基于包内容的关键字过滤－－－求助

Godbach

看来得网上搜一下又没有测试过IP Queue效率的问题。要么就得自己测试看看了。

dreamice

原帖由 Godbach 于 2009-2-28 15:09 发表
看来得网上搜一下又没有测试过IP Queue效率的问题。要么就得自己测试看看了。

虽然我没有测试结果，但我敢肯定，这个比在内核处理延时要大的，本身就是在内核空间处理用户空间的数据分析，效率都非常低的。

Godbach

本身就是在内核空间处理用户空间的数据分析，效率都非常低的。

其实我觉得，单单从处理报文的应用数据上来看，内核并不一定比应用空间的效率高。相对内核来说，应用空间会有更高效的工具处理应用数据。

sunki

关键字过滤，就算是硬件防火墙也是CPU占100％，可以用snort＋iptables 试试

Godbach

原帖由 sunki 于 2009-3-28 23:58 发表
关键字过滤，就算是硬件防火墙也是CPU占100％，可以用snort＋iptables 试试

这个应该和流量大小有关吧

tompanpan

还是比较赞同dreamice的说法的，我之前有测试过，大概对原有延时会提升50％－150%的增加，但是实际情况是原来延时是<1ms，用ip queue之后延时还是小于<1ms，当然我是用ping做的测试，结果不一定能反应问题本质，毕竟这个影响跟用户层如何处理有关系，但是正如dreamice所说的，从内核到用户态，从用户态到内核态，对效率的影响必定是较大的，这里的效率影响点主要是内核和用户态的切换以及用户态处理的影响两点－_－

gordenisgk

谢谢大家的帮助，我目前以基本上实现了这个功能，我是使用iptables -A INPUT -p tcp --sport 80 -j NFQUEUE使数据包发送到用户空间，然后从数据链路层还原到应用层，主要处理的http协议里面的数据，包括gzip压缩的格式。

platinum

原帖由 gordenisgk 于 2009-4-29 14:49 发表
谢谢大家的帮助，我目前以基本上实现了这个功能，我是使用iptables -A INPUT -p tcp --sport 80 -j NFQUEUE使数据包发送到用户空间，然后从数据链路层还原到应用层，主要处理的http协议里面的数据，包括gzip压缩 ...

呃，这样啊？
那难度不小

如果你要在网络层处理应用层数据流的话，还要考虑丢包重传、乱序等情况
如果你收到的数据包序号是 1、2、3、3、4（3 重传过一次），那么这个数据内容恐怕是不能被 gunzip 的……

gordenisgk

乱序的问题应该不用考虑，Netfilter似乎已经解决了这个问题。到是重传的包有点麻烦，可能这边处理的速度慢了，服务器没有收到ack。我很想做一个网页重定向的功能，不知道怎么实现？

platinum

原帖由 gordenisgk 于 2009-4-30 10:34 发表
乱序的问题应该不用考虑，Netfilter似乎已经解决了这个问题。

好像没有吧
netfilter 可以被看成是一个 hook 点
NAT 模式我不清楚，但如果是桥模式的话，只要 TCP 数据的 window 在合法范围之内，数据被视为是正确的，不会被 DROP，会原封不动的发到另一边

而且无论 netfilter 能否解决乱序问题，正如你所说，重传情况也是必须要考虑的，乱序和重传的情况其实是一样的，如果重传能解决，乱序也没问题