Chinaunix首页 | 论坛 | 博客
  • 博客访问: 76796
  • 博文数量: 25
  • 博客积分: 692
  • 博客等级: 上士
  • 技术积分: 205
  • 用 户 组: 普通用户
  • 注册时间: 2010-03-29 15:42
文章分类
文章存档

2011年(25)

分类: LINUX

2011-04-07 08:48:37

本文转自:http://hi.baidu.com/penzo/blog/item/1f720688971dbe98a4c27202.html

问题来源:

在Ubuntu主机上添加一条iptables命令:sudo iptables -A INPUT -p icmp -j QUEUE,将使得流入该系统的icmp数据包由内核转发到IP Queue中,用户空间的应用程序通过netlink协议与内核空间进行通信,将从IP Queue队列中读取转发的icmp数据包。 内核空间向用户空间转发数据包时,包括一个netlink消息头,接着一个struct ipq_packet_msg结构体,最后是IP数据包。

当从一个windows主机向该Ubuntu主机发送ping命令时,用户空间的应用程序每次从IP Queue中读取到148字节,那这148字节是怎样产生的呢?

分析发现:

我们知道,从148字节中,减去windows主机ping的IP数据包60字节,再减去netlink消息头struct nlmsghdr的16字节(感兴趣的读者可以查阅该结构体包含的具体内容),猜测:剩下的72字节就应该是struct ipq_packet_msg结构体的大小了。

通过在程序中打印sizeof(struct ipq_packet_msg),确实为72字节。

想不通为什么是72字节,于是通过GDB调试,运行时打印struct ipq_packet_msg结构体各变量的地址,发现 char indev_name[IFNAMSIZ]和 char outdev_name[IFNAMSIZ]各占了16字节,难怪如此。

下面将调试的信息列出:

(gdb) p &(ipq_packet->data_len)
$3 = (size_t *) 0xbfae1604
(gdb) p &(ipq_packet->packet_id)
$4 = (long unsigned int *) 0xbfae15c0
(gdb) p &(ipq_packet->mark)
$5 = (long unsigned int *) 0xbfae15c4
(gdb) p &(ipq_packet->hook)
$6 = (unsigned int *) 0xbfae15d0
(gdb) p &(ipq_packet->indev_name)
$7 = (char (*)[16]) 0xbfae15d4
(gdb) p &(ipq_packet->outdev_name)
$8 = (char (*)[16]) 0xbfae15e4
(gdb) p &(ipq_packet->hw_protocol)
$9 = (__be16 *) 0xbfae15f4
(gdb) p &(ipq_packet->hw_type)
$10 = (short unsigned int *) 0xbfae15f6
(gdb) p &(ipq_packet->hw_addrlen)
$11 = (unsigned char *) 0xbfae15f8 "\006"
(gdb) p &(ipq_packet->hw_addr)
$12 = (unsigned char (*)[8]) 0xbfae15f9
(gdb) p &(ipq_packet->payload)
$13 = (unsigned char (*)[0]) 0xbfae1608

可以得出,struct ipq_packet_msg的size是0xbfae1608-0xbfae15c0=0x48,即72

阅读(1090) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~