文章讨论了在Linux5.3环境下,对TCPpayload进行修改后,TCPchecksum的计算行为。作者发现虽然常规上认为需要重算checksum,但在EBPF/TCEGRESS中,内核可能在tchook后计算,导致客户端抓包的checksum保持不变。实际上,减少payload长度会导致checksum自动调整,仅需更新校验和部分。
在ebpf tc egress方向修改了tcp的payload信息,我通过bpf_skb_change_tail将tcp payload从尾部减少了diff_len(测试中该值为88)。
常规思路:我都修改了tcp的包了,肯定要需要重新计算checksum ,所以我按照常规方法计算了checksum ,发现返回包传到客户端时,用wireshark抓包,发现多次请求的checksum 都是一样的,这就非常违反常理,按理说checksum 在客户端每次不同的请求下(客户端使用的随机端口号)都是应该不同的。同时我在ebpf/tc程序中打印了我计算的checksum前后的值
每次请求
我在ebpf中打印的old checksum都是855e,在客户端wireshark抓包的checksum都是5e2d
我在ebpf中计算的checksum恰好为wireshark期望的正确checksum,图中为3fbf和bf3f(字节序不同,值相同),这个值是随着不同请求而变化的,checksum变化符合我们的预期
于是灵机一动,是不是tcp的checksum是在tc hook之后才计算的,我在ebpf/tc里计算完之后恰好和tc hook点之后内核计算的重复了,两者“抵消”,导致客户端抓包每次都是一样的checksum。
ebpf程序中每次打印的old checksum都恒定也印证了这一问题,如果我在ebpf程序中不修改checksum,只减少payload,发现每次请求客户端抓包的checksum都是不同ÿ
最低0.47元/天 解锁文章
扫一扫
266
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
