connector 框架与 cn_proc 使用 demo 的深入分析

最新推荐文章于 2023-03-04 17:47:58 发布
最新推荐文章于 2023-03-04 17:47:58 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: LINUNX KERNEL Linux 文章标签: connector 框架 cn_proc 驱动 netlink 的原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/108940087
版权

前言

我在 替代传统 ps、top 等进程监控程序的方案 这篇文章中描述了目前现有的两种替代 ps、top 等进程监控程序的方案,在 linux 内核 connector 框架重要的数据结构及其联系 这篇文章我描述了 connector 框架的几个重要数据结构及其之间的关联。

在本篇文章中借助 cn_proc 的使用 demo 将这些过程串起来,同时也对一些其它的细节进行描述。

demo 程序的关键代码总览

替代传统 ps、top 等进程监控程序的方案 中 cn_proc 使用示例 demo 程序中,有下面几个关键步骤:

1. 创建一个 NETLINK socket,指定 proto 为 NETLINK_CONNECTOR

    nl_sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_CONNECTOR);

2. bind netlink 到 sa_nl 表示的地址中,这里的关键点是 nl_groups 设置的
CN_IDX_PROC 组号。

    sa_nl.nl_family = AF_NETLINK;
    sa_nl.nl_groups = CN_IDX_PROC;
    sa_nl.nl_pid = getpid();

    rc = bind(nl_sock, (struct sockaddr *)&sa_nl, sizeof(sa_nl));

3. 向内核发送 netlink 消息以通知内核以增加 proc_event_num_listeners 计
数值

    set_proc_ev_listen(nl_sock, true)

4. 接收内核发送的 netlink 消息并解析消息,将获取到的数据打印到终端中

    rc = handle_proc_ev(nl_sock);

5. 程序退出,向内核发送 netlink 消息以通知内核减少 proc_event_num_listeners 计数值

    set_proc_ev_listen(nl_sock, false)

demo 程序的关键代码对应内核中的相关行为

在清楚了 demo 程序的关键过程后,我们继续探讨下这些过程背后对应
内核中有怎样的执行过程,这里我只讲几个重要的点,

1. 创建一个 NETLINK socket,指定 proto 为 NETLINK_CONNECTOR

这个过程是所有过程中最为复杂的内容,单独发一篇博客进行分析,请访问cn_proc demo 中创建一个 netlink socket 背后的内核行为

2. bind netlink 到 sa_nl 表示的地址中,这里的关键点是 nl_groups 设置的 CN_IDX_PROC 组号。

bind 系统调用最终会调用到 netlink 的 proto_ops 中的 netlink_bind 方法。netlink_bind 函数中会使用 sock 字段中的 sk_protocol 的值,使用该值为下标从 nl_table 数组中获取相应的表项,并将 sock 结构体插入到此表项中,这个 sk_protocol 在创建 socket 的时候被赋值为转化后的 NETLINK_CONNECTOR 值。

此表项属于 NETLINK_CONNECTOR,在 connector 框架的初始化代码中注册到 nl_table 中。

netlink_bind 中另外一个非常重要的工作是在 NETLINK_CONNECTOR 使用的 nl_table 中的项目中,在其 mc_list 链表中添加一个 sock 节点。

相关代码如下:

		sk_add_bind_node(sk, &nl_table[sk->sk_protocol].mc_list);

这个 mc_list 在由内核向用户态发送广播 netlink 消息时使用。

其它操作这里不进行说明。

3. 向内核发送 netlink 消息以通知内核增加 proc_event_num_listeners 计数值

完成了 bind 后,就能够与内核进行通信,这时 demo 会首先向内核发送一条 netlink 消息。demo 中调用 send 接口,在内核中最终会调用到 netlink_sendmsg 函数。

netlink_sendmsg 函数中解析 msg 头获取到目的组与目的端口 id,这两个字段在 netlink_boradcast、netlink_unicast 函数中被使用。

这里使用的是 netlink_unicast 函数,这里目的端口被用来查找对应的 sock 结构,这里的目标就是 connector 初始化时创建的 sock 结构体。

通过目的 port id 获取 sock 结构体内容通过如下代码来实现:

	sk = netlink_getsockbyportid(ssk, portid);

完成了这个过程后判断报文是否发向内核,如果是则调用 netlink_unicast_kernel 函数,在 netlink_unicaset_kernel 函数中调用 netlink_sock 中注册的 netlink_rcv 函数。对应于 connector 框架中的 cn_rx_skb 函数,此函数核心代码如下:

		err = cn_call_callback(skb_get(skb));

可以看到,它执行预先注册的回调函数,对于 cn_proc 驱动而言,这个函数就是 cn_proc_mcast_ctl 函数,其代码如下:

static void cn_proc_mcast_ctl(struct cn_msg *msg,
			      struct netlink_skb_parms *nsp)
{
	enum proc_cn_mcast_op *mc_op = NULL;
	int err = 0;

	if (msg->len != sizeof(*mc_op))
		return;

	/* 
	 * Events are reported with respect to the initial pid
	 * and user namespaces so ignore requestors from
	 * other namespaces.
	 */
	if ((current_user_ns() != &init_user_ns) ||
	    (task_active_pid_ns(current) != &init_pid_ns))
		return;

	/* Can only change if privileged. */
	if (!__netlink_ns_capable(nsp, &init_user_ns, CAP_NET_ADMIN)) {
		err = EPERM;
		goto out;
	}

	mc_op = (enum proc_cn_mcast_op *)msg->data;
	switch (*mc_op) {
	case PROC_CN_MCAST_LISTEN:
		atomic_inc(&proc_event_num_listeners);
		break;
	case PROC_CN_MCAST_IGNORE:
		atomic_dec(&proc_event_num_listeners);
		break;
	default:
		err = EINVAL;
		break;
	}

out:
	cn_proc_ack(err, msg->seq, msg->ack);
}

此函数首先解析报文,然后根据 mc_op 进行分发,核心是对 proc_event_num_listeners 变量的原子增减,完成后调用 cn_proc_ack 函数发送一个 netlink ack 消息到用户态表明成功接收。

4. 接收内核发送的 netlink 消息并解析消息,将获取到的数据打印到终端中

用户态程序调用 recv 来捕获内核发送给用户态的 netlink 消息,最终调用的函数接口是 netlink_recvmsg 函数,此函数的主要工作原理是遍历 sock 中的 sk_receive_queue 链表,尝试从中获取一个 skb。

对于 cn_proc 驱动而言,当有进程状态发生变化后,会调用 cn_netlink_send 来发送不同内容的 neltink 消息到用户态中,这个函数最终会调用 netlink_broadcast、netlink_unicast 函数。

对于从内核发向用户态的 netlink 消息,netlink_broadcast 会使用到我上文中描述的 mc_list 链表,它访问的是 NETLINK_CONNECTOR 的 nl_table 中的 mc_list 链表的内容,会对每一个挂到这个链表上的 sock 结构执行发送操作。

相关代码如下:

	sk_for_each_bound(sk, &nl_table[ssk->sk_protocol].mc_list)
		do_one_broadcast(sk, &info);

这里 ssk->sk_protocol 中的 sk_protocol 是在 bind 过程中赋值的,它保存的就是 NETLINK_CONNECTOR 在 nl_table 数组中的下标。

do_one_broadcast 通过调用如下函数完成发送的过程:

static int __netlink_sendskb(struct sock *sk, struct sk_buff *skb)
{
	int len = skb->len;

	netlink_deliver_tap(sock_net(sk), skb);

	skb_queue_tail(&sk->sk_receive_queue, skb);
	sk->sk_data_ready(sk);
	return len;
}

这个函数非常简单,首先将报文发送到 netlink_tap 口,然后将报文追加到一个 sock 结构体的接收队列中,最后再调用 sk_data_ready 函数做一些额外的处理,这就完成了所有的过程。

当将报文追加到一个 sock 结构体的接收队列中时,用户态程序调用 read 接口就能够从自己绑定的 sock 结构体中获取到相应的报文,这样用户程序就能够成功接收到报文。

netlink_unicast 除了获取目的 sock 结构体的过程与 broadcast 方式不同外,其它的处理过程类似 broadcast 方式。

5. 向内核发送 netlink 消息以通知内核减少 proc_event_num_listeners 计数值

此过程与第 3 步的过程原理相同,区别之处只在于它会减少 proc_event_num_listeners 计数值,其它的过程就不再描述了。

总结

本文篇幅很长,其中描述了 netlink 报文收发的大致流程,一些细节仍旧需要完善!但大的方向上的数据流动过程还是抓住了,同时也提高了我对 linux 网络协议栈的认识。

本文仅仅列出了关键代码,并不像以前写的一些文章一样每一个函数都列举完整的代码,这算作一个进步。写完了后再反思反思,不免觉得这样的过程倾向于描述不同部分的关联,面向的是完整的框图,可以坚持这样写下去,至少对于 linux 内核代码的研究可以这样干!

参考链接

https://lwn.net/Articles/157150/

longyu_wlz
关注
专栏目录
DRM全解析 —— connector详解(1)
phmatthaus的专栏
10-08 616
DRM全解析 —— connector详解(1)
Python 接口并发测试详解
悦分享
10-23 6982
性能测试是通过自动化测试工具模拟多种正常、峰值及异常负载条件对系统的各项性能指标进行的测试。负载测试和压力测试都属于性能测试,两者可以结合进行。通过负载测试,确定在各种工作负载下系统的性能,目标是测试当负载逐渐增加时,系统各项性能指标的变化情况。压力测试是通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能提供的最大服务级别的测试。性能测试的重点是测试在并发条件下服务或系统的瓶颈所在,从而优化相关功能,可能涉及软件及硬件的多方面改进。由此可见,性能测试对整个产品非常重要,甚至可以决定一个产品是否能长久发
连接器(Netlink Connector)及其应用
xu的blog
11-28 1866
2006 年 4 月 20 日本文详细介绍了 Linux 2.6 内核引入的内核空间与用户空间通信的新机制连接器,并通过典型示例讲解了它的使用。一、引言连接器是一种新的用户态与内核态的通信方式,它使用起来非常方便。本质上,连接器是一种netlink,它的 netlink 协议号为 NETLINK_CONNECTOR,与一般的 netlink 相比,它提供了更容易的使用接口,使用起来更方便。目前,最
替代传统 ps、top 等进程监控程序的方案
龙瑜的博客
10-05 1158
使用 netlink
netlink怎么读_内核交互 netlink,检测部分进程死亡和启动。
weixin_39609500的博客
12-19 784
和内核交互netlinknetlink内核和用户进程交互用户空间用的是socket,内核空间用的是内部API和一个模块。向下兼容。面向数据包的应用。即SOCK_RAW and SOCK_DGRAM函数原型#include #include #include netlink_socket = socket(AF_NETLINK, socket_type, netlink_family);socket...
linux 进程创建 进程启动 监控
whatday的专栏
03-20 2224
0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理Demo使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: 1、S...
Linux内核4.14版本——drm框架分析(2)——connector分析
yangguoyu8023的博客
03-04 2711
drm connector分析
[转]高负载并发网站架构分析
热门推荐
bluehire的专栏
12-23 2万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
JAVA经典面试题附答案(持续更新版)
hjseo_seg的博客
06-23 1万+
前言: 少年易老学难成,一寸光阴不可轻。未觉池塘春草梦,阶前梧叶已秋声 。—朱熹《劝学诗》 勤奋才是改变你命运的唯一捷径。 整理不易,各位看官点赞再看更舒适,养成好习惯(●′`●)1.JAVA中的几种基本类型,各占用多少字节? 下图单位是bit,非字节 1B=8bit 2.String能被继承吗?为什么? 不可以,因为String类有final修饰符,而final修饰的类是不能被继承的,实现细节不允许改变。平常我们定义的String str=”abc”(直接赋一个字面量);其实和String str=
linux 内核 connector 框架重要的数据结构及其联系
龙瑜的博客
10-17 610
connector 中重要的数据结构 connector 中有几个重要的数据结构: cn_queue_dev cn_callback_id cn_callback_entry cn_dev cn_queue_dev 与 cn_dev cn_queue_dev 与 cn_dev 结构体中都有一个指向 struct sock 的指针,使用这个指针与网络模块关联起来。 cn_callback_entry 与 cn_callback_id cn_callback_entry 是 connector 内部提供的注
node-cnproc:Node.js流程连接器模块
05-18
Linux进程事件连接器 允许监视fork / exec / exit / uid更改事件(请参阅 )。 例子: cnproc = require('cnproc'); c = cnproc.createConnector(); c.on('fork', function(ppid, ptgid, pid, tgid) { console.log("fork: {" + "ppid: " + ppid + " ptgid: " + ptgid + "pid: " + pid + "ptgid: " + tgid); c.close(); // close after first event }); c.connect(); 叉 回调参数如下:父pid,父tgid,子pid,子tgid。 执行 回调参数:pid,tgid。 出口 回调参数:pid,tgid,exit
linux内核工程导论,Linux内核工程导论–网络:TCP:netlink与tcp_diag编程
weixin_28966407的博客
05-11 373
概览http://m.oschina.net/blog/351007有一个示例程序,但是它用的v1的接口。http://kristrev.github.io/2013/07/26/passive-monitoring-of-sockets-on-linux/教了怎么用v2的接口。inet_diag和tcp_diag是两个模块,但是统一使用inet_diag的接口,inet_diag又是使用netl...
Netlink 套接字 -- 内核与用户之间的通讯~~!
freshui的专栏
07-26 6331
<br />原帖地址:<br />http://blog.chinaunix.net/u3/90973/showart_1815538.html<br /> <br /> <br /> <br />Netlink 用于在内核模块与在用户地址空间中的进程之间传递消息的。它包含了用于用户进程的基于标准套接字的接口和用于内核模块的一个内部核心 API。<br />Netlink 是一种特殊的 socket,它是 Linux 所特有的,类似于 BSD 中的AF_ROUTE 但又远比它的功能强大,目前在最新的 Lin
如何只授予用户查看存储过程定义的权限
xiaodoudou的专栏
10-21 1051
关于ORACLE账号的权限问题,一般分为两种权限:系统权限: 允许用户执行特定的数据库动作,如创建表、创建索引、创建存储过程等对象权限: 允许用户操纵一些特定的对象,如读取视图,可更新某些列、执行存储过程等像这种查看存储过程定义的权限为对象权限,但是我们还是首先来看看关于存储过程的系统权限吧:PRIVILEGE NAME P
linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控
weixin_32921023的博客
04-28 678
作者简介:张博,网易高级信息安全工程师。0x00 简介在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。本文将介绍一些常见的监控进程创建的方式,包括其原理Demo使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。0x01 常见方式目前来看,常见的获取进程创建的信息的方...
高级操作系统——XV6进程管理(proc.c)
weixin_45680007的博客
10-18 2036
struct { struct spinlock lock; struct proc proc[NPROC]; } ptable;//进程索引表,64个进程以数组的形式记录 static struct proc *initproc;//初始进程,userinit调用中赋值 // Look in the process table for an UNUSED proc. // If fo...
Linux下安装使用mysql connector(C++)
cscmaker的专栏
04-17 1万+
(1)使用C++版本的mysql connector首先需要安装和编译boost库。    可以在boost官网上下载源文件,自己进行编译。也可以直接使用命令下载和编译,具体命令为:    apt-get install libboost-dev libboost-dbg libboost-doc bcp libboost-* (2)然后需要下载mysql connector的头文件
struct input_event
06-16 6746
查看/dev/input/eventX是什么类型的事件, cat /proc/bus/input/devices设备有着自己特殊的按键键码,我需要将一些标准的按键,比如0-9,X-Z等模拟成标准按键,比如KEY_0,KEY-Z等,所以需要用到按键模拟,具体 方法就是操作/dev/input/event1文件,向它写入个input_event结构体就可以模拟按键的输入了。linux/input.h中
C++ 事件(event)使用总结
AI浩
09-03 1万+
事件最常用在多线程同步互斥机制。 常用的函数有: 1、CreateEvent 创建事件。 函数原型如下所示,一共四个参数: HANDLE CreateEvent(  LPSECURITY_ATTRIBUTES lpEventAttributes, // SECURITY_ATTRIBUTES结构指针,可为NULL  BOOL bManualReset, // 手动/自动   // TRUE:表示手动,在WaitF...
linux内核 如何使用remove_proc_entry
最新发布
05-23
下面是一个使用 `remove_proc_entry()` 函数删除进程文件的示例代码: ```c #include <linux/proc_fs.h> static struct proc_dir_entry *example_dir; static int __init example_init(void) { example_dir = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值