易截截图软件、单文件、免安装、纯绿色、仅160KB

【转帖LINUX】IP分片重组分析

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
1. 前言
 
对IP碎片的重组是防火墙提高安全性的一个重要手段,通过提前进行碎片重组,可以有效防御各种碎片攻击,Linux内核的防火墙netfilter就自动对IP碎片包进行了重组,本文介绍Linux内核中的IP重组过程,内核代码版本2.4.26。
2. 处理流程
实现IP重组的基本函数为ip_defrag(),在net/ipv4/ip_fragment.c中实现,基本过程是建立碎片处理队列,队列中每个节点是一个链表,这个链表保存同一个连接的碎片,当碎片都到达之后进行数据包重组,或者在一定时间(缺省30秒)内所有碎片包不能到达而释放掉。
2.1 数据结构
 
在处理分片包时,将skb包的cb字段保存碎片控制信息struct ipfrag_skb_cb。
 
#define FRAG_CB(skb) ((struct ipfrag_skb_cb*)((skb)->cb))
 
struct ipfrag_skb_cb
{
 struct inet_skb_parm h;
 int   offset;
};
 
ipq队列节点结构:
 
/* Describe an entry in the "incomplete datagrams" queue. */
struct ipq {
// 下一个
 struct ipq *next;  /* linked list pointers   */
// 最新使用链表
 struct list_head lru_list; /* lru list member    */
// 以下4项用来匹配一组IP分配
 u32  saddr;
 u32  daddr;
 u16  id;
 u8  protocol;
// 状态标志
 u8  last_in;
#define COMPLETE  4   // 数据已经完整
#define FIRST_IN  2   // 第一个包到达
#define LAST_IN   1   // 最后一个包到达
//  接收到的IP碎片链表
 struct sk_buff *fragments; /* linked list of received fragments */
// len是根据最新IP碎片中的偏移信息得出的数据总长
 int  len;  /* total length of original datagram */
// meat是所有碎片实际长度的累加
 int  meat;
 spinlock_t lock;
 atomic_t refcnt;
// 超时
 struct timer_list timer; /* when will this queue expire?  */
// 前一项队列地址
 struct ipq **pprev;
// 数据进入网卡的索引号
&


相关文档:

安装u盘linux系统~~

可安装在U盘上的操作系统 Puppy Linux 4.1 Beta
一、 U盘安装Puppy Linux方法
1、下载安装FlashBoot。可以在google上搜一下下载
运行FlashBoot,按下图红色框选择,点【下一步】
选择你下载的iso镜像,【下一步】
选择你的U盘盘符,不要选错了。点【下一步】
这一步要注意,默认选择的是不格盘。 ......

study linux website

1. LinuxCommand
  LinuxCommand是一个学习Linux命令行最好的网站之一。网站分为:学习Shell、写Shell脚本、脚本库、超级MAN页面。
       http://linuxcommand.org/
2. O’Reilly的Linux命令指南目录
  O’Reilly的Linux命令指南目录是一个极好的快速参考指南,列出了大 ......

Freebsd与linux对比分析


FreeBSD是一个完整的操作系统,包含了从开发工具到各种各样的应用程序。
目前人们认为FreeBSD在稳定性和网络运作上的性能要优于Linux。
它由一个软件开发的核心团队来维护,整个原始程序代码会有组织地进行更新,所以程序代码比较有一致性。
由于人们对FreeBSD的认识比较少,使用范围也比较小,导致了它在对一些新产品 ......

Linux设置环境变量小结

1
、总结背景

linux
系统下,如果你下载并安装了应用程序,很有可能在键入它的名称时出现
“command not found”
的提示内容。如果每次都到安装目标文件夹内,找到可执行文件来进行操作就太繁琐了。这涉及到环境变量
PATH
的设置问题,而
PATH
的设置也是在
linux
下定制环境变量的一个组成部分。 ......

【转帖LINUX】netfilter中的conntrack内核阅读笔记(4)

2008-07-07 22:09
3,init_conntrack:
init_conntrack用于创建一个新的ip_conntrack,并对其进行初始化。
/*1,每一个连接包含两个tuple,original和reply,ip_ct_invert_tuple 根据传入的original tuple获取其reply tuple,其最终将调用所属协议的invert_tuple 完成处理*/
   if (!ip_ct_invert_tuple(& ......
© 2009 ej38.com All Rights Reserved. 关于E健网联系我们 | 站点地图 | 赣ICP备09004571号