连接跟踪流量统计

最新推荐文章于 2022-06-30 19:35:07 发布
原创 最新推荐文章于 2022-06-30 19:35:07 发布 · 1.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#conntrack #accounting

本文深入解析了Linux内核中连接跟踪的流量统计机制,包括acct扩展的注册与使用、统计扩展的添加条件、统计信息的更新流程及异常情况处理等核心内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

连接跟踪的流量统计由扩展acct_extend实现,模块初始化函数nf_conntrack_acct_init注册连接跟踪扩展。

static const struct nf_ct_ext_type acct_extend = {
    .len    = sizeof(struct nf_conn_acct),
    .align  = __alignof__(struct nf_conn_acct),
    .id = NF_CT_EXT_ACCT,
};
int nf_conntrack_acct_init(void)
{
    int ret = nf_ct_extend_register(&acct_extend);
    if (ret < 0)
        pr_err("Unable to register extension\n");
    return ret;
}

对于连接跟踪的每个命名空间,由遍历nf_ct_acct控制初始情况下是否开启流量统计,nf_ct_acct可在模块加载时指定值。

void nf_conntrack_acct_pernet_init(struct net *net)
{
    net->ct.sysctl_acct = nf_ct_acct;
}
int nf_conntrack_init_net(struct net *net)
{
    ...
    nf_conntrack_acct_pernet_init(net);

另外,可通过PROC文件修改命名空间sysctl_acct的值。

# sysctl -a | grep nf_conntrack_acct
net.netfilter.nf_conntrack_acct = 1

连接跟踪acct扩展

在初始化一个新的连接时,由函数nf_ct_acct_ext_add添加流量统计扩展。

static noinline struct nf_conntrack_tuple_hash *
init_conntrack(struct net *net, struct nf_conn *tmpl,
           const struct nf_conntrack_tuple *tuple,
           struct sk_buff *skb,
           unsigned int dataoff, u32 hash)
{
    struct nf_conn *ct;

    zone = nf_ct_zone_tmpl(tmpl, skb, &tmp);
    ct = __nf_conntrack_alloc(net, zone, tuple, &repl_tuple, GFP_ATOMIC,
                  hash);
    if (IS_ERR(ct))
        return (struct nf_conntrack_tuple_hash *)ct;

    nf_ct_acct_ext_add(ct, GFP_ATOMIC);

如下,如果命名空间连接跟踪中sysctl_acct为真,才能真正添加统计扩展。

static inline
struct nf_conn_acct *nf_ct_acct_ext_add(struct nf_conn *ct, gfp_t gfp)
{
#if IS_ENABLED(CONFIG_NF_CONNTRACK)
    struct net *net = nf_ct_net(ct);
    struct nf_conn_acct *acct;

    if (!net->ct.sysctl_acct)
        return NULL;

    acct = nf_ct_ext_add(ct, NF_CT_EXT_ACCT, gfp);
    if (!acct)
        pr_debug("failed to add accounting extension area");
    
    
    return acct;
#else
    return NULL;
#endif

统计操作

基础函数nf_ct_acct_add负责增加统计扩展中的报文合字节计数。

void nf_ct_acct_add(struct nf_conn *ct, u32 dir, unsigned int packets,
            unsigned int bytes)
{
    struct nf_conn_acct *acct;

    acct = nf_conn_acct_find(ct);
    if (acct) {
        struct nf_conn_counter *counter = acct->counter;

        atomic64_add(packets, &counter[dir].packets);
        atomic64_add(bytes, &counter[dir].bytes);

函数nf_ct_acct_update用于增加一个报文统计,以及报文的字节统计。

static inline void nf_ct_acct_update(struct nf_conn *ct, u32 dir,
                     unsigned int bytes)
{
#if IS_ENABLED(CONFIG_NF_CONNTRACK)
    nf_ct_acct_add(ct, dir, 1, bytes);
#endif
}

内核在执行连接跟踪刷新时,增加统计信息,调用更新函数nf_ct_acct_update。

void __nf_ct_refresh_acct(struct nf_conn *ct,
              enum ip_conntrack_info ctinfo,
              const struct sk_buff *skb,
              u32 extra_jiffies,
              bool do_acct)
{
    /* Only update if this is not a fixed timeout */
    if (test_bit(IPS_FIXED_TIMEOUT_BIT, &ct->status))
        goto acct;
    ...
acct:
    if (do_acct)
        nf_ct_acct_update(ct, CTINFO2DIR(ctinfo), skb->len);

统计路径

在报文进入netfilter系统时,增加统计计数,即在函数nf_conntrack_in中。进入netfilter系统的hook点有NF_INET_PRE_ROUTING,NF_INET_LOCAL_OUT,以及网桥的hook点NF_BR_PRE_ROUTING。

unsigned int
nf_conntrack_in(struct sk_buff *skb, const struct nf_hook_state *state)
{
    ...
    ct = nf_ct_get(skb, &ctinfo);
    if (!ct) {
        /* Not valid part of a connection */
        NF_CT_STAT_INC_ATOMIC(state->net, invalid);
        ret = NF_ACCEPT;
        goto out;
    }
    ret = nf_conntrack_handle_packet(ct, skb, dataoff, ctinfo, state);

统计信息最终在各个协议处理函数中处理。

static int nf_conntrack_handle_packet(struct nf_conn *ct,
                      struct sk_buff *skb,
                      unsigned int dataoff,
                      enum ip_conntrack_info ctinfo,
                      const struct nf_hook_state *state)
{
    switch (nf_ct_protonum(ct)) {
    case IPPROTO_TCP:
        return nf_conntrack_tcp_packet(ct, skb, dataoff, ctinfo, state);
    case IPPROTO_UDP:
        return nf_conntrack_udp_packet(ct, skb, dataoff, ctinfo, state);
    case IPPROTO_ICMP:
        return nf_conntrack_icmp_packet(ct, skb, ctinfo, state);
    ...
    }
    return generic_packet(ct, skb, ctinfo);

对于TCP协议,在处理的最后,调用连接跟踪的刷新函数nf_ct_refresh_acct,内部将更新统计数据。

int nf_conntrack_tcp_packet(struct nf_conn *ct,
                struct sk_buff *skb,
                unsigned int dataoff,
                enum ip_conntrack_info ctinfo,
                const struct nf_hook_state *state)
{
    ...
    nf_ct_refresh_acct(ct, ctinfo, skb, timeout);
    return NF_ACCEPT;

对于UDP协议,由于对连接跟踪的不同状态的超时时长的不同设置,刷新函数分在两个分支中调用。

int nf_conntrack_udp_packet(struct nf_conn *ct,
                struct sk_buff *skb,
                unsigned int dataoff,
                enum ip_conntrack_info ctinfo,
                const struct nf_hook_state *state)
{
    ...
    if (test_bit(IPS_SEEN_REPLY_BIT, &ct->status)) {
        unsigned long extra = timeouts[UDP_CT_UNREPLIED];

        /* Still active after two seconds? Extend timeout. */
        if (time_after(jiffies, ct->proto.udp.stream_ts))
            extra = timeouts[UDP_CT_REPLIED];

        nf_ct_refresh_acct(ct, ctinfo, skb, extra);
        ...
    } else {
        nf_ct_refresh_acct(ct, ctinfo, skb, timeouts[UDP_CT_UNREPLIED]);
    }

对于ICMP协议,函数最后调用连接跟踪刷新函数nf_ct_refresh_acct,同时,更新统计数据。

int nf_conntrack_icmp_packet(struct nf_conn *ct,
                 struct sk_buff *skb,
                 enum ip_conntrack_info ctinfo,
                 const struct nf_hook_state *state)
{    
    if (!timeout) 
        timeout = &nf_icmp_pernet(nf_ct_net(ct))->timeout;
    
    nf_ct_refresh_acct(ct, ctinfo, skb, *timeout);
    return NF_ACCEPT;

对于协议GRE、DCCP、SCTP、ICMPv6等,统计数据的更新类似。

异常统计数据

对于TCP连接,如果连接还没有建立,接收到复位RST报文,删除连接跟踪。

int nf_conntrack_tcp_packet(struct nf_conn *ct,
                struct sk_buff *skb,
                unsigned int dataoff,
                enum ip_conntrack_info ctinfo,
                const struct nf_hook_state *state)
{

    if (!test_bit(IPS_SEEN_REPLY_BIT, &ct->status)) {
        /* If only reply is a RST, we can consider ourselves not to
           have an established connection: this is a fairly common
           problem case, so we can delete the conntrack
           immediately.  --RR */
        if (th->rst) {
            nf_ct_kill_acct(ct, ctinfo, skb);
            return NF_ACCEPT;
        }

首先更新连接跟踪的统计数据,之后将其删除。

bool nf_ct_kill_acct(struct nf_conn *ct,
             enum ip_conntrack_info ctinfo,
             const struct sk_buff *skb)
{
    nf_ct_acct_update(ct, CTINFO2DIR(ctinfo), skb->len);
        
    return nf_ct_delete(ct, 0, 0);

连接跟踪冲突

如果两个连接跟踪冲突,已经存在的表项没有经过NAT转换(SNAT/DNAT),或者两者完全相同(nf_ct_match),将新的连接跟踪删除,将当前报文的统计信息合并到已经存在的表项中。

static int __nf_ct_resolve_clash(struct sk_buff *skb,
                 struct nf_conntrack_tuple_hash *h)
{   
    /* This is the conntrack entry already in hashes that won race. */
    struct nf_conn *ct = nf_ct_tuplehash_to_ctrack(h);
    struct nf_conn *loser_ct;
    
    loser_ct = nf_ct_get(skb, &ctinfo);
    
    if (nf_ct_is_dying(ct))
        return NF_DROP;
    
    if (((ct->status & IPS_NAT_DONE_MASK) == 0) ||
        nf_ct_match(ct, loser_ct)) {
        struct net *net = nf_ct_net(ct);
        
        nf_conntrack_get(&ct->ct_general);
        
        nf_ct_acct_merge(ct, ctinfo, loser_ct);
        nf_ct_add_to_dying_list(loser_ct);

需要合并的仅一个报文,只需要读出其字节数,添加到已有连接跟踪即可。

static void nf_ct_acct_merge(struct nf_conn *ct, enum ip_conntrack_info ctinfo,
                 const struct nf_conn *loser_ct)
{
    struct nf_conn_acct *acct;

    acct = nf_conn_acct_find(loser_ct);
    if (acct) {
        struct nf_conn_counter *counter = acct->counter;
        unsigned int bytes;

        /* u32 should be fine since we must have seen one packet. */
        bytes = atomic64_read(&counter[CTINFO2DIR(ctinfo)].bytes);
        nf_ct_acct_update(ct, CTINFO2DIR(ctinfo), bytes);

快速路径统计数据

由于flowtable的处理跳过了netfilter的hook点,在flowtable的处理中需要另外进行数据统计。

unsigned int
nf_flow_offload_ip_hook(void *priv, struct sk_buff *skb,
            const struct nf_hook_state *state)
{

    if (flow_table->flags & NF_FLOWTABLE_COUNTER)
        nf_ct_acct_update(flow->ct, tuplehash->tuple.dir, skb->len);

unsigned int
nf_flow_offload_ipv6_hook(void *priv, struct sk_buff *skb,
              const struct nf_hook_state *state)
{
    if (flow_table->flags & NF_FLOWTABLE_COUNTER)
        nf_ct_acct_update(flow->ct, tuplehash->tuple.dir, skb->len);

内核版本 5.10

nlbwmon:基于简单conntrack流量统计
05-08
nlbwmon-基于简单conntrack netlink的流量统计 描述 可以在Linux路由器上使用nlbwmon监视网络主机使用的带宽。 收集网络统计信息并将其存储在数据库中。 客户端实用程序(nlbw)可以查询守护程序以获取当前统计信息。 默认情况下,nlbwmon从一个月的第一天开始跟踪一个月间隔内使用的带宽。 对于每个间隔,将保留一个数据库,默认情况下最多保留10个数据库,之后将删除最旧的数据库。 nlbwmon按IP版本(ipv4 / ipv6),IP地址,MAC地址和layer7协议(即端口号)跟踪流量。 所有跟踪信息都保存在数据库中。 默认协议文件包含大约45个端口定义。 用户可以根据需要在此文件中添加/删除端口。 与端口定义不匹配的所有流量都归类为“其他”。 注意:如果用户对第7层协议信息不感兴趣,则从协议文件中删除所有protcool会将所有流量分类为“其他”,
流量统计
bonlog的专栏
08-12 757
dfdffdfdfd
netfilter连接跟踪统计
redwingz的博客
04-03 1229
连接跟踪统计模块初始化函数nf_conncount_modinit如下,首先初始化256(CONNCOUNT_SLOTS)个自旋锁,保护对应的256个槽位,每个槽位对应一个红黑树,每个树节点为结构(nf_conncount_rb),对应于键值;而树节点结构中的链表成员,包含所有匹配键值的连接跟踪(nf_conncount_tuple),以及数量统计。 之后,函数分配两个内核缓存,用于加速以上两个结构体的分配。 static int __init nf_conncount_modinit(void) {
设备流量、网速统计及上下线提醒(基于netfilter编程)
yuyu0602的博客
07-18 1811
1.实验原理简介: netfilter的框架上进行数据捕获,分别监控每台子网设备流量信息。 在netfilter的pre_routing统计上传流量和上行速度以及在post_routing节点统计下载流量和下行速度,通过/proc文件系统提供给上层应用程序利用。      代码思路    代码首先剔除arp数据(提取ip包)  2.过滤局域网外其他干扰设备数据、本地数据、广播数据  3...
netfilter采集网络流量
09-21
在Linux内核中安装钩子截获网络数据包 统计流量发送至用户层,用户层统计所有流量
基于PHP的matomo(Piwik)开源网站流量统计系统源码.zip
最新发布
08-27
Matomo(原名Piwik)是一款基于PHP的开源网站流量统计系统,它的设计目标是为用户提供高度自定义的、隐私友好的网站分析解决方案。这款工具允许网站管理员追踪和分析访客的行为,包括页面浏览量、来源、关键词、用户...
JSP实现网站流量统计
09-07
- **安装说明.txt**:可能包含安装和配置JSP环境以及数据库连接的步骤,确保能正确运行流量统计程序。 - **www.knowsky.com.txt**:可能是某个网站的示例或教程链接,用于参考和学习JSP流量统计的实现。 - **动态...
[工具查询]JSP流量统计系统_jspcount.zip
04-04
【JSP流量统计系统】是一个基于Java JSP技术的老旧应用源码,主要适用于学生进行毕业设计学习。这个系统能够帮助用户了解如何在Web开发中实现对网站流量的监测和分析,是学习Java Web开发的一个实用案例。在这个项目...
车辆检测_车流量统计_车辆检测_
10-03
车辆检测与车流量统计是智能交通系统中的关键技术,它们在城市交通管理、道路安全和交通规划等方面发挥着重要作用。本文将深入探讨这两个概念及其在实际应用中的实现过程。 首先,我们要理解车辆检测的基本原理。...
asp通用流量统计代码
03-24
ASP通用流量统计代码是Web开发中的一个重要组成部分,它主要用于跟踪和分析网站的访问情况,包括访问人数、页面浏览量、用户行为等数据。ASP(Active Server Pages)是一种由微软开发的服务器端脚本语言,它允许...
conntracct:低开销,实时网络流量监控,由eBPF和conntrack提供支持
03-17
连贯性 Conntracct是一种用于从Linux主机,防火墙,网关,容器或虚拟化主机(甚至是中高端嵌入式设备)提取网络流信息的工具。 它不会以任何方式捕获或分析数据包,而是以最小的开销使用eBPF挂接到Conntrack的计费子系统。 概述 Conntracct包含一个度量标准管道,该度量标准管道支持将用于单个网络流的数据包/字节计数器运送到后端,例如InfluxDB和ElasticSearch,可以在其中实时查询和可视化它们。 兼容性 支持以下主要发行版: 德比安 拉紧 克星 的Ubuntu Xenial(带有硬件启用内核) 仿生的 费朵拉 Arch Linux 最低要求的内核版本是4.9。 对于具有滚动版本的发行版,随着内核内部数据结构随着时间的推移而发展,预计会出现破坏。 如果在滚动发行版上运行项目时遇到任何问题,请创建一个问题。 路线图 针对amd64 Linux机器的
Linux下如何对端口流量进行统计
01-20
在不修改源代码的情况下对程序暴露端口流量进行监控统计,可以利用Linux中自带的Iptable添加简单的规则让其起到端口流量统计的作用。但是需要注意的是在服务器重启、Iptable服务重启的时候统计数据会被重置清零。 添加需要统计的端口 1、输入监控 下面示例是监控目标端口是8080的输入流量 –dport(destination port 的缩写) iptables -A INPUT -p tcp --dport 8080 2、输出监控 下面示例是监控来源端口是8080的输出流量 –sport(source port 的缩写) iptables -A OUTPUT -p tcp --sp
【智能路由器】设备流量、网速统计及上下线提醒(基于netfilter编程)
热门推荐
图像、视频、算法、Linux
01-13 2万+
【智能路由器】系列文章连接 http://blog.csdn.net/u012819339/article/category/5803489模块目的本文用户流量统计统计路由器子网下每台设备的流量,下图展现了该模块具体是要实现怎样的功能 内核模块依然是在netfilter的框架上进行数据捕获,分别监控每台子网设备流量信息。 原理:在netfilter的pre_routing统计上传流量和上行
连接跟踪之扩展
rondyning的博客
11-12 847
1 扩展主要数据结构 如图所示: 2 添加扩展 nf_ct_ext_add的流程图: 3 扩展的限制 连接跟踪模块加载时的初始化函数里会判断各种扩展类型数据的总长度是否大于255,大于255则编译报错。缘由是扩展功能结构体nf_ct_ext的len为u8,即len不能大于255,否则len会溢出。len是扩展功能的数据总长度,包含结构体头部。 int nf_conntrack_init_start(void) { int max_factor = 8; int ret =
连接跟踪超时扩展
redwingz的博客
01-16 2130
连接跟踪超时扩展,允许应用层对连接的超时时长进行修改控制。如下,新增IPv4 TCP协议超时策略(tcp0,最大4个字符),其中指定4个状态的超时时长,其它采用默认值。随后,使用iptables命令将此策略应用到所有的连接跟踪tcp报文。 # nfct timeout add tcp0 inet tcp established 1000 close 10 time_wait 10 last_ack 10 # # nfct timeout list .tcp0 = { .l3proto =
41、流量统计--代码实现
大星星的专栏
01-26 8861
类似程序管理器、进程管理器里的软件信息、进程信息,设置一个TrafficInfo结构体来表示流量信息: package com.example.mobilesafe.engine; import android.graphics.drawable.Drawable; /** * Created by sing on 14-1-26. * desc: */ public class Tr
php count 数量不准,nfconntrackcount统计计数不准问题,大家有没有遇到过!!!
weixin_39635084的博客
03-21 326
nfconntrackcount统计计数不准问题,大家有没有遇到过!!!(2012-07-21 03:59:43)标签:计数统计杂谈nf_conntrack_count统计计数不准问题,大家有没有遇到过!!!我现在遇到一个问题系统起来后nf_conntrack_count为1但是cat /proc/net/netfilter/ip_conntrack里面是空的这是什么原因呢,有人遇到过吗,我怀疑内...
连接跟踪扩展数据问题修改
turanwangguan的博客
02-24 273
连接跟踪扩展数据问题修改 内核版本:4.14 问题分析描述: 首先看一下连接跟踪扩展数据添加的代码。在连接跟踪上添加扩展数据的时候会调用nf_ct_ext_add函数。如下代码所示,在第一次添加扩展数据时,会首先分配扩展数据内存,指定扩展数据最小为128字节。后续如果在连接上继续添加很多其他的扩展数据结构,导致扩展数据的实际大小超过了128字节,就会调用realloc去根据新扩展数据的大小重新分配扩展数据的内存,并将原扩展数据内容copy到新内存。 对应代码如下: 但是,如下面的数据结构图所示,struc
修改netfilter的limit模块实现基于单个ip的流量监控
maimang1001的专栏
06-30 658
修改netfilter的limit模块实现基于单个ip的流量监控_dog250的博客-CSDN博客1.问题和思路 linux内核的netfilter框架中有一个叫做limit的模块,用于匹配单位时间内过往的包的数量,注意,这个模块实现了一个match,而不能直接用于流控的目的,因此你不能直接使用下列的命令实现流控:iptables –A FORWARD –s xxx –d yyy –m limit ... –j DROP因为这样的话,所有匹配到的数据包就都被drop掉了。你应该这https://blog.
PHP流量统计源码:高效监控网站流量
随着互联网技术的发展,网站和应用程序的流量统计分析变得越来越重要。流量统计可以帮助开发者和网站管理者了解用户行为,优化产品设计,提升用户体验,并且对于网站的营销策略和广告投放也有重要的指导意义。PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值