_msg),确实为72字节。

想不通为什么是72字节,于是通过GDB调试,运行时打印struct ipq_packet_msg结构体各变量的地址,发现 char indev_name[IFNAMSIZ]和 char outdev_name[IFNAMSIZ]各占了16字节,难怪如此。

下面将调试的信息列出:

(gdb) p &(ipq_packet->data_len)
$3 = (size_t *) 0xbfae1604
(gdb) p &(ipq_packet->packet_id)
$4 = (long unsigned int *) 0xbfae15c0
(gdb) p &(ipq_packet->mark)
$5 = (long unsigned int *) 0xbfae15c4
(gdb) p &(ipq_packet->hook)
$6 = (unsigned int *) 0xbfae15d0
(gdb) p &(ipq_packet->indev_name)
$7 = (char (*)[16]) 0xbfae15d4
(gdb) p &(ipq_packet->outdev_name)
$8 = (char (*)[16]) 0xbfae15e4
(gdb) p &(ipq_packet->hw_protocol)
$9 = (__be16 *) 0xbfae15f4
(gdb) p &(ipq_packet->hw_type)
$10 = (short unsigned int *) 0xbfae15f6
(gdb) p &(ipq_packet->hw_addrlen)
$11 = (unsigned char *) 0xbfae15f8 "/006"
(gdb) p &(ipq_packet->hw_addr)
$12 = (unsigned char (*)[8]) 0xbfae15f9
(gdb) p &(ipq_packet->payload)
$13 = (unsigned char (*)[0]) 0xbfae1608

可以得出,struct ipq_packet_msg的size是0xbfae1608-0xbfae15c0=0x48,即72字节。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值