Megahertz66
Megahertz66

iptables 内部调用过程

iptables 调用过程

int
iptables_main(int argc, char *argv[])
{
	// 解析用户输入的 iptables 命令,配置好 handle 参数
	ret = do_command4(argc, argv, &table, &handle, false);
	if (ret) {
		ret = iptc_commit(handle);
		iptc_free(handle);
	}

iptc_commit 函数实际的实现是使用 TC_COMMIT 实现的

int
TC_COMMIT(struct xtc_handle *handle)
{
    // 将 handle 参数转换成为 repl 结构,这个结构就是代表 iptable rules的
    ret = iptcc_compile_table(handle, repl);

    // 就是用这个函数将 repl 写入到 kernel 中
    ret = setsockopt(handle->sockfd, TC_IPPROTO, SO_SET_REPLACE, repl,
			 sizeof(*repl) + repl->size);

内核部分

static int
do_ipt_set_ctl(struct sock *sk, int cmd, void __user *user, unsigned int len)
{
	switch (cmd) {
    // 用作命令的配置
	case IPT_SO_SET_REPLACE:
		ret = do_replace(sock_net(sk), user, len);
		break;
    // 用作计数?
	case IPT_SO_SET_ADD_COUNTERS:
		ret = do_add_counters(sock_net(sk), user, len, 0);
		break;

	return ret;
}

static int
do_replace(struct net *net, const void __user *user, unsigned int len)
{
	int ret;
	struct ipt_replace tmp;
	struct xt_table_info *newinfo;
	void *loc_cpu_entry;
	struct ipt_entry *iter;

	if (copy_from_user(&tmp, user, sizeof(tmp)) != 0)
		return -EFAULT;

	/* overflow check */
	if (tmp.num_counters >= INT_MAX / sizeof(struct xt_counters))
		return -ENOMEM;
	if (tmp.num_counters == 0)
		return -EINVAL;

	tmp.name[sizeof(tmp.name)-1] = 0;

	newinfo = xt_alloc_table_info(tmp.size);
	if (!newinfo)
		return -ENOMEM;

	loc_cpu_entry = newinfo->entries;
	if (copy_from_user(loc_cpu_entry, user + sizeof(tmp),
			   tmp.size) != 0) {
		ret = -EFAULT;
		goto free_newinfo;
	}
    
    
	ret = translate_table(net, newinfo, loc_cpu_entry, &tmp);
	if (ret != 0)
		goto free_newinfo;

	ret = __do_replace(net, tmp.name, tmp.valid_hooks, newinfo,
			   tmp.num_counters, tmp.counters);
	if (ret)
		goto free_newinfo_untrans;
	return 0;

}

struct xt_table_info *
xt_replace_table(struct xt_table *table,
	      unsigned int num_counters,
	      struct xt_table_info *newinfo,
	      int *error)
{

	table->private = newinfo;

table->private 与 net->nf.hooks_ipv4[hook] 的关系是在 xt_hook_ops_alloc 初始化的 hook 函数中实现的,hook 函数会在 table->pirvate 中查询需要符合的规则。

通过 TC_COMMIT 函数使用参数 SO_SET_REPLACE 宏,将 iptables 的规则替换到内核中。这里是的规则变化是替换而不是插入某条规则。

注册 filter 表

使用的结构

linux-4.19\net\ipv4\netfilter\iptable_filter.c 文件中 Linux 内核对 iptables 的 filter 表进行了注册与注销函数的声明。

module_init(iptable_filter_init);
module_exit(iptable_filter_fini);

首先注册 nf_hook_ops 结构,改结构包含了 hook 的信息。

struct nf_hook_ops {
	/* User fills in from here down. */
	nf_hookfn		*hook;        // 用于实际执行时匹配规则的操作函数
	struct net_device	*dev;    // 与 hook 关联的网络设备
	void			*priv;           // 用于存放 iptables 规则
	u_int8_t		pf;           // hook 所属的具体协议族,如 NFPROTO_IPV4、NFPROTO_ARP 等。
	unsigned int		hooknum;   // hook 的数量
	/* Hooks are ordered in ascending priority. */
	int			priority;       // hook 的优先级
};

xt_table 是用于配置表的一个结构。

static const struct xt_table packet_filter = {
	.name		= "filter",
	.valid_hooks	= FILTER_VALID_HOOKS,   // 表示 hook 的位置和数量
	.me		= THIS_MODULE,
	.af		= NFPROTO_IPV4,
	.priority	= NF_IP_PRI_FILTER,        // 优先级
	.table_init	= iptable_filter_table_init,
};

FILTER_VALID_HOOKS 宏的表示方法。

#define FILTER_VALID_HOOKS ((1 << NF_INET_LOCAL_IN) | \
			    (1 << NF_INET_FORWARD) | \
			    (1 << NF_INET_LOCAL_OUT))

iptable 实际替换规则时所使用的结构。

struct ipt_replace {
	/* Which table. */
	char name[XT_TABLE_MAXNAMELEN];

	/* Which hook entry points are valid: bitmask.  You can't
           change this. */
	unsigned int valid_hooks;

	/* Number of entries */
	unsigned int num_entries;

	/* Total size of new entries */
	unsigned int size;

	/* Hook entry points. */
	unsigned int hook_entry[NF_INET_NUMHOOKS];

	/* Underflow points. */
	unsigned int underflow[NF_INET_NUMHOOKS];

	/* Information about old entries: */
	/* Number of counters (must be equal to current number of entries). */
	unsigned int num_counters;
	/* The old entries' counters. */
	struct xt_counters __user *counters;

	/* The entries (hang off end: not really an array). */
	struct ipt_entry entries[0];
};

表示一个表所应该包含的全部信息

struct xt_table_info {
	/* Size per table */
	unsigned int size;
	/* Number of entries: FIXME. --RR */
	unsigned int number;
	/* Initial number of entries. Needed for module usage count */
	unsigned int initial_entries;

	/* Entry points and underflows */
	unsigned int hook_entry[NF_INET_NUMHOOKS];
	unsigned int underflow[NF_INET_NUMHOOKS];

	/*
	 * Number of user chains. Since tables cannot have loops, at most
	 * @stacksize jumps (number of user chains) can possibly be made.
	 */
	unsigned int stacksize;
	void ***jumpstack;

	unsigned char entries[0] __aligned(8);
};

注册流程

根据 packet_filter 声明 nf_hook_ops 结构,iptable_filter_hook 是用于匹配规则所使用的函数。

static int __init iptable_filter_init(void)
{

	filter_ops = xt_hook_ops_alloc(&packet_filter, iptable_filter_hook);

	ret = register_pernet_subsys(&iptable_filter_net_ops);

	return ret;
}

iptable_filter_net_ops 包括了 filter 表的初始化和退出函数。register_pernet_subsys 的作用如下,意思就是使用 namespace 隔离不同的 filter table,以及 filter table 也是每个命名空间默认创建的表。

/**
 *      register_pernet_subsys - register a network namespace subsystem
 *	@ops:  pernet operations structure for the subsystem
 *
 *	Register a subsystem which has init and exit functions
 *	that are called when network namespaces are created and
 *	destroyed respectively.
 *
 *	When registered all network namespace init functions are
 *	called for every existing network namespace.  Allowing kernel
 *	modules to have a race free view of the set of network namespaces.
 *
 *	When a new network namespace is created all of the init
 *	methods are called in the order in which they were registered.
 *
 *	When a network namespace is destroyed all of the exit methods
 *	are called in the reverse of the order with which they were
 *	registered.
 */

通过以下调用关系,里面比较简单,不分析。

iptable_filter_hook
-> iptable_filter_net_init // 默认开启 forward
-> iptable_filter_table_init

ipt_alloc_initial_table 函数实际是一个大个儿的宏,用于根据 xt_table 结构参数申请一个 ipt_replace 结构,该结构的细节上面已经说明。

ipt_register_table 函数会把这些信息(表、hook 节点等)与 net 结构进行关联。

static int __net_init iptable_filter_table_init(struct net *net)
{
	struct ipt_replace *repl;

	repl = ipt_alloc_initial_table(&packet_filter);

	err = ipt_register_table(net, &packet_filter, repl, filter_ops,
				 &net->ipv4.iptable_filter);

	return err;
}

此处 newinfo 信息为表示一个表所需要的全部信息,而 loc_cpu_entry 为该表所关联的 iptables 的具体规则。
经过 translate_table 对上面初始化完成的信息进行检查后,使用 xt_register_table 函数对表进行注册, 使用 nf_register_net_hooks 函数对 hook 节点进行注册。

int ipt_register_table(struct net *net, const struct xt_table *table,
		       const struct ipt_replace *repl,
		       const struct nf_hook_ops *ops, struct xt_table **res)
{
	int ret;
	struct xt_table_info *newinfo;
	struct xt_table_info bootstrap = {0};
	void *loc_cpu_entry;
	struct xt_table *new_table;

	newinfo = xt_alloc_table_info(repl->size);

	loc_cpu_entry = newinfo->entries;
	memcpy(loc_cpu_entry, repl->entries, repl->size);

	ret = translate_table(net, newinfo, loc_cpu_entry, repl);

	new_table = xt_register_table(net, table, &bootstrap, newinfo);

	ret = nf_register_net_hooks(net, ops, hweight32(table->valid_hooks));

	return ret;
}

初始化传入的 xt_table_info 结构,其中 xt_replace_table 函数的作用就是将 newinfo 赋给 table->private 。
最后将 table 链入 net 的 xt 结构。其 table 数组的每个成员就是不同协议族的 iptales 表结构。

struct xt_table *xt_register_table(struct net *net,
				   const struct xt_table *input_table,
				   struct xt_table_info *bootstrap,
				   struct xt_table_info *newinfo)
{
	int ret;
	struct xt_table_info *private;
	struct xt_table *t, *table;

	/* Don't add one object to multiple lists. */
	table = kmemdup(input_table, sizeof(struct xt_table), GFP_KERNEL);

	/* Simplifies replace_table code. */
	table->private = bootstrap;

	if (!xt_replace_table(table, 0, newinfo, &ret))
		goto unlock;

	private = table->private;

	/* save number of initial entries */
	private->initial_entries = private->number;

	list_add(&table->list, &net->xt.tables[table->af]);

	return table;
}

nf_register_net_hooks // 为每一个 hook 节点都在 net 结构上注册
->nf_register_net_hook // 根据不同协议族带入不同参数,向 net 结构注册 filter_ops 结构
->__nf_register_net_hook

在 net 结构的 nf 成员(例如 net->nf.hooks_ipv4 + hooknum )下找到对应协议族的 hook 链(数组表示的)的头部。 初始化一个新的 hook 条目插入到对应的 hook 链中。

static int __nf_register_net_hook(struct net *net, int pf,
				  const struct nf_hook_ops *reg)
{
	struct nf_hook_entries *p, *new_hooks;
	struct nf_hook_entries __rcu **pp;

	pp = nf_hook_entry_head(net, pf, reg->hooknum, reg->dev);

	mutex_lock(&nf_hook_mutex);

	// 从 rcu 数据中取出 nf_hook_entries 结构
	p = nf_entry_dereference(*pp);
	
	new_hooks = nf_hook_entries_grow(p, reg);

		// 再把新初始化的 hook 放入 rcu 中
		rcu_assign_pointer(*pp, new_hooks);

	hooks_validate(new_hooks);

	return 0;
}

报文匹配

从 net->nf.hooks_ipv4[hook] 取出对应的 nf_hook_entries 类型的 head 用于接下来的 hook 遍历查找。
nf_hook_state_init 用于初始化 state,最后调用 hook 函数的时候会根据这个参数的各个状态决定规则的匹配。

static inline int nf_hook(u_int8_t pf, unsigned int hook, struct net *net,
			  struct sock *sk, struct sk_buff *skb,
			  struct net_device *indev, struct net_device *outdev,
			  int (*okfn)(struct net *, struct sock *, struct sk_buff *))
{
	struct nf_hook_entries *hook_head = NULL;
	int ret = 1;

	switch (pf) {
	case NFPROTO_IPV4:
		hook_head = rcu_dereference(net->nf.hooks_ipv4[hook]);
		break;
	case NFPROTO_IPV6:
		hook_head = rcu_dereference(net->nf.hooks_ipv6[hook]);
		break;
    ...

	if (hook_head) {
		struct nf_hook_state state;

		nf_hook_state_init(&state, hook, pf, indev, outdev,
				   sk, net, okfn);

		ret = nf_hook_slow(skb, &state, hook_head, 0);
	}
	rcu_read_unlock();

	return ret;
}

nf_hook_entry_hookfn 调用具体 xt_hook_ops_alloc 注册的 hook 函数,对参数得出判断进而返回 accept、drop 等。

int nf_hook_slow(struct sk_buff *skb, struct nf_hook_state *state,
		 const struct nf_hook_entries *e, unsigned int s)
{
	unsigned int verdict;
	int ret;

	for (; s < e->num_hook_entries; s++) {
		verdict = nf_hook_entry_hookfn(&e->hooks[s], skb, state);
		switch (verdict & NF_VERDICT_MASK) {
		case NF_ACCEPT:
			break;
		case NF_DROP:
			kfree_skb(skb);
			ret = NF_DROP_GETERR(verdict);
			if (ret == 0)
				ret = -EPERM;
			return ret;
		case NF_QUEUE:
			ret = nf_queue(skb, state, e, s, verdict);
			if (ret == 1)
				continue;
			return ret;
		default:
			/* Implicit handling for NF_STOLEN, as well as any other
			 * non conventional verdicts.
			 */
			return 0;
		}
	}

	return 1;
}

hook 函数

规则是挂在 table->private 上的,而匹配规则所使用匹配函数确实挂在 hook 节点上的。

static unsigned int
iptable_filter_hook(void *priv, struct sk_buff *skb,
		    const struct nf_hook_state *state)
{
	return ipt_do_table(skb, state, state->net->ipv4.iptable_filter);
}

unsigned int
ipt_do_table(struct sk_buff *skb,
	     const struct nf_hook_state *state,
	     struct xt_table *table)
{
	unsigned int hook = state->hook;    // 匹配哪一个 hook 节点
	static const char nulldevname[IFNAMSIZ] __attribute__((aligned(sizeof(long))));
	const struct iphdr *ip;
	/* Initializing verdict to NF_DROP keeps gcc happy. */
	unsigned int verdict = NF_DROP;
	const char *indev, *outdev;
	const void *table_base;
	struct ipt_entry *e, **jumpstack;
	unsigned int stackidx, cpu;
	const struct xt_table_info *private;
	struct xt_action_param acpar;
	unsigned int addend;

	/* Initialization */
	stackidx = 0;
	ip = ip_hdr(skb);
	indev = state->in ? state->in->name : nulldevname;
	outdev = state->out ? state->out->name : nulldevname;
	/* We handle fragments by dealing with the first fragment as
	 * if it was a normal packet.  All other fragments are treated
	 * normally, except that they will NEVER match rules that ask
	 * things we don't know, ie. tcp syn flag or ports).  If the
	 * rule is also a fragment-specific rule, non-fragments won't
	 * match it. */
	acpar.fragoff = ntohs(ip->frag_off) & IP_OFFSET;
	acpar.thoff   = ip_hdrlen(skb);
	acpar.hotdrop = false;
	acpar.state   = state;

	WARN_ON(!(table->valid_hooks & (1 << hook)));
	local_bh_disable();
	addend = xt_write_recseq_begin();
	private = READ_ONCE(table->private); /* Address dependency. */
	cpu        = smp_processor_id();
	table_base = private->entries;
	jumpstack  = (struct ipt_entry **)private->jumpstack[cpu];

	/* Switch to alternate jumpstack if we're being invoked via TEE.
	 * TEE issues XT_CONTINUE verdict on original skb so we must not
	 * clobber the jumpstack.
	 *
	 * For recursion via REJECT or SYNPROXY the stack will be clobbered
	 * but it is no problem since absolute verdict is issued by these.
	 */
	if (static_key_false(&xt_tee_enabled))
		jumpstack += private->stacksize * __this_cpu_read(nf_skb_duplicated);

	e = get_entry(table_base, private->hook_entry[hook]);

	do {
		const struct xt_entry_target *t;
		const struct xt_entry_match *ematch;
		struct xt_counters *counter;

		WARN_ON(!e);
		if (!ip_packet_match(ip, indev, outdev,
		    &e->ip, acpar.fragoff)) {
 no_match:
			e = ipt_next_entry(e);
			continue;
		}

		xt_ematch_foreach(ematch, e) {
			acpar.match     = ematch->u.kernel.match;
			acpar.matchinfo = ematch->data;
			if (!acpar.match->match(skb, &acpar))
				goto no_match;
		}

		counter = xt_get_this_cpu_counter(&e->counters);
		ADD_COUNTER(*counter, skb->len, 1);

		t = ipt_get_target_c(e);
		WARN_ON(!t->u.kernel.target);

#if IS_ENABLED(CONFIG_NETFILTER_XT_TARGET_TRACE)
		/* The packet is traced: log it */
		if (unlikely(skb->nf_trace))
			trace_packet(state->net, skb, hook, state->in,
				     state->out, table->name, private, e);
#endif
		/* Standard target? */
		if (!t->u.kernel.target->target) {
			int v;

			v = ((struct xt_standard_target *)t)->verdict;
			if (v < 0) {
				/* Pop from stack? */
				if (v != XT_RETURN) {
					verdict = (unsigned int)(-v) - 1;
					break;
				}
				if (stackidx == 0) {
					e = get_entry(table_base,
					    private->underflow[hook]);
				} else {
					e = jumpstack[--stackidx];
					e = ipt_next_entry(e);
				}
				continue;
			}
			if (table_base + v != ipt_next_entry(e) &&
			    !(e->ip.flags & IPT_F_GOTO)) {
				if (unlikely(stackidx >= private->stacksize)) {
					verdict = NF_DROP;
					break;
				}
				jumpstack[stackidx++] = e;
			}

			e = get_entry(table_base, v);
			continue;
		}

		acpar.target   = t->u.kernel.target;
		acpar.targinfo = t->data;

		verdict = t->u.kernel.target->target(skb, &acpar);
		if (verdict == XT_CONTINUE) {
			/* Target might have changed stuff. */
			ip = ip_hdr(skb);
			e = ipt_next_entry(e);
		} else {
			/* Verdict */
			break;
		}
	} while (!acpar.hotdrop);

	xt_write_recseq_end(addend);
	local_bh_enable();

	if (acpar.hotdrop)
		return NF_DROP;
	else return verdict;
}

TODO

match
target

资料

https://segmentfault.com/a/1190000019449845
https://segmentfault.com/a/1190000019455385?utm_source=sf-similar-article
https://segmentfault.com/a/1190000019470135?utm_source=sf-similar-article
https://segmentfault.com/a/1190000019540796?utm_source=sf-similar-article
https://segmentfault.com/a/1190000019605260?utm_source=sf-similar-article

你可能感兴趣的:(linux,networking,网络,linux)

  • 数字时代信息安全的关键之道—零信任架构 AZone架构院 架构
    随着数字化转型的迅猛推进,信息安全面临的挑战也日益复杂和严峻。传统的网络边界已经逐渐模糊,企业数据流动的复杂性和敏感性也随之增加。在此背景下,零信任架构(ZeroTrustArchitecture,ZTA)应运而生,成为保护企业数字资产的首选策略。TheOpenGroup发布了《零信任的核心原则》,详细阐述了零信任架构的核心原则、应用场景以及技术实现,为企业提供了全面的参考指南。01零信任架构的核
  • 5G CPE核心器件-基带处理器(三) 月光技术杂谈 5GCPE5G5Gsoc5G基带芯片5G终端基带芯片架构
    5GCPE核心器件-5G基带芯片基带芯片简介基带芯片组成与结构技术特点与发展趋势5G基带芯片是5GCPE中最核心的组件,负责接入5G网络,并进行上下行数据业务传输。移动通信从1G发展到5G,终端形态产生了极大的变化,在集成度、功耗、性能等方面都取得巨大的提升。基带芯片简介移动通信终端的基带芯片是一种用于无线电传输和接收数据的数字芯片,它是移动通信终端的核心组件之一。全球基带芯片市场主要由高通、联发
  • PowerShell 激活 activate 命令切换Python虚拟环境 南七小僧 网站开发AI技术产品经理人工智能python开发语言
    使用如下命令可以创建新的conda环境:condacreate-nenvname然后使用如下命令就可以激活虚拟环境:#winactivateenvname#linuxsourceactivateenvname但是在日常使用过程中,发现存在一个问题,windows激活虚拟环境的命令在cmd中可以正常使用,但是在powershell中使用就存在一些问题,总之无法正常运行.使用如下方法解决:1.安装如下
  • 大话特征工程:2.特征组合与描述 nnerddboy 白话机器学习机器人
    公元2147年,人类文明站在科技的巅峰,所有决策、发展甚至感知都被“全维计算网络”所掌控。这套系统以高维空间中的数据为基础,试图预测并塑造未来。然而,这场辉煌的技术革命却在悄无声息之间酿成了人类最大的危机——维数灾难。系统的高维特征空间本应为复杂世界提供精确的洞察,但却因维度的无限膨胀开始背离现实。全球天气失控、医疗系统陷入混乱、社会资源分配崩溃,这些技术上的崩坏正在逐步渗透进人类的感知之中。建筑
  • Dest1ny漏洞库:中科网威 anysec 安全网关 arping 存在后台远程命令执行漏洞 Dest1ny(沉淀版) 安全开发语言web安全经验分享网络安全
    深圳市中科网威科技有限公司是一家专注于网络安全产品研发和生产的高新技术企业。‌中科网威anysec安全网关存在arping后台远程命令执行漏洞,攻击者可利用该漏洞获取网关权限。fofaapp="中科网威-anysec"poc使用弱口令admin/anysec登录系统执行命令POST/cgi-bin/system/arping.cgiHTTP/1.1Host:User-Agent:Mozilla/5
  • 运维面试常问的100道题(大数据统计) m0_67403143 面试学习路线阿里巴巴运维面试大数据
    一、基础知识类1、请解释什么是运维?运维是指对企业的IT系统进行运行维护,包括硬件设备、软件系统、网络等的监控、管理、优化和故障处理,以确保系统的稳定、高效运行,满足业务需求。2、简述运维的主要职责有哪些?服务器的安装、配置、维护和监控。网络设备的管理和维护。数据库的管理和维护。应用系统的部署、升级和维护。故障处理和应急响应。性能优化和容量规划。安全管理和漏洞修复。3、什么是服务器?有哪些类型?服
  • 【解决办法】Jupyter Notebook无法显示pyecharts可视化图表 Xiao_土豆 数据可视化技术jupyterpython信息可视化
    我在JupyterNotebook中使用pyecharts库做可视化图表时,发现无法显示!通过上网查询,方法都基本相似,但其中会遇到一些问题,我详细讲一下我解决这个问题的过程:首先,我按照网络上的步骤,进行资源引用(可参考此链接:资源引用)。#1、获取pyecharts-assets项目gitclonehttps://github.com/pyecharts/pyecharts-assets.gi
  • 记录一次nvm\node\npm安装,ubuntu18.04 imomsc_csdn npm前端node.js
    问题:安装nvm时,curl或wget出现443连接失败;且用apt安装的nodejs出现GLIBC_2.28notfound。但网络好使,外网也能上。前提:nvm安装教程如下:Ubuntu安装NVM及简单使用-CSDN博客一、443连接失败——大佬原文如下:ubuntu18.04安装nvm、node.js、npm-简书(jianshu.com)二、nodejs不能用——大佬原文如下:(解决方案)
  • linux内核调试 ghx_echo linux运维服务器
    1,利用printk打印,查看信息2,crash命令调试2.1先按装工具kernel-tools-libs-3.10.0-327.el7.x86_64kernel-devel-3.10.0-327.el7.x86_64kernel-debuginfo-common-x86_64-3.10.0-327.el7.x86_64abrt-addon-kerneloops-2.1.11-36.el7.cen
  • .NET MAUI 手搓 UDP/TCP 通信 云端狂人 .netudptcp/ip
    在.NETMAUI中,UDP和TCP是网络通信协议,与MAUI框架本身的关系在于.NETMAUI可以利用.NET的网络功能来实现跨平台的网络通信。.NET提供的System.Net.Sockets命名空间来处理。该命名空间提供了创建和管理套接字(Sockets)来进行网络通信的相关类和方法。在.NETMAUI中,这些类同样适用于跨平台应用开发。具体来说:.NETMAUI是一个跨平台框架,用于构建A
  • Python 网络爬虫进阶:动态网页爬取与反爬机制应对 Milk夜雨 pythonpython爬虫
    在上一篇文章中,我们学习了如何使用Python构建一个基本的网络爬虫。然而,在实际应用中,许多网站使用动态内容加载或实现反爬机制来阻止未经授权的抓取。因此,本篇文章将深入探讨以下进阶主题:如何处理动态加载的网页内容应对常见的反爬机制爬虫性能优化通过具体实例,我们将探讨更复杂的网络爬虫开发技巧。一、动态网页爬取现代网页通常通过JavaScript加载动态内容。直接使用requests获取的HTML可
  • Oracle 机器宕机之后启动数据库 天农学子 数据库oracle
    Oracle机器宕机之后启动数据库启动监听,登录数据库,启动数据库检查监听[oracle@oracle-db~]$lsnrctlstatusLSNRCTLforLinux:Version11.2.0.4.0-Productionon24-JAN-202509:42:34Copyright(c)1991,2013,Oracle.Allrightsreserved.Connectingto(DESCR
  • 如何规划一台 Linux 主机,步骤是怎样?思维导图 代码示例(java 架构) 用心去追梦 linuxjava架构
    规划一台Linux主机,尤其是为了部署Java架构的应用程序,涉及多个步骤。下面我将列出一个基本的规划流程,并提供一些代码示例和建议来帮助你理解如何进行这样的规划。由于思维导图难以通过文本形式表达,我会以结构化的方式描述这个过程,你可以根据这个结构创建自己的思维导图。规划Linux主机(Java应用)1.确定需求应用程序需求:确定Java应用的具体需求,包括预计的用户数量、数据处理量等。硬件资源评
  • linux lamp 山客泛舟游Y linuxphpapache
    linuxlamp1.lamp简介有了前面学习的知识的铺垫,今天可以来学习下第一个常用的web架构了。所谓lamp,其实就是由Linux+Apache+Mysql/MariaDB+Php/Perl/Python的一组动态网站或者服务器的开源软件,除Linux外其它各部件本身都是各自独立的程序,但是因为经常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。LAMP指的是
  • linux lamp源码安装包下载,Linux Lamp源码安装 weixin_39815310 linuxlamp源码安装包下载
    1.首先检查安装编译环境gcc-v如果没有安装gcc和gcc-c++,则先安装这两个环境。yuminstallgcc和yuminstallgcc-c++2.卸载默认的低版本环境目前发行的Linux操作系统版本中,如果选择默认全部安装,就已经安装了LAMP环境,但是版本相对都比较低。我们可以再安装一个LAMP环境和原来的并存,但是这样做没有必要,因为同时只能开启一个LAMP环境。所要我们要在安装之前
  • SystemTap了解 weixin_34337265 运维
    SystemTrap是监控和跟踪运行中的Linux内核操作的动态方法。http://www.ibm.com/developerworks/cn/linux/l-systemtap/使用SystemTrap需要使用trap来运行一个stp脚本如何安装:Centos下直接yuminstallsystemtrap就行了测试是否可以运行运行:stap-ve'probebegin{log("hellowor
  • SystemTap介绍 羽飞 Linuxlinuxkernelsystemtap调试
    SystemTap介绍SystemTap,Linuxkernel简介SystemTap是一个诊断Linux系统性能或功能问题的开源软件。它使得对运行时的Linux系统进行诊断调式变得更容易、更简单。有了它,开发者或调试人员不再需要重编译、安装新内核、重启动等烦人的步骤。为了诊断系统问题或性能,开发者或调试人员只需要写一些脚本,而且SystemTap本身也提供了很多脚本,称为”tapset”方便开发
  • linux git clone出现fatal: unable to access Failed to connect to github.com port 443: Timed out解决方案 herosunly C/C++/Linux解决方案linuxgitgithubtimeoutport443
      大家好,我是herosunly。985院校硕士毕业,现担任算法研究员一职,热衷于机器学习算法研究与应用。曾获得阿里云天池比赛第一名,CCF比赛第二名,科大讯飞比赛第三名。拥有多项发明专利。对机器学习和深度学习拥有自己独到的见解。曾经辅导过若干个非计算机专业的学生进入到算法行业就业。希望和大家一起成长进步。  本文主要介绍了linuxgitclone出现fatal:unabletoaccessF
  • LSTM的推导与实现 YZXnuaa NLPPython库
    最近在看CS224d,这里主要介绍LSTM(LongShort-TermMemory)的推导过程以及用Python进行简单的实现。LSTM是一种时间递归神经网络,是RNN的一个变种,非常适合处理和预测时间序列中间隔和延迟非常长的事件。假设我们去试着预测‘IgrewupinFrance...(很长间隔)...IspeakfluentFrench’最后的单词,当前的信息建议下一个此可能是一种语言的名字
  • Linux网络编程——TCP多客户端连接服务器 「已注销」 linuxc语言tcpip
    1、Select函数原型#includeintselect(intnfds,fd_set*readfds,fd_set*writefds,fd_set*exceptfds,structtimeval*timeout);函数参数:intnfds:监听的文件描述符中最大文件描述符加1,告诉内核需要检测文件描述符的个数;readfds:监听有读数据到达文件描述符集合,传入传出参数;writefds:监听
  • Linux(UOS系统:DHCP) Jackson~Y 网络系统管理服务器运维linux
    赛题拓扑:题目:DHCP为OutsideCli客户端网络分配地址,地址池范围:81.6.63.110-81.6.63.190/24。域名解析服务器:按照实际需求配置DNS服务器地址选项。网关:按照实际需求配置网关地址选项。root@ispsrv:~#aptinstallisc-dhcp-server-yroot@ispsrv:~#vim/etc/default/isc-dhcp-serverINT
  • 【Linux】---挂载yum源 Jackson~Y Linux运维服务器linux
    yum源挂载CentOS:yum命令:RPM包软件管理器,用于自动化安装配置Linux软件,并可以自动解决依赖问题语法:yum[-y][install|remove|search]软件名称选项:-y,自动确认,无需手动确认安装或卸载过程install:安装remove:卸载search:搜索yum命令需要root权限哦,可以su切换到root,或使用sudo提权yum命令需要联网,不联网情况下需手
  • 【微服务与分布式实践】探索 Eureka Forest 森林 微服务与分布式实践eureka
    服务注册中心心跳检测机制:剔除失效服务自我保护机制统计心跳失败的比例在15分钟之内是否低于85%,如果出现低于的情况,EurekaServer会将当前的实例注册信息保护起来,让这些实例不会过期。当节点在短时间内丢失过多的心跳时,那么这个节点就会进入自我保护模式,以防止因网络问题导致的服务注册失败高可用:注册中心集群模式、互相注册、服务同步AP(保证可用性,放弃数据一致性)服务注册服务心跳续约、定期
  • Linux——网络(tcp) 爱吃喵的鲤鱼 linux运维服务器
    文章目录目录文章目录前言一、TCP逻辑1.面向连接三次握手(建立连接)四次挥手(关闭连接)2.可靠性3.流量控制4.拥塞控制5.基于字节流6.全双工通信7.状态机8.TCP头部结构9.TCP的应用场景二、编写tcp代码函数1.Socket创建与配置socket()setsockopt()2.绑定与监听bind()listen()3.连接与接受连接connect()accept()4.数据发送与接收
  • Python 自动玩谷歌浏览器“恐龙小游戏” 程序员-夏天 Pythonpythonchrome开发语言
    相信在座的各位小伙伴对GoogleChrome浏览器中的一个游戏彩蛋恐龙小游戏(ChromeDino)不陌生吧。在断开网络连接,我们访问网站的时候,就会出现一个小霸王龙,在我们再按下空格键后,即可开始这个游戏,或者在谷歌浏览器的地址栏输入chrome://dino/,按下空格键,也可这个开始游戏。这是一个简单的无限跑步游戏,它会让你跳过仙人掌,并闪避障碍物,游戏控制也很简单,按空格键开始游戏,按空
  • optee gprof 代码改变世界ctw optee精选gprofftrace调试opteeTEEtrustzone
    快速链接:.《optee精选全集》付费专栏-[目录]付费专栏-付费课程【购买须知】目录思考什么是opteeGprof?开启opteegprofgprof解析生成的文件思考什么是opteeGprof?如何开启opteegprof?opteegprof和linuxgprof有什么不同?什么是opteeGprof?Gprof是一种性能分析工具,用于收集程序的运行时性能数据,主要用于分析函数的调用关系和运
  • 【分布式技术】——监控平台zabbix 介绍与部署 Tom cat. 分布式zabbix
    一、监控系统的相关知识1.监控系统运用的原因当我们需要实时关注与其相关的各项指标是否正常,往往存在着很多的服务器、网络设备等硬件资源,如果我们想要能够更加方便的、集中的监控他们,zabix可以实现集中监控管理的应用程序监控的初衷就是当某些指标不符合我们的需求时,我们能够在第一时间发现异常。个人认为:作为一个运维,需要进行时刻监控整个业务架构的性能情况,以便及时预防,不可能只手动命令或者脚本监控,而
  • react-native网络调试工具Reactotron保姆级教程 Orange301511 前端reactnative
    在ReactNative开发过程中,调试和性能优化是至关重要的环节。今天,就来给大家分享一个非常强大的工具——Reactotron,它就像是一个贴心的助手,能帮助我们更轻松地追踪问题、优化性能。下面就是一份保姆级教程哦!一、Reactotron是什么?Reactotron是一个强大的React和ReactNative应用程序调试器。它为开发人员提供了一个易于使用的界面,用于监控应用程序的状态、网络
  • WordPress网站选择LNMP环境和LAMP环境哪个好 zoneidccom
    WordPress网站选择LNMP环境和LAMP环境哪个好【199cloud-艾娜】WordPress建网站选择LNMP环境还是LAMP环境服务更好呢?现在建站常用的两大环境服务是LNMP和LAMP,因为这两种环境易用,好上手,所以普及率一直很高。比如我们常用的宝塔面板,在初次登陆界面就会提示二选一。要想知道哪个好用,我们先来详细了解这两款环境服务。LNMP和LAMP,意思是指Linux服务器+N
  • -bash: ./****.py: /usr/bin/python^M: bad interpreter: No such file or directory GeoWin_CAU GeoPythonSpatialBigData(空间大数据)pythonlinuxwindows
    在windows系统下写的python脚本,在linux下赋予权限chmod+xxxx.py以后,执行./xxx.py运行提示:bash:/usr/bin/autocrorder:/usr/bin/python^M:badinterpreter:Nosuchfileordirectory更多文章请点击我
  • 强大的销售团队背后 竟然是大数据分析的身影 蓝儿唯美 数据分析
    Mark Roberge是HubSpot的首席财务官,在招聘销售职位时使用了大量数据分析。但是科技并没有挤走直觉。 大家都知道数理学家实际上已经渗透到了各行各业。这些热衷数据的人们通过处理数据理解商业流程的各个方面,以重组弱点,增强优势。 Mark Roberge是美国HubSpot公司的首席财务官,HubSpot公司在构架集客营销现象方面出过一份力——因此他也是一位数理学家。他使用数据分析
  • Haproxy+Keepalived高可用双机单活 bylijinnan 负载均衡keepalivedhaproxy高可用
    我们的应用MyApp不支持集群,但要求双机单活(两台机器:master和slave): 1.正常情况下,只有master启动MyApp并提供服务 2.当master发生故障时,slave自动启动本机的MyApp,同时虚拟IP漂移至slave,保持对外提供服务的IP和端口不变 F5据说也能满足上面的需求,但F5的通常用法都是双机双活,单活的话还没研究过 服务器资源 10.7
  • eclipse编辑器中文乱码问题解决 0624chenhong eclipse乱码
    使用Eclipse编辑文件经常出现中文乱码或者文件中有中文不能保存的问题,Eclipse提供了灵活的设置文件编码格式的选项,我们可以通过设置编码 格式解决乱码问题。在Eclipse可以从几个层面设置编码格式:Workspace、Project、Content Type、File 本文以Eclipse 3.3(英文)为例加以说明: 1. 设置Workspace的编码格式: Windows-&g
  • 基础篇--resources资源 不懂事的小屁孩 android
    最近一直在做java开发,偶尔敲点android代码,突然发现有些基础给忘记了,今天用半天时间温顾一下resources的资源。 String.xml    字符串资源   涉及国际化问题  http://www.2cto.com/kf/201302/190394.html   string-array
  • 接上篇补上window平台自动上传证书文件的批处理问卷 酷的飞上天空 window
    @echo off : host=服务器证书域名或ip,需要和部署时服务器的域名或ip一致 ou=公司名称, o=公司名称 set host=localhost set ou=localhost set o=localhost set password=123456 set validity=3650 set salias=s
  • 企业物联网大潮涌动:如何做好准备? 蓝儿唯美 企业
    物联网的可能性也许是无限的。要找出架构师可以做好准备的领域然后利用日益连接的世界。 尽管物联网(IoT)还很新,企业架构师现在也应该为一个连接更加紧密的未来做好计划,而不是跟上闸门被打开后的集成挑战。“问题不在于物联网正在进入哪些领域,而是哪些地方物联网没有在企业推进,” Gartner研究总监Mike Walker说。 Gartner预测到2020年物联网设备安装量将达260亿,这些设备在全
  • spring学习——数据库(mybatis持久化框架配置) a-john mybatis
    Spring提供了一组数据访问框架,集成了多种数据访问技术。无论是JDBC,iBATIS(mybatis)还是Hibernate,Spring都能够帮助消除持久化代码中单调枯燥的数据访问逻辑。可以依赖Spring来处理底层的数据访问。 mybatis是一种Spring持久化框架,要使用mybatis,就要做好相应的配置: 1,配置数据源。有很多数据源可以选择,如:DBCP,JDBC,aliba
  • Java静态代理、动态代理实例 aijuans Java静态代理
    采用Java代理模式,代理类通过调用委托类对象的方法,来提供特定的服务。委托类需要实现一个业务接口,代理类返回委托类的实例接口对象。 按照代理类的创建时期,可以分为:静态代理和动态代理。 所谓静态代理: 指程序员创建好代理类,编译时直接生成代理类的字节码文件。 所谓动态代理: 在程序运行时,通过反射机制动态生成代理类。   一、静态代理类实例: 1、Serivce.ja
  • Struts1与Struts2的12点区别 asia007 Struts1与Struts2
    1) 在Action实现类方面的对比:Struts 1要求Action类继承一个抽象基类;Struts 1的一个具体问题是使用抽象类编程而不是接口。Struts 2 Action类可以实现一个Action接口,也可以实现其他接口,使可选和定制的服务成为可能。Struts 2提供一个ActionSupport基类去实现常用的接口。即使Action接口不是必须实现的,只有一个包含execute方法的P
  • 初学者要多看看帮助文档 不要用js来写Jquery的代码 百合不是茶 jqueryjs
    解析json数据的时候需要将解析的数据写到文本框中,  出现了用js来写Jquery代码的问题;   1, JQuery的赋值  有问题    代码如下: data.username 表示的是:  网易            $("#use
  • 经理怎么和员工搞好关系和信任 bijian1013 团队项目管理管理
            产品经理应该有坚实的专业基础,这里的基础包括产品方向和产品策略的把握,包括设计,也包括对技术的理解和见识,对运营和市场的敏感,以及良好的沟通和协作能力。换言之,既然是产品经理,整个产品的方方面面都应该能摸得出门道。这也不懂那也不懂,如何让人信服?如何让自己懂?就是不断学习,不仅仅从书本中,更从平时和各种角色的沟通
  • 如何为rich:tree不同类型节点设置右键菜单 sunjing contextMenutreeRichfaces
    组合使用target和targetSelector就可以啦,如下: <rich:tree id="ruleTree" value="#{treeAction.ruleTree}" var="node" nodeType="#{node.type}" selectionChangeListener=&qu
  • 【Redis二】Redis2.8.17搭建主从复制环境 bit1129 redis
    开始使用Redis2.8.17 Redis第一篇在Redis2.4.5上搭建主从复制环境,对它的主从复制的工作机制,真正的惊呆了。不知道Redis2.8.17的主从复制机制是怎样的,Redis到了2.4.5这个版本,主从复制还做成那样,Impossible is nothing! 本篇把主从复制环境再搭一遍看看效果,这次在Unbuntu上用官方支持的版本。   Ubuntu上安装Red
  • JSONObject转换JSON--将Date转换为指定格式 白糖_ JSONObject
    项目中,经常会用JSONObject插件将JavaBean或List<JavaBean>转换为JSON格式的字符串,而JavaBean的属性有时候会有java.util.Date这个类型的时间对象,这时JSONObject默认会将Date属性转换成这样的格式:   {"nanos":0,"time":-27076233600000,
  • JavaScript语言精粹读书笔记 braveCS JavaScript
    【经典用法】:   //①定义新方法 Function .prototype.method=function(name, func){ this.prototype[name]=func; return this; } //②给Object增加一个create方法,这个方法创建一个使用原对
  • 编程之美-找符合条件的整数 用字符串来表示大整数避免溢出 bylijinnan 编程之美
    import java.util.LinkedList; public class FindInteger { /** * 编程之美 找符合条件的整数 用字符串来表示大整数避免溢出 * 题目:任意给定一个正整数N,求一个最小的正整数M(M>1),使得N*M的十进制表示形式里只含有1和0 * * 假设当前正在搜索由0,1组成的K位十进制数
  • 读书笔记 chengxuyuancsdn 读书笔记
    1、Struts访问资源 2、把静态参数传递给一个动作 3、<result>type属性 4、s:iterator、s:if c:forEach 5、StringBuilder和StringBuffer 6、spring配置拦截器 1、访问资源 (1)通过ServletActionContext对象和实现ServletContextAware,ServletReque
  • [通讯与电力]光网城市建设的一些问题 comsci 问题
          信号防护的问题,前面已经说过了,这里要说光网交换机与市电保障的关系       我们过去用的ADSL线路,因为是电话线,在小区和街道电力中断的情况下,只要在家里用笔记本电脑+蓄电池,连接ADSL,同样可以上网........     
  • oracle 空间RESUMABLE daizj oracle空间不足RESUMABLE错误挂起
    空间RESUMABLE操作  转 Oracle从9i开始引入这个功能,当出现空间不足等相关的错误时,Oracle可以不是马上返回错误信息,并回滚当前的操作,而是将操作挂起,直到挂起时间超过RESUMABLE TIMEOUT,或者空间不足的错误被解决。 这一篇简单介绍空间RESUMABLE的例子。 第一次碰到这个特性是在一次安装9i数据库的过程中,在利用D
  • 重构第一次写的线程池 dieslrae 线程池 python
    最近没有什么学习欲望,修改之前的线程池的计划一直搁置,这几天比较闲,还是做了一次重构,由之前的2个类拆分为现在的4个类. 1、首先是工作线程类:TaskThread,此类为一个工作线程,用于完成一个工作任务,提供等待(wait),继续(proceed),绑定任务(bindTask)等方法 #!/usr/bin/env python # -*- coding:utf8 -*-
  • C语言学习六指针 dcj3sjt126com c
    初识指针,简单示例程序: /* 指针就是地址,地址就是指针 地址就是内存单元的编号 指针变量是存放地址的变量 指针和指针变量是两个不同的概念 但是要注意: 通常我们叙述时会把指针变量简称为指针,实际它们含义并不一样 */ # include <stdio.h> int main(void) { int * p; // p是变量的名字, int *
  • yii2 beforeSave afterSave beforeDelete dcj3sjt126com delete
    public function afterSave($insert, $changedAttributes) { parent::afterSave($insert, $changedAttributes); if($insert) { //这里是新增数据 } else { //这里是更新数据 } }  
  • timertask shuizhaosi888 timertask
    java.util.Timer timer = new java.util.Timer(true); // true 说明这个timer以daemon方式运行(优先级低, // 程序结束timer也自动结束),注意,javax.swing // 包中也有一个Timer类,如果import中用到swing包, // 要注意名字的冲突。 TimerTask task = new
  • Spring Security(13)——session管理 234390216 sessionSpring Security攻击保护超时
    session管理 目录   1.1     检测session超时 1.2     concurrency-control 1.3     session 固定攻击保护         
  • 公司项目NODEJS实践0.3[ mongo / session ...] 逐行分析JS源代码 mongodbsessionnodejs
        http://www.upopen.cn   一、前言         书接上回,我们搭建了WEB服务端路由、模板等功能,完成了register 通过ajax与后端的通信,今天主要完成数据与mongodb的存取,实现注册 / 登录 /
  • pojo.vo.po.domain区别 LiaoJuncai javaVOPOJOjavabeandomain
      POJO = "Plain Old Java Object",是MartinFowler等发明的一个术语,用来表示普通的Java对象,不是JavaBean, EntityBean 或者 SessionBean。POJO不但当任何特殊的角色,也不实现任何特殊的Java框架的接口如,EJB, JDBC等等。      即POJO是一个简单的普通的Java对象,它包含业务逻辑
  • Windows Error Code OhMyCC windows
    0 操作成功完成. 1 功能错误. 2 系统找不到指定的文件. 3 系统找不到指定的路径. 4 系统无法打开文件. 5 拒绝访问. 6 句柄无效. 7 存储控制块被损坏. 8 存储空间不足, 无法处理此命令. 9 存储控制块地址无效. 10 环境错误. 11 试图加载格式错误的程序. 12 访问码无效. 13 数据无效. 14 存储器不足, 无法完成此操作. 15 系
  • 在storm集群环境下发布Topology roadrunners 集群stormtopologyspoutbolt
    storm的topology设计和开发就略过了。本章主要来说说如何在storm的集群环境中,通过storm的管理命令来发布和管理集群中的topology。   1、打包 打包插件是使用maven提供的maven-shade-plugin,详细见maven-shade-plugin。 <plugin> <groupId>org.apache.maven.
  • 为什么不允许代码里出现“魔数” tomcat_oracle java
      在一个新项目中,我最先做的事情之一,就是建立使用诸如Checkstyle和Findbugs之类工具的准则。目的是制定一些代码规范,以及避免通过静态代码分析就能够检测到的bug。   迟早会有人给出案例说这样太离谱了。其中的一个案例是Checkstyle的魔数检查。它会对任何没有定义常量就使用的数字字面量给出警告,除了-1、0、1和2。   很多开发者在这个检查方面都有问题,这可以从结果
  • zoj 3511 Cake Robbery(线段树) 阿尔萨斯 线段树
    题目链接:zoj 3511 Cake Robbery 题目大意:就是有一个N边形的蛋糕,切M刀,从中挑选一块边数最多的,保证没有两条边重叠。 解题思路:有多少个顶点即为有多少条边,所以直接按照切刀切掉点的个数排序,然后用线段树维护剩下的还有哪些点。 #include <cstdio> #include <cstring> #include <vector&
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他