数据包结构/操作分析

以下是sk_buff类型的定义

include/linux/skbuff.h
 struct sk_buff {
     /* These two members must be first. */
     struct sk_buff        *next;          //下一个socket buff的指针
     struct sk_buff        *prev;          //上一个socket buff的指针
  
     struct sock        *sk;                //自己拥有的socket连接(只有连接是和本地进程通讯时才有,如果是转发的连接,指针为NULL)
     ktime_t            tstamp;             //到达时间
     struct net_device    *dev;           //到达/离开时使用的网络设备
  
     union {                             //此报文的路由，路由确定后赋此值
         struct  dst_entry    *dst;
         struct  rtable        *rtable;
     };
     struct    sec_path    *sp;
  
     /*
      * This is the control buffer. It is free to use for every
      * layer. Please put your private variables there. If you
      * want to keep them across layers you have to do a skb_clone()
      * first. This is owned by whoever has the skb queued ATM.
      */
     char            cb[48];         //用于在协议栈之间传递参数，参数内容的涵义由使用它的函数确定
  
     unsigned int        len,        //此报文的长度，这是指网络报文在不同协议层中的长度，包括头部和数据。在协议栈的不同层，这个长度是不同的
                 data_len;           //数据长度
     __u16            mac_len,        //链路层头部的长度
                 hdr_len;            //对cloned的skb能够写入的头部长度
     union {
         __wsum        csum;
         struct {
             __u16    csum_start;
             __u16    csum_offset;
         };
     };
     __u32            priority;
     __u8            local_df:1,
                 cloned:1,
                 ip_summed:2,
                 nohdr:1,
                 nfctinfo:3;
     __u8            pkt_type:3,
                 fclone:2,
                 ipvs_property:1,
                 peeked:1,
                 nf_trace:1;
     __be16            protocol;
  
     void            (*destructor)(struct sk_buff *skb);
 #if defined(CONFIG_NF_CONNTRACK) || defined(CONFIG_NF_CONNTRACK_MODULE)
     struct nf_conntrack    *nfct;
     struct sk_buff        *nfct_reasm;
 #endif
 #ifdef CONFIG_BRIDGE_NETFILTER
     struct nf_bridge_info    *nf_bridge;
 #endif
  
     int            iif;
 #ifdef CONFIG_NETDEVICES_MULTIQUEUE
     __u16            queue_mapping;
 #endif
 #ifdef CONFIG_NET_SCHED
     __u16            tc_index;    /* traffic control index */
 #ifdef CONFIG_NET_CLS_ACT
     __u16            tc_verd;    /* traffic control verdict */
 #endif
 #endif
 #ifdef CONFIG_IPV6_NDISC_NODETYPE
     __u8            ndisc_nodetype:2;
 #endif
     /* 14 bit hole */
  
 #ifdef CONFIG_NET_DMA
     dma_cookie_t        dma_cookie;
 #endif
 #ifdef CONFIG_NETWORK_SECMARK
     __u32            secmark;
 #endif
  
     __u32            mark;                   //标记,在ipvs中作为fwmark(防火墙标记)使用
  
     sk_buff_data_t        transport_header;   //传输层头部指针的偏移量(如果设置了NET_SKBUFF_DATA_USES_OFFSET,则为指针)
     sk_buff_data_t        network_header;     //网络层头部指针
     sk_buff_data_t        mac_header;         //链路层头部指针
     /* These elements must be at the end, see alloc_skb() for details.  */
     sk_buff_data_t        tail;
     sk_buff_data_t        end;
     unsigned char        *head,              //buffer的头部指针,以上的所有偏移量都是以这个指针为基础
                 *data;                      //数据起始位置
     unsigned int        truesize;           //此报文存储区的长度，这个长度是16字节对齐的，一般要比报文的长度大。
     atomic_t        users;                  //这个socket的引用数,工作方式类似于文件系统的硬链接的引用数.比如clone了一次,连接数就+1
 };

网络层头部结构iphdr

include/linux/ip.h
 struct iphdr {
 #if defined(__LITTLE_ENDIAN_BITFIELD)
     __u8    ihl:4,
         version:4;
 #elif defined (__BIG_ENDIAN_BITFIELD)
     __u8    version:4,
           ihl:4;
 #else
 #error    "Please fix <asm/byteorder.h>"
 #endif
     __u8    tos;
     __be16    tot_len;
     __be16    id;
     __be16    frag_off;
     __u8    ttl;
     __u8    protocol;
     __sum16    check;
     __be32    saddr;
     __be32    daddr;
     /*The options start here. */
 };

传输层头部结构tcphdr

include/linux/tcp.h
 struct tcphdr {
     __be16    source;
     __be16    dest;
     __be32    seq;
     __be32    ack_seq;
 #if defined(__LITTLE_ENDIAN_BITFIELD)
     __u16    res1:4,
         doff:4,
         fin:1,
         syn:1,
         rst:1,
         psh:1,
         ack:1,
         urg:1,
         ece:1,
         cwr:1;
 #elif defined(__BIG_ENDIAN_BITFIELD)
     __u16    doff:4,
         res1:4,
         cwr:1,
         ece:1,
         urg:1,
         ack:1,
         psh:1,
         rst:1,
         syn:1,
         fin:1;
 #else
 #error    "Adjust your <asm/byteorder.h> defines"
 #endif    
     __be16    window;
     __sum16    check;
     __be16    urg_ptr;
 };

传输层头部结构udphdr

include/linux/udp.h
 struct udphdr {
     __be16    source;
     __be16    dest;
     __be16    len;
     __sum16    check;
 };

icmphdr

include/linux/icmp.h
 struct icmphdr {
   __u8        type;
   __u8        code;
   __sum16    checksum;
   union {
     struct {
         __be16    id;
         __be16    sequence;
     } echo;
     __be32    gateway;
     struct {
         __be16    __unused;
         __be16    mtu;
     } frag;
   } un;
 };

链路层帧格式

前导码
8 bytes

目的mac地址
6 bytes

源mac地址
6 bytes

帧类型
2 bytes

帧数据
46~1500 bytes

crc校验
4 bytes

网络层数据包格式

4 bits	4 bits	8 bits	3 bits	13 bits
Version	IHL	Type of Service	Total Length
Identification			Flags	Fragmentation Offset
Time To Live		Protocol	Header Checksum
Source Address
Destination Address
Options				Padding
Data

传输层数据报文格式

4 bits	6 bits	6 bits	16 bits
Source Port			Destination Port
Sequence Number
Acknowledge Number
Data Offset	Reserved	Code	Window
Ckecksum			Urgent Pointer
Options			Padding
Data

工具

相关链接

资源链接

说明

数据包结构/操作分析

include/linux/skbuff.h

include/linux/ip.h

include/linux/tcp.h

include/linux/udp.h

include/linux/icmp.h