Linux下内核空间以太网包的捕获设计

在Linux下通常的网络数据包捕获通过Libpcab函数框架实现,该体系下实现的包捕获存在着一些缺陷。探讨了netfilter框架在Linux内核中的实现,并利用netfilter框架进行以太网数据包的捕捉接收,经处理后实现数据包的重组发送。在内核空间处理网络数据包不仅提高了效率,减少了数据从内核空间传递到用户空间消耗的资源,而且可以截获网络上所有的以太网报文,对网络数据进行过滤和处理     

Linux的Netfilter功能框架

Netfilter是Linux2.4内核实现数据包过滤、数据包处理、NAT等的功能框架.文章通过和ipchains进行比较分析了netfilter功能框架,并介绍了其配置工具iptable的用法.     

Linux的Netfilter功能框架

Netfilter是Linux2.4内核实现数据包过滤、数据包处理、NAT等的功能框架。文章通过和ipchains进行比较分析了netfilter功能框架，并介绍了其配置工具iptable的用法。     

IPtables新功能模块的添加与应用

Netfilter是Linux内核实现数据包过滤、处理、NAT等功能的结构框架,Linux2.4、2.6内核中提供了一个简洁、强大的工具IPta-bles来实现Netfilter的各项功能,但各Linux发行版的IPtables只包含一些基本功能,文中讨论了通过添加新功能模块扩展IPtables功能及对新加功能的具体应用。     

基于Netfilter的数据包转发研究

随着网络带宽的不断增加,对数据包捕获系统的包转发率有更高的要求.Netfilter框架是从Linux内核2.4开始提出的,可以利用这一框架对数据包进行控制.本文从减少拷贝方面分析了几种实现数据包转发的方法,决定采用Netfiher实现转发.通过测试比较表明,采用Netfiher框架实现数据包转发的速率比采用libpcap库实现数据包转发的速率要快,并且CPU资源占用率降低.但同时也发现Netfiher存在效率上的缺陷,需要在以后的研究中改进,以进一步降低CPU资源占用率,提高内核性能.     

Netfilter的实现分析与网络数据包的捕获

netfilter是出现在linux 2.4版本中通用的网络功能框架,该框架具有功能完善,扩充方便的优点,因而被广泛地使用。通过对于源码分析,探讨了netfilter在内核中的实现,之后对利用netfilter框架进行网络数据包捕获进行了论述,并与其他的网络数据包捕获机制进行了对比。     

Linux集群服务器中请求转发策略探讨与实现*

研究Linux集群系统中的请求转发策略,重点讨论了在Linux 2.4内核的Netfilter框架下实现Direct Routing转发策略。前端仅仅只做转发,通过在IP层修改数据包的目的MAC或IP,使得后端服务器可以直接将应答包发给客户。实践证明该转发策略可明显提高前端系统的处理能力,特别是在后端服务器超过20台的情况。     

基于连接跟踪的存储优化日志系统的研究*

Linux内核2.4及以上版本中的Netfilter/Iptables防火墙对每个进来的数据包记录一条日志信息,造成信息冗余,耗费大量的日志存储空间。基于Netfilter的连接跟踪功能,以网络连接为相关信息,扩展Netfilter/Iptables的核心数据结构,对同一连接的所有数据包信息进行组织与记录,并动态从内核空间获取日志信息,从而减少日志冗余,方便日志分析与管理。     

基于Netfilter的数据采集技术在实时内容过滤中的应用

针对基于系统调用的数据包捕获机制的缺陷,结合内容过滤的特点,对底层数据采集技术进行改进。利用Netfilter框架在Linux核心态下捕获数据包,还原出原始数据。利用内存映射技术,建立核心态和用户态的接口。     

Linux中Netfilter/IPtables的应用研究

Netfiher是Linux2．4．x内核中实现数据包过滤、网络地址转换(NAT)以及数据包处理的通用功能框架。本文阐述了Netfilter的功能框架，并以如何用IPtables在Linux上实现基于Netfiher的包过滤防火墙和网络地址转换(NAT)为例介绍Netfilter／IPtables的应用。     

基于Linux内核防火墙Netfilter的安全应用的设计方法1

本文在分析netfilter处理数据包过程的基础上,给出了在系统空间和在用户空间开发基于Linux内核防火墙netfilter安全应用的设计方法.     

一种基于Netfilter的认证方法研究与实现

随着网络的迅速发展,网络安全显得越来越重要,认证是其中重要的手段。通过对Linux内核中的Netfiher模块进行研究,提出了一种基于Netfilter Hook编写网络认证体系的思想、方法,并根据信息隐藏技术的要求,给出了一个认证方法的框架。     

Linux下基于Netfilter防火墙应用研究

Linux提供的基于内核Netfilter框架的防火墙,是一个功能强大、扩展性强的网络安全框架,可以实现一种性价比较高的安全方案。基于Linux作系统的网络安全框架Netfilter原理的分析,结合一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法。     

Per-IP流量控制方法

通过一条规则达到控制一定范围内的每个IP的相同策略的方法称为Per-IP.在Linux平台上研究了数据包控制框架和流量控制机制,提出了一种Per-IP流量控制的方法.该方法是通过利用Netfilter的模块扩展功能,创建一个可以使用一条规则方便对IP包进行统一限速的模块.系统功能采用内核态和用户态分别实现,限速采用了改进的令牌桶算法.实验结果表明,该方法可以方便有效地控制每个IP的上下行速度.     

Netfilter数据转发性能测试与研究

从Netfilter工作流程和具体实验,分析不同环境下Linux软路由的各方面性能差异,以及大负荷网络环境下数据包丢失的原因,提出针对数据流量较大的网络环境下Linux内核及Netfilter模块的调整方法。改进后的Linux在数据转发性能上有较大提高,分析结果为Linux软路由的应用前景提供了依据。     

基于Netfilter框架的连接管理模型的研究

分析了Linux内核的Nettiller框架的实现机制,简要介绍了TcP粘合技术.业务选择网关(SSG)只允许授权用户进行TCP连接和资源访问,对TCP粘合技术进行改进,使之适应SSG连接管理机制的需求.提出基于Linux内核的Netfilter框架的连接管理模型的方案,并通过Netlink来实现用户空间和内核空间之间的数据交换.实践证明该方案能有效的对用户的连接进行控制和管理,这种模块化的实现方案具有易于功能扩展的特点,并且系统的性能得到显著的提高.     

基于Linux分布式复合网关原型的研究及实现

本文提出一种基于Iinux分布式平台的安全复合网关原型，该网关基于多功能层次化的框架体系结构。我们通过研究分析Linux内核Netfilter，将目前流行的安全技术与Linux内核的安全机制及TCP／IP协议栈的实现集成捆绑，建立一种集网络监控、防火墙、负载均衡、安全检测等多种功能于一体的网络安全体系模型。