2011年(25)
分类: LINUX
2011-04-07 08:48:37
本文转自:http://hi.baidu.com/penzo/blog/item/1f720688971dbe98a4c27202.html
问题来源:
在Ubuntu主机上添加一条iptables命令:sudo iptables -A INPUT -p icmp -j QUEUE,将使得流入该系统的icmp数据包由内核转发到IP Queue中,用户空间的应用程序通过netlink协议与内核空间进行通信,将从IP Queue队列中读取转发的icmp数据包。 内核空间向用户空间转发数据包时,包括一个netlink消息头,接着一个struct ipq_packet_msg结构体,最后是IP数据包。
当从一个windows主机向该Ubuntu主机发送ping命令时,用户空间的应用程序每次从IP Queue中读取到148字节,那这148字节是怎样产生的呢?
分析发现:
我们知道,从148字节中,减去windows主机ping的IP数据包60字节,再减去netlink消息头struct nlmsghdr的16字节(感兴趣的读者可以查阅该结构体包含的具体内容),猜测:剩下的72字节就应该是struct ipq_packet_msg结构体的大小了。
通过在程序中打印sizeof(struct ipq_packet_msg),确实为72字节。
想不通为什么是72字节,于是通过GDB调试,运行时打印struct ipq_packet_msg结构体各变量的地址,发现 char indev_name[IFNAMSIZ]和 char outdev_name[IFNAMSIZ]各占了16字节,难怪如此。
下面将调试的信息列出:
(gdb) p &(ipq_packet->data_len)
$3 = (size_t *) 0xbfae1604
(gdb) p &(ipq_packet->packet_id)
$4 = (long unsigned int *) 0xbfae15c0
(gdb) p &(ipq_packet->mark)
$5 = (long unsigned int *) 0xbfae15c4
(gdb) p &(ipq_packet->hook)
$6 = (unsigned int *) 0xbfae15d0
(gdb) p &(ipq_packet->indev_name)
$7 = (char (*)[16]) 0xbfae15d4
(gdb) p &(ipq_packet->outdev_name)
$8 = (char (*)[16]) 0xbfae15e4
(gdb) p &(ipq_packet->hw_protocol)
$9 = (__be16 *) 0xbfae15f4
(gdb) p &(ipq_packet->hw_type)
$10 = (short unsigned int *) 0xbfae15f6
(gdb) p &(ipq_packet->hw_addrlen)
$11 = (unsigned char *) 0xbfae15f8 "\006"
(gdb) p &(ipq_packet->hw_addr)
$12 = (unsigned char (*)[8]) 0xbfae15f9
(gdb) p &(ipq_packet->payload)
$13 = (unsigned char (*)[0]) 0xbfae1608
可以得出,struct ipq_packet_msg的size是0xbfae1608-0xbfae15c0=0x48,即72