2. 程式人生 > >iptables limit 模組限速不準確原因分析

iptables limit 模組限速不準確原因分析

阿新 發佈:2019-01-28

iptables -I test -m limit --limit xxx/yyy
iptables使用者空間:libxt_limit.c
int parse_rate(const char *rate, uint32_t *val)
該函式中*val = XT_LIMIT_SCALE * mult/ r;XT_LIMIT_SCALE10000(時間精度)
mult:yyysmult:1yyymmult:60,yyyhmult是:60x60yyydmult是:24x60x60
rxxx所以上式中的*val為傳輸一個包需要的時間。iptables顯示的數字實際應該是:10000/(*val),即表示每秒允許的資料包數量。

iptables -I test -m limit --limit 2600/s為例:
*val=10000*1/2600=3
10000/3=3333
iptables -I test -m limit --limit 1400/s為例:
*val=10000*1/1400=7
10000/7=1428

iptables核心空間:xt_limit.c

staticstructxt_matchlimit_mt_reg__read_mostly={

.name="limit",

.revision=0,

.family=NFPROTO_UNSPEC,

.match=limit_mt,

.checkentry=limit_mt_check,

.

destroy=limit_mt_destroy,

.matchsize=sizeof(structxt_rateinfo),

#ifdef CONFIG_COMPAT

.compatsize=sizeof(structcompat_xt_rateinfo),

.compat_from_user=limit_mt_compat_from_user,

.compat_to_user=limit_mt_compat_to_user,

#endif

.me=THIS_MODULE,

};

staticint__initlimit_mt_init(void)

{

returnxt_register_match

(&limit_mt_reg);

}

staticvoid__exitlimit_mt_exit(void)

{

xt_unregister_match(&limit_mt_reg);

}

module_init(limit_mt_init);

module_exit(limit_mt_exit);

Limt模組核心實現採用令牌桶演算法。我們需要關注的是limit_mt和limit_mt_check這兩個函式。

Limit_mt_check檢查使用者空間傳入的引數是否合法,並初始化令牌桶的最大值和初值,以及一個數據包需要消耗的令牌數量。

/* Precision saver. */

staticu_int32_t

user2credits(u_int32_tuser)

{

/* If multiplying would overflow... */

if(user>0xFFFFFFFF/(HZ*CREDITS_PER_JIFFY))

/* Divide first. */

return(user/XT_LIMIT_SCALE)*HZ*CREDITS_PER_JIFFY;

return(user*HZ*CREDITS_PER_JIFFY)/XT_LIMIT_SCALE;

}

staticintlimit_mt_check(conststructxt_mtchk_param*par)

{

structxt_rateinfo*r=par->matchinfo;

structxt_limit_priv*priv;

/* Check for overflow. */

if(r->burst==0

||user2credits(r->avg*r->burst)<user2credits(r->avg)){

pr_info("Overflow, try lower: %u/%u\n",

r->avg,r->burst);

return-ERANGE;

}

priv=kmalloc(sizeof(*priv),GFP_KERNEL);

if(priv==NULL)

return-ENOMEM;

/* For SMP, we only want to use one set of state. */

r->master=priv;

if(r->cost==0){

/* User avg in seconds * XT_LIMIT_SCALE: convert to jiffies *

           128. */

priv->prev=jiffies;

priv->credit=user2credits(r->avg*r->burst);/* Credits full. */

r->credit_cap=user2credits(r->avg*r->burst);/* Credits full. */

r->cost=user2credits(r->avg);

}

return0;

}

user2credits()函式計算一個數據包對應的令牌數量。

User2creadits(r->avg),引數r-avg為使用者空間計算的一個包的平均時間。

所以 user2creadits(r->avg)一個數據包對應的令牌數量。

     user2creadtis(r->avg*r->burst)引數r->burst為突發資料包個數。r->avg*r->burst為r->burst個數據包的平均時間,user2creadtis(r->avg*r->burst)既是r->burst個數據包對應的令牌數量。

r->credit_cap是令牌桶的最大值。r->cost是一個數據包需要消耗的令牌數量。

priv->prev記錄上一個資料包到來時的時間,使用jiffies表示。

Priv->credit為令牌數量的實時值。

初始令牌數量的實時值=最大值。

Limt_mt函式通過令牌桶演算法監測當前的資料流是否滿足限制的要求,滿足則返回true,否則返回false。

staticbool

limit_mt(conststructsk_buff*skb,structxt_action_param*par)

{

conststructxt_rateinfo*r=par->matchinfo;

structxt_limit_priv*priv=r->master;

unsignedlongnow=jiffies;

spin_lock_bh(&limit_lock);

priv->credit+=(now-xchg(&priv->prev,now))*CREDITS_PER_JIFFY;

if(priv->credit>r->credit_cap)

priv->credit=r->credit_cap;

if(priv->credit>=r->cost){

/* We're not limited. */

priv->credit-=r->cost;

spin_unlock_bh(&limit_lock);

returntrue;

}

spin_unlock_bh(&limit_lock);

returnfalse;

}

priv->credit += (now -xchg(&priv->prev, now)) *CREDITS_PER_JIFFY ;

計算從上一個資料包到當前資料包這段時間內產生的令牌數量並加到priv->credit上。CREDITS_PER_JIFFY為每個jiffy產生的令牌數量。

         if(priv->credit > r->credit_cap)

                   priv->credit= r->credit_cap;

當前令牌數量大於最大令牌數量時,更新當前令牌數量為最大令牌數。

         if(priv->credit >= r->cost) {

                   /*We're not limited. */

                   priv->credit-= r->cost;

                   spin_unlock_bh(&limit_lock);

                   returntrue;

         }

If判斷當前有令牌可用的情況下,從噹噹令牌數量減去當前資料包消耗的令牌數量。

CREDITS_PER_JIFFY如下:

HZ:100 為什麼是100

MAX_CPJ:497 不懂代表什麼

CREDITS_PER_JIFFY:256

#define MAX_CPJ(0xFFFFFFFF / (HZ*60*60*24))

/* Repeatedshift and or gives us all 1s, final shift and add 1 gives

 * us the power of 2 below the theoretical max,so GCC simply does a

 * shift. */

#define_POW2_BELOW2(x) ((x)|((x)>>1))

#define_POW2_BELOW4(x) (_POW2_BELOW2(x)|_POW2_BELOW2((x)>>2))

#define_POW2_BELOW8(x) (_POW2_BELOW4(x)|_POW2_BELOW4((x)>>4))

#define_POW2_BELOW16(x) (_POW2_BELOW8(x)|_POW2_BELOW8((x)>>8))

#define_POW2_BELOW32(x) (_POW2_BELOW16(x)|_POW2_BELOW16((x)>>16))

#definePOW2_BELOW32(x) ((_POW2_BELOW32(x)>>1) + 1)

#defineCREDITS_PER_JIFFY POW2_BELOW32(MAX_CPJ)

綜上:

核心部分的演算法是根據使用者空間傳遞的每個包需要的時間,以及峰值包數量,生成令牌桶演算法的最大令牌數量和每個包需要消耗的令牌數量。

         然後每當一個數據包到來就去更新當前令牌數量,然後檢測令牌是否夠用,如果當前令牌夠用,就從當前令牌數中減去此刻這個資料包消耗的令牌數,並返回true,如果當前沒有令牌可用即返回false。

整個過程是:使用者輸入資料->每個包平均時間->每個包消耗的令牌數以及令牌桶令牌總數量

使用者空間*val= XT_LIMIT_SCALE * mult / r計算每個資料包消耗的時間這一步採用“/”運算,那麼這裡不可避免的產生誤差。

所以該演算法的實現過程本身存在的誤差,導致使用者空間輸入的資料並不是真正生效的資料。

相關推薦

iptables limit 模組限速準確原因分析

iptables -I test -m limit --limit xxx/yyyiptables使用者空間:libxt_limit.c int parse_rate(const char *rate, uint32_t *val)該函式中:*val = XT_LIMIT_

記一次webSphere安裝部署釋出原因分析

版本:WebSphere8.5.5.10叢集環境 過程:WebSphere管理平臺更新整個war包是更新完成,啟動報錯,解除安裝重新部署war包也不行,去叢集每個節點發布路徑中檢視釋出的包,發現war

caffe訓練CNN時,loss收斂原因分析

人工智慧/機器學習/深度學習交流QQ群:811460433 也可以掃一掃下面二維碼加入微信群,如果二維碼失效,可以新增博主個人微信,拉你進群 1. 資料和標籤 資料分類標註是否準確?資料是否乾淨? 另外博主經歷過自己建立資料的時候資料標籤設定為1,2,...,N,

Android 手機顯示圖示,而模擬器顯示原因分析

那幾天粗心安裝手機APP的時候把主配置清單改了,經過百度查詢原因改回來後發現手機APP有圖示限制而模擬器沒有,很鬱悶啊,這怎麼能行?後來在模擬器設定-->應用中找到自己的APP,然後解除安裝。解除安裝後重新執行EC或者AS,就可以了。剛做了下試驗,貌似模擬器會把以前裝

簡訊驗證碼接收原因分析和解決方案分析

簡訊驗證碼是通過傳送驗證碼到手機的一種有效的驗證碼系統。無論是大型網站尤其是購物網站,都提供有手機簡訊驗證碼功能,可以比較準確和安全地保證購物的安全性,驗證使用者的正確性。創藍253簡訊服務平臺上總結了簡訊驗證碼接收不到的幾個原因:(1)簡訊閘道器擁堵或出現異常在一些節假日或

Linux crond 執行原因分析

為了定時監控Linux系統CPU、記憶體、負載的使用情況,寫了Linux Shell指令碼,當達到一定值得時候,定時傳送郵件通知。但是,讓crond來週期性執行指令碼傳送郵件通知時,遇到了問題,在crontab -e裡面加入了執行指令碼之後,發現指令碼並沒有執行。可是,通過手

Spring原始碼分析之BeanPostProcessor介面和BeanFactoryPostProcessor介面方法執行原因分析

首先下面是我的Bean /* * Copyright 2002-2017 the original author or authors. * * Licensed under the Apache License, Version 2.0 (the "License

修改hosts立即生效原因分析

real 專註 開始 image 下載 when 顯示 方法 做了 我們經常也遇到修改hosts不生效的情況,而且有時生效,有時不生效的情況也有發生,這到底是為什麽呢? 起:DNS緩存機制 關於DNS緩存的機制,有一篇非常詳細的文章What really happens w

解答VS2013編譯報錯準確是什麽原因

發現 temp 過去 清除 明顯 控制 問題 one framework 1、當程序在錯誤時,VS2013編譯報出的錯誤有時不會一起全部報出,而是按錯誤的英文首字母逐個報出的 2、如果報錯的信息雙擊點過去查看時又發現無明顯錯誤問題時,這個這個時候可以是VS編譯的緩存問題,

SDK環境變量配置及adb是內部或外部命令原因分析

form 如何 環境變量配置 無法 設置 添加 and 是否 排除 一、 1、SDK下載:http://tools.android-studio.org/index.php/sdk/ 建議下載zip格式文件,下載解壓即可 2、在解壓的SDK文件,找到“platform-to

SELECT TOP 1 比加TOP 1 慢的原因分析以及SELECT TOP 1語句執行計劃預估原理

create p s 總結 字段 不用 value tar 再次 char   現實中遇到過到這麽一種情況:   在某些特殊場景下:進行查詢的時候,加了TOP 1比不加TOP 1要慢(而且是慢很多)的情況,   也就是說對於符合條件的某種的數據,查詢1條(符合該條件)數據比

SpringMVC接收到前端傳遞的參數原因分析

ipa 這樣的 默認 後臺 -c put filename 這一 rtu 前言 ?在學習SpringMvc的時候遇到了一個問題,後臺一直接收不到前臺傳遞過來的參數,耽誤了好長時間終於找到了原因,寫篇博客記錄下這個坑,嚶嚶嚶 --__-- 代碼清單 ?使用SpringMvc接

Android 關於 CountDownTimer onTick() 倒計時準確問題源碼分析

一次 span 得出 mapi str num too 思路 -h 一、問題 CountDownTimer 使用比較簡單,設置 5 秒的倒計時,間隔為 1 秒。 final String TAG = "CountDownTimer"; new CountDownTim

虛擬機器 開發板 PC機 三者之間能ping通的各種原因分析

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

ByteArrayOutputStream或ByteArrayInputStream需要關閉流原因分析

在完深度拷貝的時候看到了這個  帖子https://blog.csdn.net/xiaolin_yxl/article/details/78879660 我才留到 沒有close , 原來還有 這種情況的哦! ByteArrayOutputStream或ByteArrayInput

Spring整合JDBC能把JdbcTemplate物件作為Dao實現類成員變數的原因分析

現在有一個Dao實現類: public class UserDaoImpl extends JdbcDaoSupport implements UserDao { public void addUser(User user) { String sql =

轉載:spring 整合mybatis後用上session快取的原因分析

因為一直用spring整合了mybatis,所以很少用到mybatis的session快取。 習慣是本地快取自己用map寫或者引入第三方的本地快取框架ehcache,Guava 所以提出來糾結下 實驗下(spring整合mybatis略,網上一堆),先看看

selenium通過xpath定位元素準確原因

通過xpath定位元素,但是找到的元素跟預期不一樣。原因可能是:已經找到了某個元素a並賦值給了一個element,想要用a直接尋找下級元素,這時使用xpath時就要在//前面加個點,比如說:a.fineElement(By.xpath(" . //input"));   (/

ecshop廣告位新增之後顯示的原因分析

ecshop前臺頁面廣告位不顯示不外乎以下幾種情況,一一檢查,一般都可以解決。 1.檢查一下後臺的廣告位的時間是否到期了,如果到期之後,廣告位的圖片就不會顯示。 修改方式:進入ecshop後臺->廣告列表->編輯,把廣告位的結束日期定在今日之後,重新整理前

Tomcat無法啟動但報錯原因分析

今天執行Tomcat是忽然發現啟動不了了,不知道什麼原因,於是在網上搜了不少答案,但都沒解決問題,最後自己慢慢摸索終於解決了,在這裡總結一下自己所遇到的問題, 在啟動Tomcat時顯示如下 十月 13, 2016 9:35:59 上午 org.apac