VysokÉ Uˇcení TechnickÉ V Brnˇe Netgraph Modul Ve Freebsd Pro PoˇcítÁní Statistik

View metadata, citation and similar papers at core.ac.uk brought to you by CORE

provided by Digital library of Brno University of Technology

VYSOKEU´ CENˇ ´I TECHNICKE´ V BRNEˇ BRNO UNIVERSITY OF TECHNOLOGY

FAKULTA INFORMACNˇ ÍCH TECHNOLOGIÍ USTAV´ INFORMACNˇ ÍCH SYSTEM´ U˚

FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS

NETGRAPH MODUL VE FREEBSD PRO POCˇ ´ITAN´ ´I STATISTIK NETGRAPH MODULE IN FREEBSD FOR TRAFFIC ACCOUNTING

BAKALA´ RSKˇ A´ PRACE´ BACHELOR’S THESIS

AUTOR PRACE´ JAN BLAZEKˇ AUTHOR

VEDOUC´I PRACE´ Ing. RUDOLF CEJKAˇ SUPERVISOR

BRNO 2007

Abstrakt Tato bakaláˇrskáprácese zabývámodulárn´ım s´ıt’ovýmsubsystémem Netgraph v jádˇre operaˇcn´ıhosystému FreeBSD. Netgraph se zde pˇredstavuje z uˇzivatelskéhohlediska. Je zde popsánonˇekolik konkrétn´ıch modul˚u,nástroje pro prácis Netgraphem a pˇr´ıklady pouˇzit´ı. Souˇcást´ıpráceje i implementace modulu pro sledován´ıs´ıt’ovéhoprovozu a poˇc´ıtán´ısta- tistik. V této souvislosti jsou pˇredstaveny i dalˇs´ısubsystémy jádravyuˇz´ıvanémodulem – zaveditelnémoduly jádra,mbuf – správa pamˇeti pro meziprocesovou komunikaci v jádˇre a rozhran´ısysctl pro sd´ılen´ıpromˇenných mezi kernelem a userspace programy.

Kl´ıˇcováslova Netgraph, FreeBSD, s´ıt’ovéstatistiky, TCP/IP, Ethernet, KLD, zaveditelnémoduly jádra, sysctl, mbuf, BSD, UNIX

Abstract This bachelor’s thesis deals with modular kernel networking subsystem Netgraph in Free- BSD operating system. Netgraph is shown from user’s point of view. This work describes several concrete modules, tools for Netgraph management and examples of usage. Part of the work is about implementation of Netgraph module for network traﬃc accounting. There are described some other kernel subsystems used by the module – kernel loadable modules, mbuf – memory management in kernel interprocess subsystem and sysctl interface for sharing kernel variables with user space programs.

Keywords Netgraph, FreeBSD, network traﬃc accounting, TCP/IP Ethernet, KLD, kernel loadable module, sysctl, mbuf, BSD, UNIX

Citace Jan Blaˇzek: Netgraph modul ve FreeBSD pro poˇc´ıtán´ıstatistik, bakaláˇrskápráce, Brno, FIT VUT v Brnˇe,2007 Netgraph modul ve FreeBSD pro poˇc´ıtán´ıstatistik

Prohláˇsen´ı Prohlaˇsuji, ˇzejsem tuto bakaláˇrskou práci vypracoval samostatnˇepod veden´ım pana Ing. Ru- dolfa Cejky.ˇ Uvedl jsem vˇsechny literárn´ıprameny a publikace, ze kterých jsem ˇcerpal.

...... Jan Blaˇzek 13. kvˇetna2007

Podˇekován´ı Dˇekuji Ing. Rudolfu Cejkoviˇ za hodnotnérady a odbornéveden´ıbˇehemmépráce.

c Jan Blaˇzek, 2007. Tato práce vznikla jako ˇskoln´ı d´ılo na Vysokémuˇcen´ı technickémv Brnˇe,Fakultˇein- formaˇcn´ıch technologi´ı. Práce je chránˇenaautorskýmzákonem a jej´ıuˇzit´ıbez udˇelen´ıoprávnˇen´ı autorem je nezákonné,s výjimkou zákonemdefinovaných pˇr´ıpad˚u. Obsah

1 Uvod´ 3

2 Operaˇcn´ısystémFreeBSD 4 2.1 UNIX ...... 4 2.2 BSD ...... 4 2.3 FreeBSD ...... 5 2.4 Vývojovýmodel a veden´ıprojektu FreeBSD ...... 6 2.5 BSD licence ...... 6

3 S´ıt’ovýsubsystémNetgraph 7 3.1 Co je to Netgraph? ...... 7 3.1.1 Základn´ıpojmy ...... 8 3.1.2 Adresován´ı ...... 8 3.2 Pˇr´ıklady modul˚u ...... 10 3.2.1 echo ...... 10 3.2.2 tee ...... 10 3.2.3 iface ...... 10 3.2.4 eiface ...... 10 3.2.5 ether ...... 10 3.2.6 socket ...... 11 3.2.7 ksocket ...... 11 3.3 Nástroje pro prácis Netgraphem ...... 11 3.3.1 nghook ...... 11 3.3.2 ngctl ...... 12 3.3.3 libnetgraph ...... 13 3.4 Pˇr´ıklady vyuˇzit´ıNetgraphu ...... 13 3.4.1 UDP tunel ...... 13 3.4.2 Podvrˇzen´ıMAC adresy pomoc´ıNetgraphu ...... 14

4 Dalˇs´ısubsystémy vyuˇzitelnépro modul 17 4.1 Moduly jádra ...... 17 4.2 Mbuf ...... 18

1 4.2.1 Funkce pro manipulaci s mbufy ...... 20 4.3 Sysctl ...... 21

5 Modul pro poˇc´ıt´an´ıstatistik 23 5.1 Inspirace v ng tee ...... 23 5.2 Prvn´ıverze modulu ...... 25 5.3 Rozˇs´ıˇren´ıfunkˇcnosti ...... 26 5.4 Komunikace s uzlem ...... 27

6 Závˇer 28 6.1 Srovnán´ıs podobnýmimoduly ...... 28 6.1.1 Cisco NetFlow ...... 28 6.2 Návrhy na rozˇs´ıˇren´ı ...... 28

Seznam pouˇzit´ych zdroj˚u 31

Seznam pˇr´ıloh 32

A BSD licence 33

B N´avod pro pˇreklad a instalaci modulu 35

C N´avod k pouˇzit´ımodulu 36 C.0.1 Kontroln´ızpr´avy ...... 36 C.0.2 SYSCTL ...... 37

2 Kapitola 1

Uvod´

Pˇri správˇepoˇc´ıtaˇcovés´ıtˇeje d˚uleˇzitévˇedˇet,co se v s´ıti dˇeje,jakýtyp dat a jakémnoˇzstv´ıdat teˇce pˇresnaˇseservery. Kdyˇzv´ıme, co se v s´ıtidˇeje,m˚uˇzeme dˇelatsprávnározhodnut´ı.Tato práce se zabývánávrhem a implementac´ıjadernéhomodulu, kterým˚uˇzebýtpouˇzitpro sledován´ıs´ıt’ovéhotoku. Modul másp´ıˇse jen základn´ıfunkˇcnost a pro reálnénasazen´ı, by bylo vhodného dálerozˇs´ıˇrit.D˚uraz v prácije kladen zejménana seznámen´ıse s Netgraphem, s jehoˇzpomoc´ıje modul vytvoˇren.Dálejsou popsány i dalˇs´ıoblasti, kterés t´ımto modulem bezprostˇrednˇesouvis´ı. Kapitola 2 struˇcnˇepojednáváo historii operaˇcn´ıhosystému FreeBSD a o jeho pˇredch˚ud- c´ıch BSD a UNIXu. Je zde popsánvývojovýmodel projektu FreeBSD a je zde pˇrestavena hlavn´ılicence operaˇcn´ıch systém˚uBSD – BSD licence. Kapitola 3 se zabývásamotným Netgraphem. Netgraph je pˇredstaven z uˇzivatelského hlediska, jsou zde vysvˇetleny základn´ıpojmy a popsány nˇekterémoduly a nástroje pro práci s Netgraphem. Pˇripraveny jsou i dva pˇr´ıklady vyuˇzit´ıNetgraphu. V kapitole 4 jsou pˇredstaveny dalˇs´ıjadernésubsystémy vyuˇzitelnépro modul na poˇc´ıtán´ı statistik. Z trochu ˇsirˇs´ıho pohledu jsou uvedeny moduly jádra.Dále je zde pˇredstavena správa pamˇetipro meziprocesovou komunikaci v jádˇrea rozhran´ısysctl pro sd´ılen´ıpromˇen- ných mezi jádrem a userspace programy. V pˇredposledn´ıkapitole 5 je popsánnávrh a implementace modulu pro vytváˇren´ıstatis- tik. Jsou zde uvedena schémata hlaviˇcek nˇekolika s´ıt’ových protokol˚ua zde popsánprincip jejich zkoumán´ımodulem. Závˇereˇcnákapitola 6 srovnávámodul s podobnýmisystémy a pˇredkládánávrhy na rozˇs´ıˇren´ımodulu.

3 Kapitola 2

Operaˇcn´ısyst´emFreeBSD

M´ame-li si povˇedˇetnˇeco o historii operaˇcn´ıho syst´emu FreeBSD, mus´ıme zaˇc´ıt od jeho koˇren˚u.

2.1 UNIX

PoˇcátkyUNIXu m˚uˇzeme datovat do roku 1969. Tenkrátvznikl v hlavˇeKenna Thompsona v AT&T Bell Laboratories nápad vytvoˇrit novýoperaˇcn´ısystém.Záhy se k nˇemu pˇripojil Dennis Ritchie, autor jazyka C. Vˇetˇsina systému byla pˇrepsánaz ˇcistéhoassembleru do jazyka C, coˇzumoˇznilo jeho pozdˇejˇs´ıexpanzi na spoustu r˚uzných platforem. Ritchie, Thomp- son a dalˇs´ıvývojáˇrip˚uvodnˇepracovali na vývoji operaˇcn´ıho systému Multics, ze kterého byla pˇrejata ˇrada myˇslenek a koncept˚u.Vývoj Multicsu byl velice rozsáhlýa nákladnýpro- jekt, kterýse zhroutil pod vlastn´ıvahou. VývojáˇriUNIXu se vˇsak nechtˇelivzdátmoˇznost´ı kteréjim Multics jako v´ıceúlohovýoperaˇcn´ısystém nab´ızel v dobˇe,kdy byly stálebˇeˇzné systémy s dávkovýmzpracován´ım úloh. Název UNIX je reakc´ı na Multics; v oblastech, kde se Multics snaˇzilprovádˇet mnoho úloh, UNIX mˇel provádˇetpouze jednu akci, ale zato dobˇre.Dalˇs´ım pˇredkem UNIXu byl CTSS (Compatilbe Time-Sharing System), pˇredch˚udce Multicsu vyv´ıjenýna MIT v Bostonu. [6, 5]

2.2 BSD

SystémBSD je úzce spjat s Kalifornskou Univerzitou v Berkeley. P˚uvodn´ıdistribuce UNIXu ze 70. let obsahovaly zdrojovékódysystému a byly za pˇr´ıznivých podm´ınek dostupnéhlavnˇe pro univerzity. Software z Berkeley byl vydávánv takzvaných Berkeley Software Distribuc´ıch (odtud zkratka BSD). P˚uvodnˇeto nebyl celýoperaˇcn´ısystém, ale sp´ıˇse rozˇs´ıˇren´ık UNIXu. Prvn´ı verze 1BSD (1977) byla doplˇnkem k ˇsestéedici UNIXu a jej´ımihlavn´ımi komponenty byly pˇrekladaˇcjazyka Pascal a ˇrádkovýeditor ex.

4 Druháverze 2BSD obsahovala aktualizace program˚uz 1BSD a dva nové,v UNIXu dodnes známé,programy; editor vi (vizuáln´ırozhran´ık editoru ex) a C shell. Práce na verzi 3BSD byly ve znamen´ıportován´ısystému z architektury PDP-11 na VAX. Port na tuto architekturu sice jiˇzexistoval, byl j´ımUNIX/32V od Bellových laboratoˇr´ı,ale ten nevyuˇz´ıval moˇznost´ıvirtuáln´ıpamˇetiVAXu. Jádro 32V bylo z velkéˇcástipˇrepsáno studenty z Berkeley a tato prácesi z´ıskala pomˇernˇedobréuznán´ı. Uspˇech´ 3BSD zapˇr´ıˇcinil to, ˇzegrantováagentura ministerstva obrany USA DARPA (Defense Advanced Research Projects Agency) se rozhodla dotovat týmz Berkeley, aby tak podpoˇrila jeho dalˇs´ıvývoj. C´ılemprojektu 4BSD bylo vytvoˇritpodporu pro internetový protokol TCP/IP, kterývzeˇsel právˇeod DARPY. Následovaly verze 4.1, 4.2, 4.3. Ve verzi 4.2 byla v roce 1983 uvolnˇenaimplementace protokolu TCP/IP a byla tak výraznˇepos´ılenapodpora s´ıt´ıv systému UNIX, kteránebyla do tédoby nijak zvláˇstˇerozvinutá. Do doby verze 4.3 obsahovaly distribuce BSD kódz AT&T UNIXu a vyˇzadovaly tak vlastnictv´ı jeho licence. Tato licence vˇsakbyla pomˇernˇedraháa vznikala poptávka po rozˇs´ıˇren´ıch BSD (hlavnˇes´ıt’ovémkódu) bez tˇechto omezen´ı.Reakc´ıbylo vydán´ıNetworking Release (Net/1) v roce 1989, kterébylo uvolnˇeno pod BSD licenc´ı. Po verzi Net/1 se vývojáˇrKeith Bostic zamýˇslel vydat vˇetˇs´ıˇcástsystému pod BSD licenc´ı.Zaˇcal tedy znovu implementovat nˇekterénástroje bez pouˇzit´ıkódu pocházej´ıc´ıho z AT&T. Napˇr´ıklad editor vi, kterýobsahoval kódz licencovaného editoru ed, byl pˇrepsán jako nvi. Po jednom a p˚ulroce, byl pˇrepsánskoro vˇsechen kódod AT&T kromˇenˇekolika zdrojových soubor˚ukernelu. Ty byly vyjmuty a byla uvolnˇenadistribuce Net/2 jako témˇeˇr kompletn´ıoperaˇcn´ısystém. SystémNet/2 byl základem ke dvˇema port˚um na architekturu Intel 80386. Byly to nekomerˇcn´ı386BSD od Williama Jolitze a proprietárn´ıBSD/386 (pozdˇejipˇrejmenovánna BSD/OS) od Berkeley Software Design (BSDi). Systém 386BSD byl základempro projekty NetBSD a FreeBSD. [11]

2.3 FreeBSD

FreeBSD projekt se vyvinul v roce 1993 z neoficiáln´ıch rozˇs´ıˇren´ık 386BSD. V roce 1994 byl ukonˇcensoudn´ıspor ohlednˇevlastnictv´ıprávk ˇcástemNet/2 mezi Univerzitou v Ber- keley a firmou Novell, kteráje koupila od AT&T. Práva byla pˇriznána spoleˇcnosti Novell a uˇzivatel˚umNet/2 bylo doporuˇceno pˇrej´ıt k 4.4BSD-Lite, coˇzbyla verze, ze kterébyl d˚uslednˇeodstranˇen kódod AT&T a chybˇelyv n´ıvelkékusy kódu, kterébyly potˇrebapro sestaven´ıfunkˇcn´ıhosystému. Projekt FreeBSD musel tedy zaˇc´ıt vyv´ıjetpodstatnou ˇcást znovu z kódu4.4BSD-Lite. [9, kap. 1.3]

5 2.4 V´yvojov´ymodel a veden´ıprojektu FreeBSD

Pˇri snaze pochopit jak se projekt FreeBSD vyv´ıj´ıa jak vznikási mus´ımeuvˇedomitnˇekteré aspekty vývoje opensource softwaru. Oproti vývojáˇr˚umproprietárn´ıch systém˚ujsou vývojáˇri FreeBSD ˇcasto pouze dobrovoln´ıci, nejsou (aˇzna nˇekterévýjimky) za odvedenou práci pla- ceni a ˇcasto programuj´ıhlavnˇepro zábavu ve svémvolném ˇcase. Kompletn´ı zdrojovékódy systému vˇcetnˇedokumentace, hláˇsen´ı o chybách a archiv pˇr´ıspˇevk˚una mailing-listu je veˇrejnˇedostupnýpˇres systémsprávyverz´ıCVS. Práva k zápisu do tˇechto repozitáˇr˚umávˇsakpouze omezenýokruh lid´ı,tzv. commiters. Vývojáˇri,kterých je v souˇcasnosti cca 3000-4000, musej´ı spolupracovat s nˇekterýmz 300-400 commiter˚u, jestliˇzechtˇej´ı,aby se jimi navrhovanézmˇeny prom´ıtly do systému. Stejnˇejako vývojáˇri se i commiters vˇetˇsinou specializuj´ına nˇekterou ˇcástsystému. Vˇsechny rozsáhlézmˇeny by mˇely být ovˇeˇreny v´ıcecommitery, neˇzbudou zaneseny do zdrojovéhostromu. V hierarchii výˇs nad commitery je uˇzjen tzv. core team. Clenovététouˇzˇs´ıskupinyˇ (v souˇcasnosti 9 lid´ı) jsou voleni kaˇzdédva roky. Jejich úkolem je pˇrij´ımán´ızávaˇznˇejˇs´ıch rozhodnut´ı, ˇreˇsen´ıspor˚u dvou nebo v´ıcecommiter˚ua pˇrij´ımán´ınových commiter˚u. Vývoj prob´ıháparalelnˇeve dvou vˇetv´ıch: FreeBSD-STABLE a FreeBSD-CURRENT. Vˇetev FreeBSD-STABLE je zamýˇslena jako stabiln´ı a prom´ıtaj´ı se do n´ı pouze zmˇeny, kteréopravuj´ıchyby a pˇridávaj´ıpodporu pro novýhardware. Stabiln´ıvˇetev je ˇcas od ˇcasu vydávána jako RELEASE“ a je uvolnˇenav podobˇeISO obraz˚uk vypálen´ına CD. Aktivn´ı ” vývoj a pˇridáván´ınových moˇznost´ıprob´ıháve vˇetvi CURRENT. Pˇribliˇznˇekaˇzdédva roky se vˇetev CURRENT rozdvoj´ı,aby se zformovala novávˇetev STABLE.

2.5 BSD licence

Aˇckoliv jsou ˇcásti systému licencovány pod r˚uznýmilicencemi, preferovanou licenc´ı pro jádro a systémovénástroje je BSD licence. BSD licence samotnámásv˚uj p˚uvod na univer- zitˇev Berkeley. Text tétolicence je uveden v pˇr´ıloze A. BSD licence je velmi volnou licenc´ı, oproti GNU GPL neobsahuje ˇzádnáomezen´ı, kromˇetoho, ˇze s´ıˇrenéodvozenéd´ılo (at’ uˇzv binárn´ı nebo zdrojovéformˇe)mus´ı obsahovat informaci o autorech, o licenci a bˇeˇznézˇreknut´ıse odpovˇednosti za d´ılo.BSD licence umoˇzˇnuje komerˇcn´ı vyuˇzit´ı vˇcetnˇevyuˇzit´ı bez zveˇrejnˇen´ı zdrojových kód˚u.Nˇekdybývá vtipnˇeoznaˇcována jako copycenter:

Existuje copyright, kterýzakazuje ˇs´ıˇren´ıd´ıla, copyleft, kterýnaopak zakazuje omezován´ıˇs´ıˇren´ıd´ıla a BSD licenci nazvˇeme copycenter, coˇzznamená Vezmˇete ” si to do copycentra a udˇelejtesi kopi´ıkolik chcete.“ [10]

6 Kapitola 3

S´ıt’ov´ysubsyst´em Netgraph

3.1 Co je to Netgraph?

Netgraph je modulárn´ıs´ıt’ovýsubsystémimplementovanýpˇr´ımov jádˇre operaˇcn´ıhosystému FreeBSD. Ukolem´ Netgraphu nen´ınahradit existuj´ıc´ıs´ıt’ovou infrastrukturu v jádˇre,ale sp´ıˇsese s n´ıdoplˇnovat a nab´ıdnout vývojáˇr˚umnovémoˇznosti [2]:

• flexibiln´ızp˚usobkombinován´ıprotokol˚ua ovladaˇc˚us´ıt’ových zaˇr´ızen´ı

• zp˚usobjak modul´arnˇeimplementovat nov´eprotokoly

• spoleˇcnouplatformu pro vz´ajemnou komunikace objekt˚uv kernelu

• efektivn´ıimplementaci v kernelu

Netgraph navrhli a poprvéimplementovali vývojáˇri Archie Cobbs a Julian Elischer roku 1996 ve firmˇeWhistle Communications, Inc. ve verzi FreeBSD 2.2 modifikovanépro zaˇr´ızen´ı Whistle InterJet. Jednalo se o server urˇcenýpro menˇs´ıkanceláˇre a domácnostik pˇripojen´ı do internetu a poskytován´ısluˇzeb jako e-mail, VPN, firewall, souborovýserver apod.[1] Do oficiáln´ıho stromu se Netgraph dostal poprvéve verzi FreeBSD 3.4. V návrhu Netgraphu lze pomˇernˇesnadno rozeznat ovlivnˇen´ıunixovou filosofi´ı.M´ısto nˇejakého sloˇzitého robustn´ıho systému je k dispozici celásada nˇekolika relativnˇejedno- duchých nástroj˚u, kteréprovádˇej´ı jednoduchépˇresnˇedefinovanéoperace. D´ıky tomu se tento systémdájednoduˇse pˇrizp˚usobit a lze s n´ımprovádˇetvˇeci, na kterép˚uvodn´ınávrháˇri tˇrebaani nepomysleli. Tˇemitonástroji jsou uzly (nodes), kteréjsou pomoc´ı hran spojovány do vˇetˇs´ıch celk˚u, graf˚u. Podélhran se ˇs´ıˇr´ı data, kterájsou zpracovánav uzlech, napˇr. pˇridáván´ımˇci odeb´ırán´ımhlaviˇcek paket˚um pˇriimplementaci r˚uzných protokol˚u.

7 3.1.1 Z´akladn´ıpojmy

V této podkapitole si objasn´ımezákladn´ıpojmy jako uzly, hrany, kontroln´ızprávy.

Uzel

Základn´ıjednotkou v Netgraphu je uzel. Uzly zpracovávaj´ıdata, kterápˇres nˇeteˇcou, napˇr. pˇridávaj´ınebo odeb´ıraj´ıhlaviˇckyr˚uzných protokol˚u.Uzly takémohou býtzdrojem nebo c´ılemdat v pˇr´ıpadˇe, ˇzejsou asociovány pˇr´ımos hardware nebo s jinými ˇcástmi s´ıt’ovéhosub- systému. Vˇsechny uzly maj´ınˇekolik spoleˇcných pˇreddefinovaných metod, kteréjim umoˇzˇnuj´ı komunikovat s ostatn´ımi uzly. Kaˇzdýuzel patˇr´ık nˇejakému typu. Typ urˇcuje chován´ıuzlu a zp˚usob pˇripojen´ık ostatn´ım uzl˚um. Nab´ız´ıse paralela s objektovˇeorientovanýmprogramován´ım. Typ m˚uˇzeme chápat jako tˇr´ıdu, kteráje odvozenáod hlavn´ıtˇr´ıdya dˇed´ıtak rysy spoleˇcnépro vˇsechny uzly. Uzel je instanc´ıtypu (tˇr´ıdy). Typ uzlu je popsánjednoznaˇcných ASCII názvem. Uzlu je v dobˇejeho vytvoˇren´ıpˇridˇelena jednoznaˇcnáadresa, kteráje tvoˇrena32-bitovýmˇc´ıslem (ID number). Nav´ıc m˚uˇze býtuzel pro vˇetˇs´ıpˇrehlednost a usnadnˇen´ıprácepojmenován ASCII názvem. Název nesm´ıobsahovat znaky ‘.’ nebo ‘:’ a jeho délka je implementaˇcnˇe omezenána NG_NODESIZ (vˇcetnˇeukonˇcovac´ıho znaku nula). Spojen´ımpáru hák˚uvznikne hrana. Data teˇcou obousmˇernˇemezi uzly podél hran tvoˇrených páremhák˚u.Uzel m˚uˇzem´ıt libovolnýpoˇcet hák˚u. Kaˇzdýhákmásv˚uj ASCII název, kterýje jednoznaˇcnýv rámci uzlu. Název nesm´ı podobnˇejako u názvuuzlu obsahovat znaky ‘.’ a ‘:’ a jeho délka je omezenána NG_HOOKSIZ znak˚u(vˇcetnˇeukonˇcovac´ıho znaku nula). Hákje vˇzdypˇripojen k nˇejakému jinému háku a vznikáatomicky aˇzv dobˇevytváˇren´ıhrany. Odstranˇen´ıhákuna jednéstranˇespoje má za následek odstranˇen´ıceléhrany i s protilehlýmhákem. Pro hákym˚uˇzou býtdefinovány vlastn´ımetody pro pˇr´ıjemdat a kontroln´ıch zpráv.Dojde tak k pˇret´ıˇzen´ı“obecných metod ” pro danýuzel.

Kontroln´ızpr´avy

Ke komunikaci s uzly, k jejich konfiguraci a zjiˇst’ován´ıstavu se pouˇz´ıvaj´ıkontroln´ızprávy. Vˇsechny uzly rozumˇej´ızákladn´ımkontroln´ım zprávám,kteréjsou souˇcást´ıimplementace Netgraphu. Tv˚urce modulu m˚uˇze navrhnout vlastn´ızprávyspecificképro vytváˇrenýuzel. Zprávyjsou z d˚uvodu efektivnosti v binárn´ım formátu, ale vˇetˇsinouje nav´ıcdefinováni textovýformát,kterýje vhodnˇejˇs´ıpro ladˇen´ıa pouˇzit´ıv uˇzivatelských rozhran´ıch. Vˇsechny zprávy jsou opatˇreny 32-bitovou hodnotou nazývanou typecookie, kteráznaˇc´ıtyp zprávy. Kaˇzdýtyp uzlu, kterýrozum´ıdanézprávˇe, mádefinovanou stejnou hodnotu typecookie.

3.1.2 Adresov´an´ı

Netgraph nab´ız´ı pˇrehlednýzp˚usobjak adresovat konkrétn´ı uzel v grafu. Kaˇzdýuzel je dostupnýpˇresadresu, kterámátyp ˇretˇezce ASCII znak˚u.Je nutnépoznamenat, ˇze toto

8 adresován´ıje pouˇzitelnépouze pro zas´ılán´ıkontroln´ıch zpráv. Vˇsechny uzly v grafu maj´ıunikátn´ıID (ID number). Uzavˇren´ımtohoto ˇc´ıslav hexade- cimáln´ımtvaru do hranatých závorek a pˇridán´ımdvojteˇckyna konec dostaneme platnou adresu konkrétn´ıhouzlu. Napˇr´ıklad uzel s ID ˇc´ıslem 38f m˚uˇzeme adresovat jako ,,[38f]:”. Nˇekteréuzly maj´ı jména. Uzly spojenés hardwarovýmzaˇr´ızen´ım maj´ı v netgraphu typicky jménodanéhozaˇr´ızen´ı. Napˇr´ıklad uzel asociovanýs ethernetovýmadaptérem ,,em0” máadresu ,,em0:”. Adresy mohou býti sloˇzitˇejˇs´ıneˇzpouhéjménonebo ID ˇc´ıslouzlu, nav´ıcse adresy dˇel´ına absolutn´ıa relativn´ı.Absolutn´ıadresa zaˇc´ınájménemnebo ID ˇc´ıslem uzlu, dálenásleduje dvojteˇcka, za n´ıposloupnost hák˚uoddˇelenáteˇckami. Relativn´ıadresa obsahuje pouze seznam hák˚uoddˇelených teˇckami. Cesta pak zaˇc´ınáv uzlu, ze kteréhose odkazujeme. Pro názornost si uvedeme nˇekolik pˇr´ıklad˚u. Uvaˇzujmeobrázek 3.1, na uzel ngeth0 se m˚uˇzeme odkázat napˇr´ıklad tˇemitoadresami: ngeth0: mybridge:link3 bfe0:lower.link0 [5c8]: [5c4]:upper.link3 mybridge:link2.lower.link3

mybridge: bridge [5cc]:

ngeth0: bfe0: link3 link0 link2 link1 ether [5c8]: ether [5c4]:

upper lower upper lower

Obr´azek 3.1: Pˇr´ıklad k adresov´an´ı

9 3.2 Pˇr´ıkladymodul˚u

Nyn´ısi uvedeme nˇekolik pˇr´ıklad˚ukonkrétn´ıch netgraphových modul˚u(resp. typ˚u),které jsou implementovány ve FreeBSD. U kaˇzdéhopop´ıˇseme pouze základn´ıchován´ıa moˇznosti vyuˇzit´ı.Podrobnˇejˇs´ıinformace lze nalézt v manuálových stránkách k pˇr´ısluˇsnýmmodul˚um.

3.2.1 echo

Modul ng_echo(4) pos´ılázpˇet odes´ılatelivˇsechny kontroln´ızprávy a data, kterék nˇemu dorazily. Tento modul je pouˇzitelnýzejména k testován´ıa ladˇen´ı.

3.2.2 tee

Modul ng_tee(4) funguje podobnˇejako pˇr´ıkaz tee(1). Chováse jako rozdvojka, ale na rozd´ıl od jej´ıhoshellového ekvivalentu je oboustranná.Tee uzly maj´ıˇctyˇriháky:left, right, left2right a right2left. Vˇsechna data, kterádoraz´ına hákleft, jsou poslánana hákyright a left2right. Obdobnˇez right na left a right2left. Dálepak data z uzlu right2left (resp. left2right) teˇcou v nezmˇenˇenépodobˇena hákyright (resp. left). Uzel typu tee se hod´ı zejménak ladˇen´ınebo odposloucháván´ı“spojen´ımezi dvˇema uzly. Za zm´ınku stoj´ıi to, ” ˇzeuzel si pro jednotlivéhákyvytváˇr´ıstatistiku o poˇctudatových zpráv(paket˚u)a jejich celkovévelikosti pro smˇer toku ven i dovnitˇruzlu.

3.2.3 iface

Vytvoˇren´ımuzlu typu iface vznikne virtuáln´ıs´ıt’ovérozhran´ıtypu point-to-point. To je dosaˇzitelnéjednak z Netgraphu jako uzel, ale i jako klasickés´ıt’ovérozhran´ıpˇres systémový nástroj ifconfig(8). Rozhran´ıjsou pojmenovánajako ng0, ng1, atd. Uzly tohoto typu maj´ıhákyodpov´ıdaj´ıc´ıjednotlivýmprotokol˚um(inet, inet6, ipx, atalk, atm, . . . ). Pakety, kterédoraz´ına s´ıt’ovérozhran´ıse objev´ına hákupˇr´ısluˇsnéhoprotokolu a data poslanána hákznaˇc´ıc´ıurˇcitýprotokol poˇsle rozhran´ıdo s´ıtˇejako pakety daného protokolu.

3.2.4 eiface

Podobnˇejako ng_iface(4) i modul ng_eiface(4) vytváˇr´ıvirtuáln´ıs´ıt’ovérozhran´ıs t´ım rozd´ılem, ˇze se jednáo ethernetovérozhran´ı.Rozhran´ıjsou pojmenovánanázvyngeth0, ngeth1, atd.

3.2.5 ether

Modul ng_ether(4) umoˇzn´ıs´ıt’ovýmethernetovýmrozhran´ımobjevit se v Netgraphu jako uzly, kteréjsou pojmenovány stejnˇejako jim pˇr´ısluˇsej´ıc´ıethernetovározhran´ı. Uzly typu ether maj´ıháky lower, upper a orphans. Hák lower slouˇz´ık pˇr´ımému spojen´ıs ethernetovým rozhran´ım.Kdyˇzje pˇripojen, jsou na nˇejdoruˇceny vˇsechny pˇr´ıchoz´ıpakety ze s´ıtˇe.Zápis dat

10 na tento hákzp˚usob´ıjejich odeslán´ıdo s´ıtˇe.Hák upper vytváˇr´ıspojen´ıs horn´ımi vrstvami s´ıt’ovéhostacku. Po jeho pˇripojen´ıjsou na nˇej pos´ılány vˇsechny odchoz´ıpakety, m´ısto aby byly vys´ılány pˇr´ımos´ıt’ovýmadaptérem. Zápis na tento hákzp˚usob´ı, ˇze data budou pˇrijata jako ethernetovýrámec jádrem OS, tak jako by se jednalo o data ze s´ıtˇe. Hák orphans se chovápodobnˇejako lower s t´ımrozd´ılem,ˇze na jeho výstupu se objev´ıpouze pakety, u kterých nebyl rozpoznánjejich typ (tj. jádro OS si s nimi neum´ıporadit). Kdyˇznejsou ˇzádnéháky pˇripojeny, uzel se chovátak, jako by byly háky lower a upper spojeny.

3.2.6 socket

Modul ng_socket(4) implementuje uzly, kteréjsou zároveˇnuzly netgraphu a zároveˇnpárem soket˚uz rodiny PF_NETGRAPH. Jeden soket je pouˇzit pro data a druhýpro kontroln´ızprávy. Uzel netgraphu je vytvoˇrenv dobˇevytváˇren´ısoket˚uv userspace programu. Pˇr´ıklad takového vytvoˇren´ısoket˚u: int s1, s2; s1 = socket(PF_NETGRAPH, SOCK_DGRAM, NG_CONTROL); s1 = socket(PF_NETGRAPH, SOCK_DGRAM, NG_DATA);

3.2.7 ksocket

Modul ng_ksocket(4) vytváˇr´ıuzly, kteréjsou zároveˇnBSD sokety a zároveˇnuzly netgraphu. Avˇsak v tomto pˇr´ıpadˇejde o obrácenouverzi ng_socket. Tento modul námumoˇzn´ı vytvoˇritBSD soket pˇr´ımov kernelu a navázatspojen´ıs procesem, kterýbˇeˇz´ılokálnˇena stejnémstroji, nebo s jinýmstrojem pˇres s´ıt’. Uzel akceptuje kontroln´ı zprávy connect, accept, listen, bind apod., kterémaj´ıstejnývýznam jako pˇripouˇzit´ı socket(2).

3.3 N´astroje pro pr´acis Netgraphem

V této sekci si pop´ıˇseme programovénástroje, kteréslouˇz´ık vytváˇren´ıgrafu a ke komunikaci s uzly. Dále si pˇredvedeme nˇekterétechniky, kterésice nejsou nezbytnˇenutné,ale výraznˇe námzjednoduˇs´ıpráci.

3.3.1 nghook

Nástroj nghook(8) se pˇripoj´ına nepˇripojenýhákuzlu v grafu a umoˇzn´ıpˇrij´ımata vys´ılat pakety pˇresstandardn´ıvstup a výstup. Výstup m˚uˇze býtdekódovándo ˇcitelnéhoASCII formátu. Napˇr´ıklad pokud si chceme nechat zobrazit v ASCII formátunerozpoznanépakety ze s´ıt’ovéhoadaptéru bfe0, pouˇzijeme pˇr´ıkaz: nghook -a bfe0: orphans

K propojen´ınetgraphu, kter´ybˇeˇz´ıv kernelu, s procesem nghook v uˇzivatelsk´emprostoru je pouˇzit uzel typu socket (ng_socket(4)).

11 3.3.2 ngctl

Program ngctl(8) vytvoˇr´ıuzel typu socket. Pˇresnˇej jsou uzl˚um zas´ılány kontroln´ızprávy a z´ıskávány informace o uzlech. Tento program s rozhran´ım pˇr´ıkazovéˇrádky m˚uˇzebýt jednak pouˇzit v interaktivn´ımmódu, ale takév shellových skriptech napˇr´ıkladpro dávkové vytvoˇren´ıjiˇznavrˇzenéhoschématu grafu. Výpisnejd˚uleˇzitˇejˇs´ıch pˇr´ıkaz˚u: connect Spoj´ıpárhák˚u,aby se vytvoˇrila hrana. dot Vyp´ıˇse celýgraf ve formátuGraphViz (.dot). help Zobraz´ıseznam pˇr´ıkaz˚unebo podrobnou nápovˇedu pro specifickýpˇr´ıkaz. list Zobraz´ıinformace o vˇsech uzlech v grafu. mkpeer Vytvoˇr´ınovýuzel a pˇripoj´ıho na existuj´ıc´ıuzel. msg Zaˇsle kontroln´ızprávuvybranému uzlu. name Pˇriˇrad´ıuzlu jméno. rmhook Rozpoj´ıdva uzly, kteréjsou spojené. show Zobraz´ıinformace o danémuzlu. shutdown Pˇreruˇs´ıvˇsechny hrany a odstran´ıuzel. types Zobraz´ıinformace o právˇenainstalovaných typech. quit Ukonˇc´ıprogram.

Pˇr´ıkaz mkpeer mána rozd´ılod ostatn´ıch pˇr´ıkaz˚usloˇzitˇejˇs´ısyntaxi, kteránemus´ıbýtna prvn´ıpohled zˇrejmá. pouˇzit´ı:mkpeer [cesta]:

Pˇr´ıkaz vytvoˇr´ınovýuzel typu typ“ a pˇripoj´ıho na uzel na adrese cesta“. Hákyurˇcenéke ” ” spojen´ıjsou hák1“ na p˚uvodn´ım uzlu a hák2“ na novˇevytvoˇrenémuzlu. ” ”

Za povˇsimnut´ıstoj´ıpˇr´ıkaz dot, kterýprodukuje výstuppro sadu program˚uGraphViz. Po nainstalován´ıtétosady z binárn´ıhobal´ıˇcku pˇr´ıkazem:

# pkg_add -r graphviz pˇr´ıpadnˇekompilac´ıa instalac´ız port˚u:

# cd /usr/ports/graphics/graphviz # make install clean námnásleduj´ıc´ıpˇr´ıkaz zobraz´ıschéma grafu v graficképodobˇe.

# ngctl dot | dotty -

V bal´ıku graphviz je v´ıceuˇziteˇcných program˚upro prácis t´ımto formátem. Za zm´ınku stoj´ı alespoˇn dot, kterýum´ımimo jinéexport do PostScriptu. Takto byly vytvoˇreny i obrázky graf˚uv této práci.

12 3.3.3 libnetgraph

Dalˇs´ımprostˇredkem pro komunikaci userspace proces˚us moduly netgraphu je knihovna libnetgraph(3). Je to knihovna napsanáv jazyce C a implementuje funkce nutnéke správˇe netgraphu. Samotnákomunikace s netgraphem prob´ıhápomoc´ı modulu ng_socket(4). Prostˇredky tétoknihovny vyuˇz´ıvaj´ıprávˇenástroje ngctl(8) a nghook(8).

3.4 Pˇr´ıkladyvyuˇzit´ıNetgraphu

V adres´aˇri /usr/share/examples/netgraph nalezneme pˇr´ıklady vyuˇzit´ıNetgraphu.

3.4.1 UDP tunel

Pop´ıˇseme si skript, kterýmáza úkol vytvoˇrittunel mezi dvˇema pods´ıtˇemi. Vyuˇz´ıváse v nˇemtunelován´ıIP protokolu pˇresUDP spojen´ı. Pˇrepis skriptu s ˇceskýmikomentáˇri:

#!/bin/sh

# Definice adres lokáln´ıa vzdálenévnitˇrn´ıs´ıtˇe, # definice vnˇejˇs´ıchadres a ˇc´ısloUDP portu, # kterýbude pouˇzitpro tunel. # LOC_INTERIOR_IP=192.168.1.1 LOC_EXTERIOR_IP=1.1.1.1 REM_INTERIOR_IP=192.168.2.1 REM_EXTERIOR_IP=2.2.2.2 REM_INSIDE_NET=192.168.2.0 UDP_TUNNEL_PORT=4028

# Vytvoˇr´ıuzel rozhran´ı‘‘ng0’’, jestliˇzedosud neexistuje, # jinak se pouze ujist´ı,zda nen´ık nˇeˇcemupˇripojen. if ifconfig ng0 >/dev/null 2>&1; then ifconfig ng0 inet down delete >/dev/null 2>&1 ngctl shutdown ng0: else ngctl mkpeer iface dummy inet fi

# Pˇripojen´ıUDP soketu k h´aku‘‘inet’’ uzlu rozhran´ıza pouˇzit´ıuzlu # typu ng_ksocket(4). # ngctl mkpeer ng0: ksocket inet inet/dgram/udp

13 # Sv´aˇze(bind) UDP soket s lok´aln´ıvnˇejˇs´ıIP adresou a portem. # ngctl msg ng0:inet bind inet/${LOC_EXTERIOR_IP}:${UDP_TUNNEL_PORT}

# Propoj´ıUDP soket se vzd´alenouvnˇejˇs´ıIP adresou a portem. # ngctl msg ng0:inet connect inet/${REM_EXTERIOR_IP}:${UDP_TUNNEL_PORT}

# Nakonfiguruje rozhran´ıtypu point-to-point. # ifconfig ng0 ${LOC_INTERIOR_IP} ${REM_INTERIOR_IP}

# Vloˇz´ızáznamdo routovac´ıtabulky, tak aby spojen´ıdo vzdálenévnitˇrn´ı # s´ıtˇeprob´ıhalopˇrestunel. # route add ${REM_INSIDE_NET} ${REM_INTERIOR_IP}

3.4.2 Podvrˇzen´ıMAC adresy pomoc´ıNetgraphu

S´ıt’ovéadaptéry maj´ı od výrobce pevnˇepˇridˇelenu tzv. hardwarovou MAC adresu. Tato adresa je unikátn´ı(nebo by alespoˇnmˇelabýt). Tak jako se pomoc´ıprotokolu DNS spojuj´ı doménovájménas IP adresami, obdobnˇese na nˇekterých s´ıt´ıch vytváˇr´ıpomoc´ıprotokolu ARP spojen´ımezi IP adresami a MAC adresami s´ıt’ových rozhran´ı. MAC adresa je na kartˇevˇetˇsinou pevnˇe vypálena“do pamˇetiEPROM. Nˇekdy je vˇsak ” tˇrebatuto adresu zmˇenit, napˇr´ıklad pokud poskytovatel internetového pˇripojen´ıprovád´ı mapován´ıIP adres na MAC adresy a uˇzivatel si chce napˇr. jen na párhodin pˇripojit jiný poˇc´ıtaˇc, aniˇzby musel absolvovat proceduru s odhláˇsen´ımp˚uvodn´ıMAC adresy a registrac´ı nové. U nˇekterých s´ıt’ových karet je moˇznénastavit MAC adresu softwarovˇepomoc´ınástroje ifconfig(8). Ve skuteˇcnostinedojde ke zmˇenˇepevnˇedanéadresy, jen se karta tváˇr´ı, jako by mˇela jinou. Co si vˇsak poˇc´ıt s kartami, kterétuto softwarovou zmˇenu neumoˇzˇnuj´ı? V takovém pˇr´ıpadˇenámm˚uˇze pomoci Netgraph.[13] Následuj´ıc´ıpˇr´ıkazy vytvoˇr´ıuzel typu ng_bridge(4) a virtuáln´ıethernetovérozhran´ı.

• Odstran´ıIP adresu rozhran´ı.

# ifconfig dc0 delete

• Vytvoˇr´ıvirtu´aln´ıethernetov´erozhran´ı.

# ngctl mkpeer . eiface hook ether

14 • Ovˇeˇr´ı, zda rozhran´ıexistuje a MAC adresu m´avynulovanou.

# ifconfig ngeth0 ngeth0: flags=8802 mtu 1500 ether 00:00:00:00:00:00

• Zapne virtu´aln´ıethernetov´erozhran´ı.

# ifconfig ngeth0 up ngeth0: flags=8843 mtu 1500 inet6 fe80::2d0:9ff:fe4c:9e5f%ngeth0 prefixlen 64 scopeid 0x4 ether 00:00:00:00:00:00

• Pokud tak nebylo uˇcinˇenoje potˇrebazav´est modul pro ng_ether(4).

# kldload ng_ether

• Vytvoˇr´ımost (bridge) a pˇripoj´ıdoln´ıh´akvirtu´aln´ıho rozhran´ı.

# ngctl mkpeer ngeth0: bridge lower link0

• Pojmenuje most.

# ngctl name ngeth0:lower mybridge

• Pˇripoj´ıh´akdoln´ıvrstvy fyzick´ehorozhran´ı.

# ngctl connect dc0: mybridge: lower link1

• Pˇripoj´ımost na h´akhorn´ıvrstvy fyzick´ehorozhran´ı.

# ngctl connect dc0: mybridge: upper link2

• Pˇripoj´ımost na h´akhorn´ıvrstvy virtu´aln´ıho rozhran´ı.

# ngctl connect ngeth0: mybridge: upper link3

• Nastav´ıfyzickérozhran´ı,aby nepˇrepisovalo MAC adresu v hlaviˇckách rámc˚usvou MAC adresou.

# ngctl msg dc0: setautosrc 0

15 • Pˇrepne fyzickérozhran´ıdo promiskuitn´ıho modu, tzn. karta pˇredávádo vyˇsˇs´ıch vrstev i pakety, kterénejsou adresovány pˇr´ımo pro ni.

# ngctl msg dc0: setpromisc 1

• Nastav´ıMAC adresu virtu´aln´ıho rozhran´ı.

# ifconfig ngeth0 link 00:5c:16:10:dd:79

• Nech´asi od DHCP serveru pˇridˇelit IP adresu pro virtu´aln´ırozhran´ı.

# dhclient ngeth0 # ifconfig ngeth0 ngeth0: flags=8843 mtu 1500 inet6 fe80::2de:adff:fe12:1212%ngeth0 prefixlen 64 scopeid 0x4 inet 192.168.1.21 netmask 0xffffff00 broadcast 192.168.1.255 ether 00:5c:16:10:dd:79

Schéma takto vytvoˇrenéhografu je moˇznovidˇet na obrázku 3.1.

16 Kapitola 4

Dalˇs´ısubsyst´emy vyuˇziteln´epro modul

Pro návrh Netgraph modulu pro poˇc´ıtán´ıstatistik je potˇreba porozumˇet nˇekolika dalˇs´ım subsystém˚um a mechanism˚um jádra. V následuj´ıc´ıch kapitolách si pˇredstav´ıme jednotlivé mechanismy. Nejprve danou problematiku uvedeme do ˇsirˇs´ıhokontextu, potom se zamˇeˇr´ıme na specifickédetaily a nakonec danou oblast uvedeme do souvislosti s navrhovanýmmodu- lem.

4.1 Moduly j´adra

Jádro systému FreeBSD se ˇrad´ımezi monolitickájádra,avˇsak jako vˇetˇsinamodern´ıch uni- xových systém˚umápodporu pro jadernémoduly. Pod pojmem jadernémoduly m˚uˇzeme chápatdvˇer˚uznévˇeci. Pokud chtˇelvývojáˇrdo starˇs´ıch verz´ı BSD jádra(jako monoli- tického celku) pˇridat nˇejakou novou sluˇzbunebo subsystém, musel m´ıtvelice dobrou zna- lost intern´ıch jaderných mechanism˚u. To samozˇrejmˇeˇcinilo vývoj obt´ıˇznˇejˇs´ım a ˇcasovˇe nároˇcnˇejˇs´ım. V novˇejˇs´ıch verz´ıch nastal proces modularizace jádra, tedy rozbit´ına v´ıcelo- gických celk˚u,kteréposkytuj´ıjednotlivésluˇzby. Tyto moduly jsou pˇrizavádˇen´ısystému seˇrazeny do logického sledu podle toho, jak na sobˇezávis´ı.Modularizovanéjádro umoˇzˇnuje vývojáˇr˚umsnadnˇejipˇridávat novésluˇzby a subsystémy. Moduly m˚uˇzeme rozdˇelit na dvˇeskupiny. Moduly, kterémohou býtnaˇcteny a naopak uvolnˇeny z pamˇeti v dobˇebˇehu systému nazýváme zaveditelnémoduly jádra. Moduly, které musej´ıbýtzavedeny do pamˇeti pˇrizavádˇen´ısystému, nazýváme permanentn´ıjadernémo- duly. Tyto moduly poskytuj´ızákladn´ısluˇzby jako správupamˇetinebo plánovaˇcproces˚u,a proto nemohou býtodstranˇeny z pamˇetibˇeˇz´ıc´ıho systému. Programován´ızaveditelných modul˚ujádra je pro systémovéprogramátorydaleko poho- dlnˇejˇs´ıa rychlejˇs´ı. Programátor m˚uˇze modul zkompilovat, zavést, ladit pomoc´ıdebuggeru, uvolnit z pamˇeti,zmˇenit kus kódu, zkompilovat a znovu naˇc´ıstbez toho, aniˇzby musel re- startovat systém. Pouˇzit´ızaveditelných modul˚ujádra umoˇzˇnuje takéaktualizovat potˇrebné

17 ˇcásti systému bez nutnosti restartu. Na druhou stranu pˇrirealizaci systému, kterýumoˇzˇnuje zavádˇeta uvolˇnovat moduly jádra za bˇehu systému, vyvstávái otázka bezpeˇcnosti. Ve starých verz´ıch BSD bylo jádro kompletnˇeimunn´ıv˚uˇci zmˇenámprovedených uˇzivatelem za doby bˇehu systému. Jediným rozhran´ımpro interakci s jádrem byla systémovávolán´ı. Uˇzivatel sice mohl shodit sv˚ujprogram, ale nemohl nijak ovlivnit jádroOS, pomineme-li moˇznost zneuˇzit´ınˇejakézávaˇznéchyby v jádˇre.Naproti tomu u jádra s podporou zavedi- telných modul˚uhroz´ınebezpeˇc´ı, ˇzeuˇzivatel, kterému se podaˇr´ız´ıskat práva superuˇzivatele, m˚uˇzezmˇenit nˇekterou ˇcást bˇeˇz´ıc´ıhosystému. Urˇcitésluˇzby nemohou býtuvolnˇeny z bˇeˇz´ıc´ıho jádra, coˇzje sice urˇcitáforma ochrany, ale modul, kterýje správnˇenapsánm˚uˇzebýtkdy- koliv zaveden, vˇcetnˇetˇech podstrˇcených útoˇcn´ıkem. Urˇcitýmˇreˇsen´ım bezpeˇcnostiby byla podpora digitáln´ıch podpis˚uu jaderných modul˚u.Protoˇze vˇsak FreeBSD digitáln´ımipod- pisy modul˚unedisponuje, dávaj´ısprávci, kteˇr´ıprovozuj´ıFreeBSD v komerˇcn´ısféˇre pˇrednost sp´ıˇsezakompilován´ıvˇsech potˇrebných sluˇzeb pˇr´ımodo jádra a nepouˇz´ıvaj´ıjadernémoduly, kterémohou býtnaˇcteny v dobˇebˇehu systému. [3] Celýsubsystém Netgraphu m˚uˇzeme m´ıtk dispozici jako jadernýmodul, nebo ho m˚uˇzeme zakompilovat pˇr´ımodo jádra, v tom pˇr´ıpadˇeje nutno pˇridat do konfiguraˇcn´ıhosouboru jádra ˇrádek options NETGRAPH. Samotnémoduly Netgraphu maj´ıtakéformu jaderných modul˚u.

4.2 Mbuf

Poˇzadavky na správupamˇetipro prostˇredkymeziprocesovékomunikace (kam spadái s´ıt’ová komunikace) jsou trochu jinéneˇzpoˇzadavky od ostatn´ıch ˇcást´ıjádra operaˇcn´ıho systému. V obou pˇr´ıpadech jde sice o efektivn´ıalokaci a uvolˇnován´ıpamˇeti,ale v pˇr´ıpadˇemezipro- cesovékomunikace je pˇriimplementaci r˚uzných protokol˚uˇcasto nutnépaket˚um pˇridávat ˇci odeb´ıratr˚uznéhlaviˇcky. Odes´ılanádata se ˇcasto rozdˇeluj´ıdo v´ıcepaket˚ua naopak pˇrij´ımané pakety se sluˇcuj´ıdo vˇetˇs´ıch buffer˚u.Pakety jsou ˇcasto ˇrazeny do front, neˇzjsou pˇredány dálvyˇsˇs´ımvrstvámpro pˇr´ıjem nebo niˇzˇs´ımpro odeslán´ı.Pro tyto úˇcely existuje speciáln´ı správa pamˇeti. Alfou a omegou, kolem kteréje tato správa pamˇetivystavˇena,je datovástruktura mbuf (obr. 4.1). Paket je sloˇzen z ˇretˇezce tˇechto struktur (mbuf chains). Mbufy maj´ıstandardn´ı velikost 256 byt˚u.Kaˇzdý mbuf mána zaˇcátkuhlaviˇcku tvoˇrenoustrukturou m hdr, ta obsahuje mimo jinétakéukazatel m next, kterýukazuje na dalˇs´ı mbuf v ˇretˇezci. Hodnota NULL tohoto ukazatele znaˇc´ı, ˇze je daný mbuf posledn´ımv ˇretˇezci. Za hlaviˇckou se nacház´ıdatováoblast, kteráje standardnˇevelká234 byt˚u(hlaviˇcka zab´ırá22 byt˚u).Pokud by tato datováoblast pˇr´ımov mbuf svoji velikost´ınestaˇcila, alokuje se pro data extern´ıdatovástruktura. V hlaviˇcce m hdr je proto ukazatel m data, kterýuka- zuje bud’ na datovou ˇcást mbuf nebo na extern´ıdatovou strukturu. Data se tedy nacházej´ı pouze pˇr´ımov mbuf nebo v extern´ıstruktuˇre, nikdy na obou m´ıstech. Dáleje v hlaviˇcce m hdr k dispozici takéúdaj o velikosti datovéoblasti, takˇzes jeho pomoc´ıa s ukazatelem na data je datováoblast pˇresnˇevymezena.

18 m_next m_nextpkt m_data m_len m_flags m_type

m_dat 234 bytes

Obr´azek 4.1: Datov´astruktura mbuf

Jak jiˇzbylo ˇreˇceno, m˚uˇze býtnˇekolik struktur typu mbuf zˇretˇezeno do útvaru nazývaného mbuf chain. Ty mohou býtdálezˇretˇezeny pomoc´ıukazatele m nextpkt v hlaviˇcce do dalˇs´ıho seznamu objekt˚u,kterýse v tomto pˇr´ıpadˇenazýváfronta (mbuf queue). Dalˇs´ızaj´ımavou poloˇzkou v hlaviˇcce mbuf je poloˇzka flags. Tyto pˇr´ıznaky“popisuj´ı ” jak samotný mbuf, tak i objekt uloˇzenýv mbuf chain. Pˇr´ıznaky popisuj´ı, zda má mbuf data uloˇzena v extern´ıdatovéstruktuˇre(M EXT), zda je k dispozici sekundárn´ıhlaviˇcka (M PKTHDR). Pakety jsou uloˇzeny v mbuf chain a prvn´ı mbuf v ˇretˇezci mánastaven pˇr´ıznakM PKTHDR. Dálem˚uˇzoubýtnasteveny pˇr´ıznaky M BCAST nebo M MCAST, kteréznaˇc´ı,ˇzedanýpaket byl vyslánjako broadcast nebo multicast, pˇr´ıpadnˇebyl takto pˇrijat. Jestliˇze je nastaven pˇr´ıznakM PKTHDR, následuje za bˇeˇznouhlaviˇckou mbuf hlaviˇcka paketu. Ta zmenˇs´ıdatovou oblast na 210 byt˚u(obr. 4.2). Hlaviˇcka paketu je pˇr´ıtomna pouze v poˇcáteˇcn´ım mbuf v ˇretˇezci mbuf chain a obsahuje poloˇzku udávaj´ıc´ıcelkovou velikost paketu, ukazatel na rozhran´ı,kterýmbyl danýpaket pˇrijat, ukazatel na hlaviˇcku paketu, kontroln´ısouˇcty a seznam doplˇnuj´ıc´ıch znaˇcek. Mbuf nemus´ım´ıtdata paketu obsaˇzena pˇr´ımov sobˇe, ale m˚uˇzeukazovat na extern´ı datovou strukturu. Data tak mohou býtpouˇz´ıvána i v jiných ˇcástech s´ıt’ovéhosubsystému bez nutnosti vytváˇretjejich kopie. Kdyˇzje poˇzadováno v´ıce kopi´ıstejných dat, staˇc´ıkdyˇz se mbufy odkazuj´ına spoleˇcnádata. [3, 4]

19 m_next m_nextpkt m_data m_len m_flags m_type pkt.len pkt.rcvif pkt.header pkt.csum_flags pkt.csum_data pkt.tags

m_dat 210 bytes

Obr´azek 4.2: Datov´astruktura mbuf s M PKTHDR

4.2.1 Funkce pro manipulaci s mbufy

Pro alokaci nového mbufu se pouˇz´ıvámakro MGET(). Pokud chceme k novˇevytváˇrenému mbufu pˇripojit rovnou i hlaviˇcku,m˚uˇzeme pouˇz´ıtmakro MGETHDR(). Funkce m adj() upravuje vymezen´ıdatovéoblasti v mbufu. Data nejsou nijak posouvána, pouze se manipuluje s odkazem m data a hodnotou m len. Pˇripˇredáván´ıpaketu dalˇs´ım vrstvámse tak m˚uˇzeme posunout o hlaviˇcku n´ıˇznebo výˇs. Makro mtod() utvoˇr´ız ukazatele na mbuf hlaviˇcku ukazatel na jemu pˇr´ısluˇsej´ıc´ıdato- vou oblast pˇretypovanýna poˇzadovanýtyp. Analogicky makro dtom() vezme ukazatel na datovou oblast a vrac´ıukazatel na hlaviˇcku mbufu, ale tato funkce funguje pouze, jsou-li data pˇr´ımosouˇcást´ı mbufu. Funkce m pullup() uprav´ı mbuf tak, ˇze poˇzadovanýpoˇcet byt˚uje spojitˇeum´ıstˇenpˇr´ımo v datovéoblasti v mbufu. Tato operace se pouˇz´ıvánapˇr´ıkladpro zkouman´ıprotokolových hlaviˇcek, abychom se na nˇemohli pod´ıvat jako na spojitou datovou strukturu. [3]

20 4.3 Sysctl

Sysctl je systém pro sd´ılen´ıpromˇenných mezi jádrem a uˇzivatelskými procesy. Uˇzivatel m˚uˇze tyto promˇennéˇc´ıst a nˇekteréi nastavovat pomoc´ıutility sysctl(8) nebo pomoc´ıjiného programu vyuˇz´ıvaj´ıc´ıknihovnu sysctl(3). Promˇenné sysctl jsou ˇrazeny do strom˚ua podstrom˚upodobnˇejako adresáˇrovéstruktury. Nejd˚uleˇzitˇejˇs´ıpodstromy prvn´ıúrovnˇejsou tyto: kern jádro, procesy a limity compat vrstva kompatibility (s jinými operaˇcn´ımisystémy) vm virtuáln´ıpamˇet’ vfs souborovýsystém net s´ıt’ debug ladˇen´ı hw hardware machdep závisléna architektuˇre security bezpeˇcnost user user-level p1003 1b POSIX 1003.1B

Podstromy mohou obsahovat dalˇs´ıpodstromy nebo promˇenné.Jednotlivéúrovnˇezanoˇren´ı jsou v syntaxi utility sysctl(8) oddˇeleny teˇckou. Vezmˇeme si jako pˇr´ıklad promˇennou net.inet.ip.fw.enable. Jej´ımnastaven´ım m˚uˇzeme zapnout, resp. vypnout firewall. Následuj´ıc´ım pˇr´ıkazem si nechámezobrazit struˇcnou informaci k tétopromˇenné.

# sysctl -d net.inet.ip.fw.enable net.inet.ip.fw.enable: Enable ipfw

Dalˇs´ıpˇr´ıkaz vyp´ıˇse nastaven´ıt´eto promˇenn´e.

# sysctl net.inet.ip.fw.enable net.inet.ip.fw.enable: 1

V´ıd´ıme, ˇzefirewall je zapnutý.T´ımto pˇr´ıkazem firewall vypneme:

# sysctl net.inet.ip.fw.enable=0 net.inet.ip.fw.enable: 1 -> 0

Statick´adeklarace

K statickédeklaraci sysctl promˇenných v kernelu slouˇz´ımakra SYSCTL DECL(). Takto vy- tvoˇrenépromˇennéjsou inicializovány pˇriinicializaci jaderného modulu a pˇri jeho uvolnˇen´ı jsou zniˇceny. K dispozici mámemakra jako SYSCTL INT() pro vytvoˇren´ıpoloˇzky typu celéhoˇc´ısla, SYSCTL LONG pro dlouhéceléˇc´ıslo, SYSCTL STRING() pro ˇretˇezec znak˚u,

21 atd. Novýpodstrom vytvoˇr´ıme makrem SYSCTL NODE(). Pokud nˇekterápromˇennápˇri ˇcten´ınebo zápisuvyˇzaduje sloˇzitˇejˇs´ızpracován´ıdat k jejich zpˇr´ıstupnˇen´ı,m˚uˇzeme vytvoˇrit handler pro tuto promˇennou pomoc´ımakra SYSCTL PROC(). Promˇenným je tˇrebapˇri vytváˇren´ınastavit práva (pouze pro ˇcten´ı, pro ˇcten´ıi zápisrootem, pro ˇcten´ıi zápis libo- volnýmuˇzivatelem, atd.). Podrobnˇejˇs´ıpopis tˇechto maker a nˇekolik ukázkových pˇr´ıklad˚u najdeme v manuálovéstráncek sysctl(9).

Dynamick´adeklarace

Statickáalokace sysctl promˇennénámumoˇzn´ı,ˇzese promˇennávytvoˇr´ı,kdyˇzmodul naˇcteme do jádra. Pokud vˇsakmus´ımevytváˇret promˇennébˇehembˇehu programu modulu, mus´ıme sáhnout po funkci sysctl add oid(). Tato funkce vytvoˇr´ı obecnˇejakýkoliv dostupnýtyp promˇenné sysctl. Sp´ıˇse je vˇsakvýhodnˇejˇs´ı pouˇz´ıt pˇripravenámakra pro jednotlivétypy (SYSCTL ADD NODE(), SYSCTL ADD INT(), SYSCTL ADD UINT(), apod.), kódpo- tom bude alespoˇno nˇeco ˇcitelnˇejˇs´ı. U staticky deklarovaných sysctl promˇenných nemámeˇzádnou moˇznost,jak je zruˇsit, kromˇeodstranˇen´ımodulu z pamˇeti.Dynamicky deklarovanépromˇennéi celépodstromy m˚uˇzeme ruˇsitpomoc´ıfunkce sysctl remove oid(). K pˇresouván´ıobjekt˚una jinépodstromy slouˇz´ıfunkce sysctl move oid(). Podrobnˇejˇs´ı popis tˇechto funkc´ı a pˇr´ıklady pouˇzit´ı nalezneme v manuálovéstránce sysctl_add_oid(9). Pˇri vytváˇren´ınových promˇenných je dobrési uvˇedomit, ˇze tyto promˇennémohou být pouˇz´ıvány pˇr´ımouˇzivateli, knihovnami, programy nebo mohou býtuvádˇeny v dokumen- taci. Názvypodstrom˚ua promˇenných sysctl bychom mˇeli vyb´ırat tak, abychom vylouˇcili pˇr´ıpadnékolize se souˇcasnými názvy a mˇelibychom takémyslet na budoucnost a vyb´ırat zvláˇstˇepro novépodstromy vhodnájména.

22 Kapitola 5

Modul pro poˇc´ıt´an´ıstatistik

Jedn´ımz úkol˚utéto bakaláˇrsképrácebylo vytvoˇrit netgraphovýmodul pro poˇc´ıtán´ıs´ıt’ových statistik. Jako postaˇcuj´ıc´ıse ukázala koncepce modulu se dvˇemaháky, kterýbude po za- pojen´ıpoˇc´ıtatpˇres nˇej tekouc´ıdata (poˇcet pˇrenesených paket˚ua jejich celkovou velikost). Jak jiˇzbylo ˇreˇceno, Netgraph mádo jistém´ıryobjektovˇeorientovanýcharakter. Pˇri implementaci vlastn´ıho uzlu se pouˇz´ıvápˇret´ıˇzen´ıgenerických metod vlastn´ımi funkcemi. Nejd˚uleˇzitˇejˇs´ımimetodami v uzlu je funkce pro pˇr´ıjem dat a funkce zpracován´ıkontroln´ıch zpráv. Funkce pro pˇr´ıjem dat mápˇr´ıstupk dat˚um jako ke strukturámtypu mbuf. Pˇripˇrenosu datových zprávmezi uzly nedocház´ıke zbyteˇcnému kop´ırován´ı,ale nam´ıstotoho se pˇrenáˇsej´ı pouze ukazatele na mbufy. Tyto ukazatele na mbufy jsou ve skuteˇcnosti obaleny strukturou nazývanou item. Ta obsahuje poloˇzkyjako adresu c´ılovéhouzlu, r˚uznépˇr´ıznakyapod. Tyto implementaˇcn´ıdetaily samotného Netgraphu násvˇsaknemus´ıpˇr´ıliˇszaj´ımat.Podstatnéje, ˇzese dostaneme na strukturu mbuf, kterou m˚uˇzeme dálezkoumat. Pro z´ıskán´ınamˇeˇrených dat z modulu je moˇznévyuˇz´ıtmechanismu kontroln´ıch zpráv. Funkce pro pˇr´ıjem kontroln´ıch zprávpˇri pˇr´ıjmu danéhotypu zprávyodeˇslejako odpovˇed’ strukturu s namˇeˇrenýmidaty. Dalˇs´ı moˇznost´ı jak z´ıskávat namˇeˇrenádata z modulu je vyuˇzit´ısystému sysctl.

5.1 Inspirace v ng tee

Pro základn´ıpoˇc´ıtán´ıpr˚uchoz´ıch dat se dávyuˇz´ıtmodul ng_tee(4). Uzel tohoto typu si pro kaˇzdýhákudrˇzuje jednoduchéstatistiky o pˇrijatých a odeslaných datech. Pro jednoduché úˇctován´ına linkovévrstvˇem˚uˇzeme pˇripojit uzel typu tee mezi háky lower a upper uzlu ether.

• Modul ng_ether(4) je potˇreba naˇc´ıstmanuálnˇe, vˇetˇsinaostatn´ıch modul˚use zavád´ı automaticky pˇri vytváˇren´ıprvn´ıho uzlu daného typu.

# kldload ng_ether

23 • Modul ng_ether(4) vytvoˇrilpro kaˇzdéethernetovérozhran´ıodpov´ıdaj´ıc´ıuzel. Dejme tomu, ˇzechceme úˇctovat data na zaˇr´ızen´ı bfe0. Pˇripoj´ımena uzel s názvem “bfe0” novýuzel tee a pojmenujeme ho ASCII názvem “tee”.

# ngctl mkpeer bfe0: tee lower left # ngctl connect bfe0: lower upper right # ngctl name bfe0:lower tee

tee: tee [27]:

bfe0: right left ether [25]:

upper lower

Obr´azek 5.1: Pˇripojen´ıuzlu tee na ether

• Vytvoˇrenýgraf m˚uˇzeme vidˇetna obrázku 5.1. Uzlu “tee” nyn´ıpoˇsleme zprávu,aby vrátilnamˇeˇrenéstatistiky.

# ngctl msg tee: getstats Rec’d response ‘‘getstats’’ (1) from ‘‘[27]:’’: Args: { right={ inOctets=32298 inFrames=376 outOctets=2303817 outFrames=27181 } left={ inOctets=2303817 inFrames=27181 outOctets=32298 outFrames=376 } }

• Jestliˇze chceme uzel “tee” odstranit, poˇsleme mu generickou kontroln´ızpr´avu shutdown.

# ngctl shutdown tee:

• Povˇsimnˇeme si vˇsak, ˇzedoˇsloke spojen´ıh´ak˚u lower a upper (viz. obr. 5.2). To je totiˇz specialita ng_tee(4), ˇze pokud jsou pˇripojeny h´aky left a right, dojde pˇrivypnut´ı uzlu ke spojen´ıjeho protˇejˇsk˚u.Uzel tee se tak odpoj´ız cesty a mezeru po sobˇezacel´ı.

• To, ˇzez˚ustanouháky lower a upper typu ether spojené,nemána jeho funkci ˇzádnývliv. Pokud bychom tomu chtˇelipˇredej´ıt,staˇc´ıjeden z hák˚uuzlu tee nejdˇr´ıve odstranit a

24 bfe0: ether [25]:

upper

lower

Obr´azek 5.2: Po vypnut´ıuzlu tee

potom uzel vypnout. Dalˇs´ımoˇznost´ıje odstranit oba háky. Potom dojde jako u vˇetˇsiny modul˚upo odstranˇen´ıvˇsech hák˚uk automatickému vypnut´ıuzlu.

# ngctl rmhook tee: left # ngctl rmhook tee: right

• Uzly typu ether nelze jako ostatn´ıuzly vypnout pomoc´ıkontroln´ızprávy shutdown. Nam´ısto toho lze tyto uzly odpojit od ethernetových zaˇr´ızen´ızprávou detach.

# ngctl msg bfe0: detach

• Moduly je potom moˇzn´eodstranit z pamˇeti:

# kldunload ng_tee # kldunload ng_ether

5.2 Prvn´ıverze modulu

Modul pro poˇc´ıtán´ıstatistik byl pojmenovánjako ng_stat. Prvn´ıverze modulu vznikla zjednoduˇsen´ımmodulu ng_tee(4). Modul ng_tee(4), stejnˇejako celýNetgraph je zveˇrejnˇen pod BSD licenc´ı, takˇze nic nebránilo tomu vycházet pˇri implementaci z kódutohoto modulu. Uzel typu tee máháky right2left a left2right, na kterépos´ıláduplikovanádata. To se ukázalo jako zbyteˇcnéa proto byly tyto hákyodstranˇeny. Zbyteˇcnéje také,aby se pro kaˇzdý hákpoˇc´ıtala pˇr´ıchoz´ıi odchoz´ıdata. V pˇr´ıpadˇeˇze jsou data pos´ılánana protˇejˇs´ıhák,staˇc´ı aby se zaznamenávala napˇr.pouze data pˇricházej´ıc´ıdo uzlu. Po pˇripojen´ı na uzel typu ether poˇc´ıtala prvn´ı verze modulu jednotlivéethernetové rámcea sˇc´ıtala jejich velikosti. Velikost pˇrijatého rámce se z´ıskáz poloˇzky pkt.len v hlaviˇcce

25 prvn´ıho mbufu v ˇretˇezci mbuf chain. To, ˇzenamˇeˇrenávelikost odpov´ıdávelikosti etherne- tových rámc˚u, bylo ovˇeˇrenosrovnán´ım výstupu s výstupem softwarového s´ıt’ovéhoana- lyzátoruWireshark (http://www.wireshark.org). Koncepce sledován´ıethernetových rámc˚uje pouˇzitelnái na bezdrátovéLAN (Wi-Fi), protoˇze tam se k pˇrenosu pouˇz´ıvátakéethernetovýprotokol ([8, str. 69]).

5.3 Rozˇs´ıˇren´ıfunkˇcnosti

Rozˇs´ıˇren´ımodulu oproti prvn´ıverzi spoˇc´ıváve zkoumán´ıstruktury pˇrenáˇsených etherne- tových rámc˚u. Pˇrizkoumán´ı mbufu postupujeme vˇzdy podle tohoto schématu:

• Nejprve, pokud je tˇreba,uprav´ıme mbuf pomoc´ıfunkce m pullup(), abychom mˇeli jistotu, ˇze se poˇzadovanýpoˇcet byt˚unacház´ıspojitˇev datovéoblasti mbufu.

• Pot´ez´ısk´ameukazatel na data pomoc´ımakra mtod().

• A potom se uˇzm˚uˇzeme na data pod´ıvat jako na poˇzadovanou strukturu.

Jako prvn´ıse ke zkoumán´ına linkovévrstvˇenab´ızej´ıethernetovérámce. Znázornˇen´ı jednotlivých poloˇzek v ethernetovémrámci vid´ımena obr. 5.3. Zaj´ımaváje poloˇzka type, kteráudávátyp danéhospojen´ı.Po porovnán´ıtétopoloˇzkys konstantami z hlaviˇckového souboru net/ethernet.h m˚uˇzeme rozhodnout, do jakéhoprotokolu na s´ıt’ovévrstvˇespojen´ı patˇr´ı.Implementovanýmodul sleduje protokoly IP a ARP. O dalˇs´ıprotokoly je moˇznémodul rozˇs´ıˇritjednoduchýmzásahem do zdrojovéhokódu.

Bytes 8 6 6 2 0−1500 0−46 4

Destination Source Check− Preamble address address Type Data Pad sum

Obrázek 5.3: EthernetovýrámecIEEE 802.3

Inkrementac´ıukazatele na datovou oblast se m˚uˇzeme posunout v ethernetovémrámci za poloˇzku type. To námumoˇzn´ıpod´ıvat se na data z perspektivy protokolu na vyˇsˇs´ıvrstvˇe. Na obrázku 5.4 vid´ımestrukturu hlaviˇckyIP protokolu verze 4. Poloˇzka Protocol obsahuje informaci o protokolu transportn´ı vrstvy danéhopaketu. Definice konstant jednotlivých protokol˚unajdeme v hlaviˇckovém souboru netinet/in.h. Nad protokolem IP rozpoznává náˇsmodul protokoly TCP, UDP a ICMP. Podobnýmzp˚usobem si lze vˇs´ımati dalˇs´ıch poloˇzek v IP hlaviˇcce. Mus´ımesi vˇsakdát pozor na to, ˇze jednotlivébyty poloˇzek v IP hlaviˇcce jsou uloˇzeny v poˇrad´ıBig-Endian, coˇzje standard v s´ıt’ovékomunikaci. K pˇrevodu ˇc´ısel mezi kódován´ımnaˇs´ıarchitektury a poˇrad´ım Big-Endian na s´ıti slouˇz´ımakra htonl() pro 32-bitováceláˇc´ıslaa htons() pro 16-bitová celáˇc´ısla.Pro opaˇcnýpˇrevod ze s´ıt’ovéhopoˇrad´ıbyt˚una poˇrad´ınaˇs´ıarchitektury existuj´ı

26 0 31

Version IHL Type of sevice Total length D M Identification F F Fragment offset

Time to live Protocol Header checksum

Source address

Destination address

Options (0 or more words)

Obr´azek 5.4: Hlaviˇcka protokolu IPv4

makra ntohl() a ntohs(). Na architekturách s poˇrad´ımbyt˚uBig-Endian jsou tato makra definovánatak, ˇze s pˇredanýmihodnotami nic neprovádˇej´ı,pˇresto (nebo snad právˇeproto) se doporuˇcuje je pouˇz´ıvat, nebot’ se tak zvýˇs´ıpˇrenosnost naˇsehoprogramu. Ve zdrojovém kódu implementovanéhomodulu je pro ukázku u protokolu TCP nastaveno úˇctován´ıpouze spojen´ıs urˇcitoupevnˇenastavenou IP adresou. Dáleje moˇznéposunout se o velikost IP hlaviˇcky a zkoumat hlaviˇcku dalˇs´ıhoprotokolu, napˇr.TCP nebo UDP, a zaznamenávat jen spojen´ıurˇcitého portu apod. V implemento- vanémmodulu je toho vyuˇzitoa pro demonstraci se úˇctuj´ı v TCP sekci pouze spojen´ı asociovanás urˇcitýmnapevno nastavenýmportem.

5.4 Komunikace s uzlem

Pro kaˇzdýz protokol˚uIP, ARP, TCP, UDP a ICMP jsou v modulu zvláˇst’ poˇc´ıtadla pro tok dat ze s´ıtˇe(upstream – z niˇzˇs´ıch vrstev do vyˇsˇs´ıch) a pro opaˇcnýsmˇer (downstream). Tyto namˇeˇrenéhodnoty je moˇznéz´ıskat dvoj´ımzp˚usobem:

1. Pomoc´ıkontroln´ıch zpr´av.

2. Pˇres syst´emsysctl.

Pro oba zp˚usoby se pouˇz´ıvaj´ı jedny a ty samé promˇenné. To, ˇze mohou být pouˇzity oba systémy, nijak neovlivˇnuje výkon modulu. Konkrétn´ıpopis kontroln´ıch zpráva sysctl promˇenných je uveden v pˇr´ıloze C v návodu k pouˇzit´ı.

27 Kapitola 6

Z´avˇer

6.1 Srovn´an´ıs podobn´ymi moduly

Na závˇer se nab´ız´ısrovnán´ıs ostatn´ımi podobnými nástroji na sledován´ıs´ıt’ovéhoprovozu a vytváˇren´ıstatistik. Podobným systémem je napˇr´ıklad Cisco NetFlow.

6.1.1 Cisco NetFlow

Cisco NetFlow je protokol pro sledován´ıa sb´ırán´ıinformac´ıo toku na s´ıti. Implementace tohoto protokolu sestáváze dvou od sebe oddˇelených program˚u. Tou prvn´ıˇcást´ıjsou senzory, kterérozpoznávaj´ıjednotlivé toky“ (flows) v s´ıt’ovémprovozu. Toky jsou rozliˇsovány ” podle IP adres koncových bod˚u,TCP/UDP port˚u, ToS a vstupn´ıch rozhran´ı.Namˇeˇrená data jsou pos´ılána pˇresUDP spojen´ıdalˇs´ım program˚um, tzv. sbˇeraˇc˚um.Sbˇeraˇce skladuj´ı namˇeˇrenádata, ze kterých pak m˚uˇzoubýtvytváˇreny r˚uznégrafy apod. Senzory a sbˇeraˇce mohou býtnainstalovány oddˇelenˇena r˚uzných stroj´ıch na s´ıti. Ve FreeBSD existuje senzor pro NetFlow implementovanýv Netgraphu. Je j´ımmodul ng_netflow(4).[7] NetFlow sleduje datováspojen´ına s´ıt’ovévrstvˇeprotokolu IP, modul ng_stat naproti tomu m˚uˇze sledovat spojen´ıuˇzna niˇzˇs´ılinkovévrstvˇea vid´ıtak protokoly, kteréjsou i mimo IP.

6.2 N´avrhy na rozˇs´ıˇren´ı

Modul ng_stat by se dal samozˇrejmˇedálerozˇs´ıˇrit. Jednou z oblast´ırozˇs´ıˇren´ıby mohla být hlubˇs´ıanalýzaprocházej´ıc´ıch paket˚ua rozpoznáván´ıv´ıceprotokol˚u. Rozˇs´ıˇren´ıby nebylo nijak zvláˇstˇesloˇzité, staˇc´ıpostupovat zp˚usobem naznaˇceným v kapitole 5. Dalˇs´ırozˇs´ıˇren´ıpráceby mohlo spoˇc´ıvat ve vytvoˇren´ısystémovéhoutility operuj´ıc´ıv userspace. Nástroj by mohl vyuˇz´ıvat knihovnu netgraph(3) v pˇr´ıpadˇe,ˇze by komunikoval s modulem pˇreskontroln´ızprávyNetgraphu. V pˇr´ıpadˇekomunikace pˇres sysctl, by bylo vhodné pouˇz´ıtknihovnu sysctl(3).

28 Nam´ısto stávaj´ıc´ıhopˇrizp˚usobován´ısi modulu pˇr´ımo úpravou zdrojovéhokódu, by bylo vhodnévytvoˇritsystémkonfigurace, resp. nˇejakýkonfiguraˇcn´ıjazyk. Dobréby takébylo provést testován´ıvlivu modulu na výkonnost systému a proveden´ı pˇr´ıpadných optimalizac´ı.

29 Seznam pouˇzit´ych zdroj˚u

[1] Cobbs, A.: All About Netgraph. [online], 2000, [cit. 2007-04-24]. URL http://ezine.daemonnews.org/200003/netgraph.html

[2] Elischer, J.; Cobbs, A.: FreeBSD Kernel Interfaces Manual: NETGRAPH(4). FreeBSD, 2004, [rev. 2004-06-01].

[3] McKusick, M. K.; Neville-Neil, G. V.: The Design and Implementation of the FreeBSD Operating System. Addison-Wesley Professional, 2005, ISBN 0-201-70245-2.

[4] Patoˇcka, M.: Porovn´an´ısyst´em˚uLinux a FreeBSD (13). [online], 2004, [cit. 2007-05-01]. URL http://www.root.cz/clanky/porovnani-linux-freebsd-13/

[5] Raymond, E. S.: The Art of Unix Programming. Addison-Wesley Professional, 2003, ISBN 0-13-142901-9. URL http://www.faqs.org/docs/artu/

[6] Ritchie, D. M.: The Evolution of the UNIX Time-sharing System. BSTJ, roˇcn´ık63, 8, 1984: s. 1577–1594. URL http://cm.bell-labs.com/cm/cs/who/dmr/hist.html

[7] Smirnoﬀ, G.: FreeBSD Kernel Interfaces Manual: NG NETFLOW(4). FreeBSD, 2006, [rev. 2006-03-02].

[8] Tanenbaum, A. S.: Computer Networks. Prentice Hall, 2003, ISBN 0-13-066102-3.

[9] The FreeBSD Documentation Project: FreeBSD Handbook. [online], 2007, [cit. 2007-05-05]. URL http://www.freebsd.org/doc/en US.ISO8859-1/books/handbook/index.html

[10] The Jargon File, version 4.4.7: Copycenter. [online], [cit. 2007-05-05]. URL http://catb.org/∼esr/jargon/html/C/copycenter.html

[11] Wikipedia: Berkeley Software Distribution. [online], 2007, [rev. 2007-04-29], [cit. 2007-05-04]. URL http://en.wikipedia.org/wiki/Berkeley Software Distribution

30 [12] Wikipedie: BSD licence. [online], 2007, [rev. 2007-04-15], [cit. 2007-05-08]. URL http://cs.wikipedia.org/wiki/BSD licence

[13] Yeske, D.: MAC address spooﬁng on FreeBSD using netgraph. [online], 2004, [cit. 2007-04-24]. URL http://ezine.daemonnews.org/200406/netgraph.html

31 Seznam pˇr´ıloh

A BSD licence

B N´avod pro pˇreklad a instalaci modulu

C N´avod k pouˇzit´ımodulu

32 Pˇr´ıloha A

BSD licence

Neoficiáln´ıˇceskýpˇreklad dneˇsn´ıpodoby licence[12]:

Copyright c ROK, VLASTNÍK PRAV.´ Vˇsechna práva vyhrazena. Redistribuce a pouˇzit´ızdrojových i binárn´ıch forem d´ıla,v p˚uvodn´ımi upravo- vanémtvaru, jsou povoleny za následuj´ıc´ıch podm´ınek:

• S´ıˇrenýzdrojovýkódmus´ıobsahovatˇ výˇseuvedenou informaci o copyrightu, tento seznam podm´ınek a n´ıˇze uvedenézˇreknut´ıse odpovˇednosti. • S´ıˇrenýbinárn´ıtvarˇ mus´ınést výˇse uvedenou informaci o copyrightu, tento seznam podm´ıneka n´ıˇzeuvedenézˇreknut´ıse odpovˇednosti ve svédoku- mentaci a/nebo dalˇs´ıch poskytovaných materiálech. • Ani jménovlastn´ıka práv,ani jména pˇrispˇevatel˚unemohou být pouˇzita pˇri podpoˇrenebo právn´ıch aktech souvisej´ıc´ıch s produkty odvozenými z tohoto software bez výslovného p´ısemnéhopovolen´ı.

TENTO SOFTWARE JE POSKYTOVAN´ DRZITELEMˇ LICENCE A JEHO PRISPˇ EVATELIˇ JAK STOJÍ A LEZˇÍ A JAKEKOLIV´ VYSLOVN´ E´ NEBO PREDPOKLˇ ADAN´ EZ´ ARUKY´ VCETNˇ E,ˇ ALE NEJEN, PREDPOKLˇ ADA-´ NYCH´ OBCHODNÍCH ZARUK´ A ZARUKY´ VHODNOSTI PRO JAKYKO-´ LIV UĆELˇ JSOU POPRENY.ˇ DRZITEL,ˇ ANI PRISPˇ EVATELˇ E´ NEBUDOU V ZˇADN´ EM´ PRˇÍPADEˇ ODPOVEDNIˇ ZA JAKEKOLIV´ PRˇÍME,´ NEPRˇÍME,´ NAHODN´ E,´ ZVLA´STNˇ Í, PRˇÍKLADNE´ NEBO VYPLYVAJ´ ÍCÍ SKODYˇ (VCET-ˇ NE,ˇ ALE NEJEN, SKODˇ VZNIKLYCH´ NARUSENˇ ÍM DODAVEK´ ZBOZˇÍ NEBO SLUZEB;ˇ ZTRATOU´ POUZITELNOSTI,ˇ DAT NEBO ZISKU;˚ NEBO PRERUˇ SENˇ ÍM OBCHODNÍ CINNOSTI)ˇ JAKKOLIV ZPUSOBEN˚ E´ NA ZA-´ KLADEˇ JAKEKOLIV´ TEORIE O ZODPOVEDNOSTI,ˇ ATUˇ Zˇ PLYNOUCÍ Z JINEHO´ SMLUVNÍHO VZTAHU, URCITˇ E´ ZODPOVEDNOSTIˇ NEBO PRE-ˇ CINUˇ (VCETNˇ Eˇ NEDBALOSTI) NA JAKEMKOLIV´ ZPUSOBU˚ POUZITˇ Í

33 TOHOTO SOFTWARE, I V PRˇ´IPADE,ˇ ZEˇ DRZITELˇ PRAV´ BYL UPO- ZORNENˇ NA MOZNOSTˇ TAKOVYCH´ SKOD.ˇ

V p˚uvodn´ılicenci licenci od University of California in Berkeley (tzv. star´eBSD licenci) byl obsaˇzen nav´ıctento bod:

• Vˇsechny propagaˇcn´ımateriályzmiˇnuj´ıc´ıvlastosti nebo pouˇzit´ıtohoto softwaru musej´ıobsahovat následuj´ıc´ıtext: Tento produkt zahrnuje software vytvoˇrenýVLASTNÍKEM PRAV´ a pˇrispˇevatel˚u.

34 Pˇr´ıloha B

N´avod pro pˇreklad a instalaci modulu

Pro sestaven´ımodulu je potˇreba m´ıtk dispozici zdrojovékódyjádra.Nejpohodlnˇejˇs´ıje k jejich instalaci pouˇz´ıtnástroj sysinstall(8). Jako uˇzivatel root spust´ıme sysinstall, z nab´ıdky postupnˇevybereme Configure, Distributions, src a zaˇskrtneme poloˇzky base a sys. Popisy alternativn´ıch zp˚usob˚uinstalace zdrojových kód˚ujádra najdeme napˇr´ıklad v [9, kap. 8.3]. Pˇreklad spust´ıme pˇr´ıkazem make. Pˇreloˇzenýmodul je potom potˇreba nakop´ırovat do adresáˇre /boot/kernel/ nebo alespoˇndo nˇejum´ıstitsymbolickýlink na modul.

$ make a

# cp ng_stat.ko /boot/kernel/ nebo

# ln -s ng_stat.ko /boot/kernel/

35 Pˇr´ıloha C

N´avod k pouˇzit´ımodulu

Pro snadnénaˇcten´ımodulu a pˇripojen´ıuzlu na poˇzadovanáethernetovározhran´ıbyl vy- tvoˇrenshellovýskript etherstat.sh. Jeho pouˇzit´ıje následuj´ıc´ı:

• Pokud je tˇreba,uprav´ımepromˇennou IFACES, kterádefinuje rozhran´ı, na kterých si pˇrejeme sledovat provoz.

• Skript spust´ıme s parametrem start:

# etherstat.sh start Loading ng_stat.ko...done

• Pro odpojen´ıuzl˚uz grafu a uvolnˇen´ımodulu z pamˇetislouˇz´ıparametr stop:

# etherstat.sh stop Unloading ng_stat.ko...done

• Nav´ıcje k dispozici parametr restart, kter´yspust´ıpostupnˇesekce stop a start.

Na obr´azku C.1 vid´ımepˇripojen´ımodulu na uzel ethernetov´ehorozhran´ı.

C.0.1 Kontroln´ızpr´avy

Modul rozum´ınásleduj´ıc´ımkontroln´ımzprávám:

Binárn´ıformát Textovýformát Význam NGM_STAT_GET_STATS getstats z´ıskástatistiky NGM_STAT_CLR_STATS clrstats smaˇzestatistiky (vynuluje poˇc´ıtadla) NGM_STAT_GETCLR_STATS getclrstats atomicky z´ıskáa smaˇze statistiky

Vypsán´ınamˇeˇrených statistiky doc´ıl´ımes nástrojem ngctl(8) napˇr.takto:

36 statbfe0: stat [6]:

bfe0: upper lower ether [3]:

upper lower

Obr´azek C.1: Pˇripojen´ıuzlu stat na ether

# ngctl msg statbfe0: getstats Rec’d response ‘‘getstats’’ (1) from ‘‘[18]:’’: Args: { downstream={ ip_octets=19150259 ip_frames=348114 udp_octets=60071 udp_frames=402 arp_octets=294 arp_frames=7 } upstream={ ip_octets=781547454 ip_frames=541149 udp_octets=1518023 udp_frames=10125 arp_octets=2618880 arp_frames=43648 } }

C.0.2 SYSCTL

Pˇr´ıkladv´ypisu vˇsech statistik vˇsech uzl˚utypu stat pomoc´ı sysctl(8): net.stat.00000006.name: statbfe0 net.stat.00000006.downstream.ip_octets: 19347667 net.stat.00000006.downstream.ip_frames: 350985 net.stat.00000006.downstream.tcp_octets: 0 net.stat.00000006.downstream.tcp_frames: 0 net.stat.00000006.downstream.udp_octets: 65085 net.stat.00000006.downstream.udp_frames: 430 net.stat.00000006.downstream.icmp_octets: 0 net.stat.00000006.downstream.icmp_frames: 0 net.stat.00000006.downstream.arp_octets: 336 net.stat.00000006.downstream.arp_frames: 8 net.stat.00000006.upstream.ip_octets: 786816119 net.stat.00000006.upstream.ip_frames: 546585 net.stat.00000006.upstream.tcp_octets: 0 net.stat.00000006.upstream.tcp_frames: 0 net.stat.00000006.upstream.udp_octets: 1719152

37 net.stat.00000006.upstream.udp_frames: 11582 net.stat.00000006.upstream.icmp_octets: 0 net.stat.00000006.upstream.icmp_frames: 0 net.stat.00000006.upstream.arp_octets: 3078900 net.stat.00000006.upstream.arp_frames: 51315

Jak m˚uˇzeme vidˇet z pˇredchoz´ıho výpisu, uzel si v net.stat vytvoˇr´ıpodstrom, jehoˇz jménemje adresa uzlu v hexadecimáln´ımtvaru. Je to z toho d˚uvodu, ˇze vytvoˇrenýuzel nemus´ıv˚ubec dostat jméno.Pokud ale uzel jménodostane, objev´ıse v promˇenné name.