亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　應(yīng)用場(chǎng)景

　　我們?cè)谶M(jìn)行安全性監(jiān)控、測(cè)試的過(guò)程中，難免會(huì)遇到這樣的問(wèn)題：需要部署大量基于鏡像流量的安全設(shè)備，如IPS，異常流量，數(shù)據(jù)庫(kù)審計(jì)，流量分析等，可是交換機(jī)上可以做鏡像流量的端口數(shù)量有限制，購(gòu)買專業(yè)的設(shè)備又太昂貴。

　　本文就針對(duì)此種情況，從Linux內(nèi)核模塊對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)包進(jìn)行處理，解決上述問(wèn)題。這里也感謝“白金PT”給予的幫助。

　　架構(gòu)設(shè)計(jì)

　　內(nèi)核模塊的流程比較簡(jiǎn)單，轉(zhuǎn)發(fā)配置從用戶態(tài)提交給內(nèi)核模塊，如”eth1@eth2_eth1@eth3_eth1/eth4@eth5“，這段的配置是：

　　來(lái)自eth1的流量，復(fù)制給eth2和eth3

　　來(lái)自eth1和eth4的流量，聚合給eth5

　　MIRROR內(nèi)核模塊中，只需要實(shí)現(xiàn)參數(shù)讀取，配置分析，網(wǎng)卡判斷（源，目的）即可。

　　算法、代碼實(shí)現(xiàn)

　　參數(shù)輸入

　　這段代碼的功能是，將前面提到的如“eth1@eth2_eth1@eth3_eth1/eth4@eth5“這樣的參數(shù)，按照”_”進(jìn)行拆分，分段提交給參數(shù)設(shè)置函數(shù)”option_setup”

　　參數(shù)設(shè)置

　　這里我們把得到的參數(shù)”eth0@eth1”進(jìn)行進(jìn)一步的拆分，分出了源網(wǎng)卡eth0，目的網(wǎng)卡eth1，在內(nèi)核模塊的全局變量中，有一個(gè)結(jié)構(gòu)

　　”__read_mostly __u8 ethout_bits[MAX_OUT] ={0}；“

　　用來(lái)存儲(chǔ)每個(gè)網(wǎng)卡對(duì)應(yīng)分發(fā)的網(wǎng)卡號(hào)，可以這樣理解，如果服務(wù)器有8個(gè)網(wǎng)卡，那么每個(gè)網(wǎng)都會(huì)有一個(gè)8位的二進(jìn)制數(shù)來(lái)標(biāo)明它的轉(zhuǎn)發(fā)，比如eth0復(fù)制到eth1，那么ethout_bits[0]就等于01000000，以此類推，如果我要把eth0復(fù)制到其他所有網(wǎng)卡，就會(huì)是01111111。

　　同時(shí)用一個(gè)全局的8字節(jié)變量，來(lái)存儲(chǔ)哪些網(wǎng)卡是鏡像流量口，防止多余的資源浪費(fèi)。

　　__read_mostly__u8 ifindex_bits = 0；

　　Skb包復(fù)制和轉(zhuǎn)發(fā)

　　當(dāng)Linux內(nèi)核收到一個(gè)skb結(jié)構(gòu)的數(shù)據(jù)包時(shí)，判斷這個(gè)數(shù)據(jù)包是不是在轉(zhuǎn)發(fā)列表里，也就是網(wǎng)卡是不是鏡像源。

　　接著我用了一個(gè)循環(huán)，來(lái)遍歷存儲(chǔ)的轉(zhuǎn)發(fā)目的網(wǎng)口，如果匹配的話，就使用skb_clone函數(shù)將數(shù)據(jù)包復(fù)制一份，然后通過(guò)dev_queue_xmit函數(shù)直接發(fā)送出去。

　　最后清理skb_buff結(jié)構(gòu)。

　　啟動(dòng)腳本

　　為了方便調(diào)試和快速提交參數(shù)，可以使用如下的shell腳本：

　　實(shí)測(cè)效果

　　編譯，填充參數(shù)并執(zhí)行

　　執(zhí)行sh sh.sh

　　Dmesg輸出

　　鏡像流量效果

　　這里可以看到流量統(tǒng)計(jì)由于網(wǎng)卡速率，時(shí)間差等，并不會(huì)100%一樣，是正常的。

　　CPU占用

　　當(dāng)流量已經(jīng)達(dá)到400M左右的時(shí)候，CPU占用仍然比較低。