在Linux系統操作中,安全性監控和測試的過程中會遇到異常流量等問題,這就需要在Linux內核上進行多路鏡像流量聚合和復制的處理了,那麼要如何進行操作呢?隨小編一起來學習一下吧。
架構設計
內核模塊的流程比較簡單,轉發配置從用戶態提交給內核模塊,如”eth1@eth2_eth1@eth3_eth1/eth4@eth5“,這段的配置是:
來自eth1的流量,復制給eth2和eth3
來自eth1和eth4的流量,聚合給eth5
MIRROR內核模塊中,只需要實現參數讀取,配置分析,網卡判斷(源,目的)即可。
算法、代碼實現
參數輸入
這段代碼的功能是,將前面提到的如“eth1@eth2_eth1@eth3_eth1/eth4@eth5“這樣的參數,按照”_”進行拆分,分段提交給參數設置函數”option_setup”
參數設置
這裡我們把得到的參數”eth0@eth1”進行進一步的拆分,分出了源網卡eth0,目的網卡eth1,在內核模塊的全局變量中,有一個結構
”__read_mostly __u8 ethout_bits[MAX_OUT] ={0};“
用來存儲每個網卡對應分發的網卡號,可以這樣理解,如果服務器有8個網卡,那麼每個網都會有一個8位的二進制數來標明它的轉發,比如eth0復制到eth1,那麼ethout_bits[0]就等於01000000,以此類推,如果我要把eth0復制到其他所有網卡,就會是01111111。
同時用一個全局的8字節變量,來存儲哪些網卡是鏡像流量口,防止多余的資源浪費。
__read_mostly__u8 ifindex_bits = 0;
Skb包復制和轉發
當Linux內核收到一個skb結構的數據包時,判斷這個數據包是不是在轉發列表裡,也就是網卡是不是鏡像源。
接著我用了一個循環,來遍歷存儲的轉發目的網口,如果匹配的話,就使用skb_clone函數將數據包復制一份,然後通過dev_queue_xmit函數直接發送出去。
最後清理skb_buff結構。
啟動腳本
為了方便調試和快速提交參數,可以使用如下的shell腳本:
實測效果
編譯,填充參數並執行
執行sh sh.sh
Dmesg輸出
鏡像流量效果
這裡可以看到流量統計由於網卡速率,時間差等,並不會100%一樣,是正常的。
CPU占用
當流量已經達到400M左右的時候,CPU占用仍然比較低。
MIRROR.c源代碼與pdf格式下載
上面就是Linux內核實現多路鏡像流量聚合和復制的方法介紹了,如果你的交換機上可做鏡像流量的端口數量有限制,又不想購買專業的設備的話,不妨試試上面介紹的方法吧。