12 / 2 页

论坛徽章:: 0

11楼 [报告]

发表于 2009-04-27 00:54 |只看该作者

是不是nf_conntrack模块与上层通讯的方式只有 "proc“呢？如果真那样的话，貌似就只能用“cat的方式”获取了，除非自己改源码加netlink吧

貌似现在的思路越来越明朗了：

关于链接跟踪

1，通过"proc"与nf_conntrack内核模块通讯，获取连接信息

2，通过之前自己已实现ip包过滤模块的hook,来获得ip头，tcp,udp头信息并通过netlink获取连接信息

类似“ipv4 2 tcp 6 5 TIME_WAIT src=192.168.0.25 dst=221.238.249.178 sport=39027 dport=80 packets=6 bytes=1119 src=221.238.249.178 dst=192.168.0.25 sport=80 dport=39027 packets=5 bytes=2474 [ASSURED] mark=0 secmark=0 use=1"

只是里面的bytes mark secmark use TIME_WAIT 这几个信息是从哪拿过来的。

ip包消息头：

struct iphdr {
#if defined(__LITTLE_ENDIAN_BITFIELD)
    __u8    ihl:4,
        version:4;
#elif defined (__BIG_ENDIAN_BITFIELD)
    __u8    version:4,
          ihl:4;
#else
#error    "Please fix <asm/byteorder.h>"
#endif
    __u8    tos;
    __be16    tot_len;
    __be16    id;
    __be16    frag_off;
    __u8    ttl;
    __u8    protocol; __u8是unsigned char类型
    __sum16    check;
    __be32    saddr;
    __be32    daddr;
    /*The options start here. */
};

struct udphdr {
    __be16    source;
    __be16    dest;
    __be16    len;
    __sum16    check;
};

struct tcphdr {
    __be16    source;
    __be16    dest;
    __be32    seq;
    __be32    ack_seq;
#if defined(__LITTLE_ENDIAN_BITFIELD)
    __u16    res1:4,
        doff:4,
        fin:1,
        syn:1,
        rst:1,
        psh:1,
        ack:1,
        urg:1,
        ece:1,
        cwr:1;
#elif defined(__BIG_ENDIAN_BITFIELD)
    __u16    doff:4,
        res1:4,
        cwr:1,
        ece:1,
        urg:1,    
        ack:1,
        psh:1,
        rst:1,
        syn:1,
        fin:1;
#else
#error    "Adjust your <asm/byteorder.h> defines"
#endif    
    __be16    window;
    __sum16    check;
    __be16    urg_ptr;
};

[ 本帖最后由 C__J 于 2009-4-27 02:55 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

12楼 [报告]

发表于 2009-04-27 09:41 |只看该作者

是不是nf_conntrack模块与上层通讯的方式只有 "proc“呢？

因为这里就是提供给用户空间读的，所以就用proc。这个方式比较常用，至于有没别的，我这里暂时没用到过。
对于显示出来的连接信息中各个字段的意思，你可以网上搜一下，或者就看代码好了。其实主要就是TCP协议的状态比较多一些。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

C__J

白手起家

论坛徽章:: 0

13楼 [报告]

发表于 2009-04-27 13:26 |只看该作者

ok,谢谢，我先试试。

目前连接状态我先用"proc"方式读到JAVA那层

然后还是改进下以前的netlink，同时也实现个netlink获取连接状态的。

这几天做出来再分享出来！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

C__J

白手起家

论坛徽章:: 0

14楼 [报告]

发表于 2009-04-28 00:31 |只看该作者

连接状态信息获取出来了，用的另一种思路，不依附以前的netlink，而直接通过系统的proc文件系统获取的信息，这样不要考虑同步异步问题，也提高了多线程的效率。

不过一下午都纠结在如何分解这些字符串中，但后来还是省去了这种繁琐的分解上面。

实现很简单：

while(len_c>0)
     {
         len_c--;

         jobject objTemp = (*env)->AllocObject(env,objectClass);
         if(getline(&line, &length, fp) != -1)
                 {
         (*env)->SetObjectField(env,objTemp,jmessage, (*env)->NewStringUTF(env,line));
                 }
         (*env)->SetObjectArrayElement(env,args, len_c, objTemp);

     }

不过功能有待提高！

[ 本帖最后由 C__J 于 2009-4-28 00:49 编辑 ]