eBPF代码流程分析

最新推荐文章于 2024-01-02 22:28:54 发布
最新推荐文章于 2024-01-02 22:28:54 发布
阅读量316 收藏 1
点赞数
文章标签: centos linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SenberHu/article/details/124824063
版权

0x1:应用层流程

基于Linux kernel source v5.13

1.加载bpf.o文件并处理elf section信息

1.int bpf_object__open(char *path) //参数是bpf.o文件路径
   -- __bpf_object__open(const char *path, const void *obj_buf, size_t obj_buf_sz, const struct bpf_object_open_opts *opts)//读取obj文件,解析elf中section信息。
	    -- 	obj = bpf_object__new(path, obj_buf, obj_buf_sz, obj_name);	 //创建并初始化obj结构体
    		  err = bpf_object__elf_init(obj); //读取elf文件
				  err = err ? : bpf_object__check_endianness(obj); //判断大小端
				  err = err ? : bpf_object__elf_collect(obj); //读取elf节信息(license / version / maps / .reloc / .text)
				  err = err ? : bpf_object__collect_externs(obj); //读取btf section
				  err = err ? : bpf_object__finalize_btf(obj);  //读取需要 btf处理的data section
				  err = err ? : bpf_object__init_maps(obj, opts); //读取map信息(user map / global data map / btf map / kconfig map)
				  err = err ? : bpf_object__collect_relos(obj); //读取重定位信息

2.加载obj文件到内核

2.int bpf_object__load(struct bpf_object *obj) //加载第一步生成的obj结构体
  -- bpf_object__load_xattr(struct bpf_object_load_attr *attr) 
      -- 	err = bpf_object__probe_loading(obj);  //加载bpf prog到内核(这里加载的是未经过修改的bpf代码)
          err = err ? : bpf_object__load_vmlinux_btf(obj, false); //读取内核vmlinux信息
          err = err ? : bpf_object__resolve_externs(obj, obj->kconfig); //读取内核kconfig /vmlinux / kallsysm信息
          err = err ? : bpf_object__sanitize_and_load_btf(obj); // BPF_BTF_LOAD 加载btf信息
          err = err ? : bpf_object__sanitize_maps(obj); // 判断内核支持的map种类
          err = err ? : bpf_object__init_kern_struct_ops_maps(obj);
          err = err ? : bpf_object__create_maps(obj); //BPF_MAP_CREATE 创建map
          err = err ? : bpf_object__relocate(obj, attr->target_btf_path); //处理bpf代码重定位信息
          err = err ? : bpf_object__load_progs(obj, attr->log_level); //这里加载经过重定位 btf修改的bpf代码 ****
             -- libbpf__bpf_prog_load
最低0.47元/天 解锁文章
SenberHu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
libbpf 开发指南:获取bpf_object 关联的 BTF(BPF Type Format)信息与文件描述符
阿呆的隐秘角落
07-02 267
做最好的bpf教程
ebpf理解
muyuanbiao888的博客
08-05 528
简单记录下ebpf的个人理解。 结构 ebpf分为两部分。一部分是ebpf字节码代码,另外一部分是加载ebpf字节码的用户态程序。 ebpf字节码 字节码是只能使用bpf helper函数编写的代码。这个代码运行于内核中。 基于现有的tracing系统注入ebpf字节码,比如tracepoint,kprobe,raw_tracepoint等。这些根据注入点的不通这块将bpf程序进行对应的分类。每种类型有点差异,比如tracepoint类型的ebpf代码,获取函数参数按照指定的结构获取。而raw_tracep
eBPF学习记录(一)eBPF介绍
热门推荐
jianjian的博客
02-18 1万+
一、什么是eBPF eBPF, 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。BPF 提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,这就让非内核开发人员也可以对内核进行控制。随着内核的发展,BPF 逐步从最初的数据包过滤扩展到了网络、内核、安全、跟踪等,而且它的功能特性还在快速发展中,这种扩展后的 BPF 被简称为 eBPF
libbpf-bootstrap基础
qq_38232169的博客
01-02 1169
libbpf-bootstrap 源码下载,源码目录介绍,和libbpf的关系,eBPF的生命周期,CO-RE原理,x86-64 平台上的编译
ebpf执行报错no BTF found for kernel
qq_42931917的博客
06-29 879
在该方案中,eBPF 程序一次编译,然后在运行时进行更新(patched):基于运行的机器的内核结构布局更新运行指令。CO-RE依赖BTF是因为BTF提供了BPF程序的类型信息,这对于CO-RE的优化和动态加载非常重要。CO-RE需要使用BTF来检查BPF程序的类型正确性,以及在运行时动态解析BPF程序的符号和类型信息。它可以将BPF程序的字节码和相关的元数据打包成一个可重定位的对象文件,然后在运行时动态加载和共享这个对象文件。这样可以避免重复编译和加载相同的BPF程序,从而提高系统的性能和可维护性。
技术专栏_四两拨千斤 —— Ubuntu kernel eBPF 0day分析.pdf
09-18
在本文档中,我们将深入探讨一个关键的安全议题:Ubuntu内核中的eBPF(Extended Berkeley Packet Filter)0day漏洞分析。这个主题对于理解和应对高级持续性威胁(APT)至关重要,同时也涉及移动安全、安全测试、安全...
高效入门eBPF-西安邮电大学-贺东升1
08-04
总的来说,eBPF是一种灵活且强大的内核扩展技术,它提供了一种安全、高效的方法来在Linux内核中插入用户定义的代码,使得开发者能够深入理解系统行为,优化性能,并实现高级的监控和管理功能。随着Linux内核的不断...
【80页】eBPF学习笔记1
08-03
- **开发阶段**:使用Clang将C代码编译为eBPF object文件。 - **加载阶段**:用户空间加载object文件,经过校验和JIT编译。 - **执行阶段**:挂钩到内核的特定点,如网络事件、系统调用等。 - **数据交换**:...
基于libbpf和c语言的ebpf开发环境,是基于eunomia-bpf模板的项目代码,用于工程化实践.zip
最新发布
03-08
eBPF被广泛用于网络过滤、系统调用追踪、性能分析、安全策略实施等场景。 2. **libbpf**:libbpf是Linux内核提供的一套C语言接口,用于与内核的eBPF子系统交互。它包含了加载、验证、管理eBPF程序的功能,同时也...
毕设&课程作业_基于eBPF收集操作系统信息,并使用时间序列模型进行智能化的异常情况检测.zip
01-31
eBPF是一种内核技术,它允许安全地在Linux内核中执行用户定义的代码,为系统监控、性能分析和网络过滤等提供了强大的工具。以下将详细阐述eBPF的基本概念、在操作系统信息收集中的应用,以及如何结合时间序列模型...
eBPF学习记录(四)使用libbpf开发eBPF程序
jianjian的博客
03-06 6727
上一节,我们使用了bpftrace 开发eBPF程序跟踪内核和用户态的程序,bpftrace 简单易用,非常适合入门,可以带初学者轻松体验 eBPF 的各种跟踪特性。但是,bpftrace 并不适用于所有的 eBPF 应用,它本身的限制导致我们无法在需要复杂 eBPF 程序的场景中使用它。在复杂的应用中,还是推荐使用 BCC 或者 libbpf 进行开发。现在讲一下BCC 的开发,有问题可以看官方文档。 现在我们试试使用BCC开发一个eBPF程序,分以下3个步骤, 使用 C 开发一个 eBPF 程序 使用
BPF类型格式BTF
攻城狮
12-21 2268
@[TOC](BPF) 这是包含BPF(Berkeley Packet Filter)功能的文档,重点放在扩展的BPF版本(eBPF)上。 该内核方面的文档仍在开发中。 (出于历史原因)主要文本文档在Linux套接字过滤(又称为Berkeley数据包过滤器(BPF))中进行了描述。 该文档描述了经典BPF和扩展BPF指令集。 Cilium项目还维护着一个BPF和XDP参考指南,该指南对BPF体系结构有很深的技术深度。 bpf syscall的主要信息可在bpf(2)的手册页中找到。 BPF类型格式(BTF)
浅析从DWARF到BTF @龙蜥社区eBPF SIG
Rethinking the Kernel
12-27 747
DWARF的全称是"Debugging With Attributed Record Formats",遵从GNU FDL授权。DWARF是一种调试文件格式,许多编译器和调试器均使用DWARF来支持源代码级调试。简单来说,DWARF记录了源代码、二进制程序以及它们之间存在的联系。 本文主要从三个方面介绍DWARF: 1. DWARF在elf文件存在哪些段,以及每个段的含义; 2. 采用具体的实例,介绍了.deubg_str所包含的内容; 3. 重点介绍了.debug_info段,其是理解BTF的关键;
编程接口:eBPF 程序是怎么跟内核进行交互的?
weixin_42136255的博客
10-21 451
编程接口:eBPF 程序是怎么跟内核进行交互的?
eBPF简介
SenberHu的博客
05-17 1738
基础概念 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。 eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核中的程序通过共用一个位于内核中map实现通信。为了防止注入的代码导致内核崩溃,eBPF会对注入的代码进行严格检查,拒绝不合格的代码的注
libbpf 开发指南:加载BPF 程序”
阿呆的隐秘角落
07-02 489
做最好的libbpf 教程
eBPF 介绍
SHELLCODE_8BIT的博客
12-31 2381
eBPF 介绍 Tcpdump 是Linux 平台常用的网络数据包抓取及分析工具,tcpdump 主要通过libpcap 实现,而libpcap 就是基于eBPF。 先介绍BPF(Berkeley Packet Filter),BPF 是基于寄存器虚拟机实现的,支持 JIT(Just-In-Time),比基于栈实现的性能高很多。它能载入用户态代码并且在内核环境下运行,内核提供 BPF 相关的接口,用户可以将代码编译成字节码,通过 BPF 接口加载到 BPF 虚拟机中,当然用户代码跑在内核环境中是有风险的
初学XDP/eBPF常用的一些结构体和函数、概念
tunmang5421的博客
09-12 1420
文章目录前言结构体(libbpf中的)xdp_mdstruct bpf_mapstruct bpf_object函数(libbpc中的)bpf_object__find_map_by_namebpf_map__***bpf_map__namebpf_map__fd相关的其他函数/结构体setrlimit/getlimit关于这个资源限制再多说两句 前言 作为自己学XDP、eBPF的一个记录和参考,同时包括对一些概念的理解,后续会陆续补充; 结构体(libbpf中的) 疑问: 为什么linux源码里面有些结
ebpf实现防火墙代码示例
03-28
下面是一个简单的ebpf程序,用于防止从指定IP地址和端口发送的流量: ``` #include #include #include #include struct bpf_map_def SEC("maps") whitelist = { .type = BPF_MAP_TYPE_HASH, .key_size = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值