Chinaunix首页 | 论坛 | 博客

ojhsky的ChinaUnix博客

首页 |  博文目录 |  关于我

ojhsky

  • 博客访问: 174763
  • 博文数量: 33
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 501
  • 用 户 组: 普通用户
  • 注册时间: 2013-03-26 11:00
文章分类

全部博文(33)

文章存档

2014年(11)

2013年(22)

我的朋友
最近访客
推荐博文
相关博文
TCP连接成功与失败的统计

分类: LINUX

2013-03-27 12:47:04

1. 需求描述

有一个客户的统计需求是这样的:
1. The total number of successful TCP-connections through WAN port
2. Total the number of failed attempts TCP-connections WAN port



2. 需求分析

对以上需求,理解如下:
* 从LAN侧来,访问AP本身的包           ---------不需要统计
* 从LAN侧来,通过WAN口发送出去的包    ---------需要统计
* 由AP本身产生,通过WAN口发送出去的包 ---------需要统计
* 从WAN口进来,访问AP本身的包         ---------需要统计
以上说的不需要统计,是指需求里不需要这一项的结果。


以下描述将基于这样两个前提:
* LAN侧来的包的源地址,必须是跟我们的AP的br0是同一个网段的
* 本次统计只统计路由WAN连接的,而不统计桥WAN连接的


3. 需求实现

3.1 成功的统计

所谓成功就是看到REPLY包了的TCP连接,事实上,由于er3_tcp_success调用位置比较特殊,所以在调用er3_tcp_success时已经相当于IP_CT_ESTABLISHED状态了。

下面是代码(存在伪代码):

点击(此处)折叠或打开

  1. int er3_tcp_success_count = 0;
  2. void er3_tcp_success(struct nf_conn *ct)
  3. {
  4.     struct nf_conntrack_tuple *t = &(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
  5.     u32 lan_ip = get_lan_ip();


  8.     // 1. <---- 不是TCP的不统计
  9.     if (t->dst.protonum != TCP)
  10.     {
  11.         return ;
  12.     }


  15.     // 2. <---- 从LAN侧访问AP本身的,不统计
  16.     if (t->dst.u3.ip == lan_ip)
  17.     {
  18.         return;
  19.     }


  22.     if (test_bit(IPS_SEEN_REPLY_BIT, &ct->status))
  23.     {
  24.         er3_tcp_success_count++;
  25.     }


  28.     return ;
  29. }


  32. resolve_normal_ct(...)
  33. {
  34.     ...
  35.     if (NF_CT_DIRECTION(h) == IP_CT_DIR_REPLY) {
  36.         *ctinfo = IP_CT_ESTABLISHED + IP_CT_IS_REPLY;
  37.         /* Please set reply bit if this packet OK */
  38.         *set_reply = 1;
  39.     } else {
  40.         /* Once we've had two way comms, always ESTABLISHED. */
  41.         if (test_bit(IPS_SEEN_REPLY_BIT, &ct->status)) {
  42.             pr_debug("nf_conntrack_in: normal packet for %p\n", ct);
  43.             *ctinfo = IP_CT_ESTABLISHED;
  44.             er3_tcp_success(ct);// 3. <---- 在这里调用er3_tcp_success进行统计
  45.         } else if (test_bit(IPS_EXPECTED_BIT, &ct->status)) {
  46.             pr_debug("nf_conntrack_in: related packet for %p\n",
  47.                  ct);
  48.             *ctinfo = IP_CT_RELATED;
  49.         } else {
  50.             pr_debug("nf_conntrack_in: new packet for %p\n", ct);
  51.             *ctinfo = IP_CT_NEW;
  52.         }
  53.         *set_reply = 0;
  54.     }
  55.     ...
  56. }




3.2 失败的包的统计

在这里,我们认为失败的TCP连接是这样的:到了超时了还没看到REPLY包。

下面是代码(存在伪代码):

点击(此处)折叠或打开

  1. int er3_tcp_fail_count = 0;
  2. void er3_tcp_fail(struct nf_conn *ct)
  3. {
  4.     struct nf_conntrack_tuple *t = &(ct->tuplehash[IP_CT_DIR_ORIGINAL].tuple);
  5.     u32 lan_ip = get_lan_ip();


  8.     // 1. <---- 不是TCP的不统计
  9.     if (t->dst.protonum != TCP)
  10.     {
  11.         return ;
  12.     }


  15.     // 2. <---- 从LAN侧访问AP本身的,不统计
  16.     if (t->dst.u3.ip == lan_ip)
  17.     {
  18.         return;
  19.     }


  22.     //超时了还没看见回包的,肯定是失败的
  23.     if (!test_bit(IPS_SEEN_REPLY_BIT, &ct->status))
  24.     {
  25.         er3_tcp_fail_count++;
  26.     }


  29.     return ;
  30. }


  33. death_by_timeout(...)
  34. {
  35.     ...
  36.     er3_tcp_fail(ct); // 3. <---- 这里统计失败的。
  37.     spin_lock_bh(&nf_conntrack_lock);
  38.     /* Inside lock so preempt is disabled on module removal path.
  39.      * Otherwise we can get spurious warnings. */
  40.     NF_CT_STAT_INC(net, delete_list);
  41.     clean_from_lists(ct);
  42.     spin_unlock_bh(&nf_conntrack_lock);
  43.     nf_ct_put(ct);
  44. }
这里还需要考虑用户使用flush_conntrack命令清除连接跟踪表的情况,因为在这种情况下,它即不是超时,也不是连接成功的情况。但是这种情况发生的概率还是比较小的,而且我们的统计应该允许有一定范围的误差吧。



阅读(2149) | 评论(0) | 转发(0) |
0

上一篇:关于知识积累

下一篇:打印skb内容的一小段代码

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6