[问题求助]请问在LINUX下是如何判断数据包属于同一条连接的?? [复制链接]

比如我在某个数.据包中发现了可疑的东西,我就要把它所属的整个TCP连接全部丢弃..这个是通过什么实现的呢???.

主动防御防火墙。哈哈恐怖。

那个连接不会重传的吗?
ip_conntrack又是靠什么来划分同一条连接的呢??
靠端口还是靠什么呢?这个我一直没弄明白,大家原谅啊

[ 本帖最后由 emailwrong 于 2007-4-17 14:10 编辑 ]

TCP连接是端到端的，在IP中端到端的连接可以用网络地址+端口号来标识。因此conntrack中也是IP地址+端口号。

教你两招

招式一：
发现某个数据包有问题的时候，给这个包 MARK
然后利用 connmark 的 save-mark  功能将这个 MARK 保存到链接里
在流程开始的时候，用 restore-mark 还原这个 connmark 里的 MARK 到 packet，方法类似 IPP2P 官方网页介绍的那样

招式二：
发现某个数据包有问题的时候，利用 CONNMARK 直接给某个 session 打 MARK
然后在流程最开始的时候利用 connmark 去匹配某个 session 的 MARK 值，做处理

请问版主,你所说的"流程"是在用户态的么.

还有,版主你说的招式1,它能将此包之前的同连接包也打上MARK,是这个意思吗?还是什么?

>> 请问版主,你所说的"流程"是在用户态的么.
指的是数据包的匹配顺序问题，也就是 rule 的顺序
在匹配到后打标，而在他之前应该有对特殊标记的处理（因为数据包是源源不断过来的）

>> 还有,版主你说的招式1,它能将此包之前的同连接包也打上MARK,是这个意思吗?
对，正是这个意思，具体可以看 ipp2p 的一篇资料，google 他们的官方网站即可
其中用到了 CONNMARK 的两个子功能，--save-mark 和 --restore-mark

因为，在 Linux 系统里，有两个 MARK 值
其中一个是 sk_buff 结构体中的 unsigned long nfmark，这个实际上存放的是该数据包的 MARK 值
另一个就是 conntrack 结构体中的 unsigned long mark，这个存放的是该 connection 的 MARK 值

--save-mark 实际上是将该数据包的 MARK（nfmark）写到该数据包所在的连接的 MARK（mark）里
--restore-mark 实际上是将某连接的 MARK 提取出来复制到当前数据包中

利用这两个特有的机制，可以实现“此数据包标记、彼数据包（同连接的）会有相同标记”，因此可以满足你的需求

明白了,多谢多谢!!!!!!!看来还得多看书啊!!!