eBPF编写避坑指南

最新推荐文章于 2023-05-20 11:53:39 发布
最新推荐文章于 2023-05-20 11:53:39 发布
阅读量640 收藏
点赞数
文章标签: centos linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SenberHu/article/details/124824114
版权
本文介绍了eBPF的基本概念,包括如何确认tracepoint的函数参数;强调了注意事项,如内存对齐和避免编译器填充,使用LLVM内置函数进行内存操作,以及指针操作后的声明;列举了常见的报错及其解决方法,如处理负值、内存访问、栈空间限制、未初始化的寄存器等问题。
摘要由CSDN通过智能技术生成

0x1:基本概念

  1. 当使用tracepoint的时候,函数参数如何确认?

cat /sys/kernel/debug/tracing/events/syscalls/xxx/format. xxx为要跟踪的函数,在这里有函数参数定义。

0x2:注意事项

  1. 写结构体的时候一定要注意内存对齐,防止被编译器优化填充。

  2. 使用 LLVM 内置的函数做内存操作

#ifndef memset
# define memset(dest, chr, n)   __builtin_memset((dest), (chr), (n))
#endif

#ifndef memcpy
# define memcpy(dest, src, n)   __builtin_memcpy((dest), (src), (n))
#endif

#ifndef memmove
# define memmove(dest, src, n)  __builtin_memmove((dest), (src), (n))
#endif
  1. 指针被操作过后,就得再次声明,不然会被禁止访问
struct iphdr *ip4 = (struct iphdr *) skb->data + ETH_HLEN; //第一次赋值

skb_store_bytes(skb, l3_off + offsetof(struct iphdr, saddr), &new_saddr, 4, 0); //skb被操作了 因此ip4的值不可信,此时如果操作ip4会被拒绝

ip4 = (struct iphdr *) skb->data + ETH
最低0.47元/天 解锁文章
SenberHu
关注
借助 ChatGPT 编写的 libbpf eBPF 工具开发实践教程: 通过例子学习 eBPF
云微的blog
12-06 2539
这是一个基于 (一次编译,到处运行)的 的 eBPF 的开发教程,提供了从入门到进阶的 eBPF 开发实践指南,包括基本概念、代码实例、实际应用等内容。我们主要提供了一些 eBPF 工具的案例,帮助开发者学习 eBPF 的开发方法和技巧。教程内容可以在目录中找到,每个目录都是一个独立的 eBPF 工具案例。在学习 eBPF 的过程中,我们受到了 tutorial_bcc_python_developer 的许多启发和帮助,但从 2022 年的角度出发,使用 libbpf 开发 eBPF 的应用是目前相对更
eBPF 入门之编程
RToax
09-12 1467
eBPF 入门之编程 • Feiskyhttps://feisky.xyz/posts/2021-01-29-ebpf-program/ 目录 BCC libbpf-bootstrap 内核源码 小结 eBPF 提供了强大的跟踪、探测以及高效内核网络等功能,但由于其接口处于操作系统底层,新手入门起来还是有很大难度,特别是如何编写 eBPF 程序是入门的一大难点。本文将介绍一些常用的 eBPF 编程框架。 BCC 上篇文章介绍的 BCC 其实就提供了对 eBPF 的封装,前端提供 Python
eBPF动手实践系列一:解构内核源码eBPF样例编译过程
科技很有意思
04-17 662
基于4.18内核的基于内核源码的原生编译方式介绍,开发符合自己业务需求的高性能的ebpf程序。
eBPF学习笔记(一)—— eBPF介绍&内核编译
qq_41988448的博客
11-11 3685
本篇将介绍eBPF技术,以及如何编译高版本Linux内核源码中的eBPF示例代码并用其编写自定义例程。
如何使用c语言开发ebpf程序
qq_32783703的博客
10-28 1557
最近开始陆续负责ebpf相关的项目,于是对ebpf相关知识内容进行复习。ebpf的优势是避免了痛苦的kernel开发工作,如果没有ebpf之前,我们如果想做内核可视化,必须要开发kernel的驱动,但是如果我们有了ebpf,开发的程序就可以很好的和kernel隔离开,避免了kernel的崩坏。开发ebpf程序你需要掌握哪些知识1、linux 内核相关的知识2、掌握常用的ebpf 工具3、熟悉libbpf4、有一定c语言开发功底。
eBPF开发文档
qq_43472789的博客
03-17 563
这是一个简单的eBPF程序开发指南,其中包含了编写、编译、加载、调试eBPF程序的一般流程和方法。
eBPF开发指南
SenberHu的博客
05-17 1384
0x1:技术背景 bpf: BPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classical bpf) EbpfeBPF全称 extended BPF,Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,比如:内核追踪(Kernel Tracing)、应用性能调优/监控、流控(Traffic Control)等;另一
高效入门eBPF-西安邮电大学-贺东升1
08-04
BPF虚拟机会执行预先编写的过滤程序,这些程序通常由用户通过setsockopt系统调用注入。早期的BPF实现包含一个简单的处理器模拟,由累加器、索引寄存器、小块内存和程序计数器组成。而在eBPF中,这一架构得到了显著...
注释和指南:我编写的注释和指南主要是从GFLClan.com导入的
02-17
这些资料主要涵盖的是关于Linux系统安全、网络、Debian与Ubuntu操作系统、DPDK(Data Plane Development Kit)、网络强化、eBPF(Extended Berkeley Packet Filter)和Anycast等相关主题的笔记和指南。以下是对这些...
eBPF摸着石头过河之一行代码8个报错
最新发布
libocdf的专栏
05-20 1049
最近在进行eBPF的学习,学习过程中难免一步一个深渊,为了给大家一些排错参考,留下点笔记,权当抛砖引玉。 本文可能根据情况适时更新。 如果你也遇到一些棘手问题欢迎一块交流。 个人开发系统为Ubuntu22.04,内核版本Linux 5.15。 文章中不只是给出解决办法(没有解决办法的会给出原因)包含报错信息、报错现场代码以及分析和解决过程。 因为大家代码不同,给出这些信息时希望朋友们在遇到相似报错的情况下,能有自己解决问题的能力或者提供一个解决思路。网上很多文章在解决代码报错时都是只给出解决方法,
eBPF verifier
RToax
05-28 524
eBPF verifier — The Linux Kernel documentation Check if a digraph is a DAG (Directed Acyclic Graph 有向无环图) or not_rtoax的博客-CSDN博客 eBPF verifier The safety of the eBPF program is determined in two steps. First step does DAG check to disallow loops and
eBPF verifier常见错误整理 @龙蜥社区eBPF SIG
Rethinking the Kernel
12-10 4548
本文梳理了一些常见的 eBPF verifier 报错,避免更多的人走弯路,写出能成功加载的 eBPF 程序。同时,本文通过讲解 eBPF verifier 检查原理及给出示例程序,来分析为什么 eBPF verifier 会报错,使读者能够知其然知其所以然,达到融会贯通。
【踩坑】关于在eBPF程序中构建长字符串并进行修改
weixin_43144516的博客
03-03 2014
场景: 在eBPF程序中一般难以声明很长的数组,如 char str[512]; 当在程序里这样做的时候很容易爆栈,错误提示类似 error: <unknown>:0:0: in function bpf_openat_parser i32 (%struct.bpf_raw_tracepoint_args*): Looks like the BPF stack limit of 512 bytes is exceeded. Please move large on stack variable
bpf-helpers(7) — Linux manual page
RToax
08-12 1357
https://man7.org/linux/man-pages/man7/bpf-helpers.7.html BPF-HELPERS(7) BPF-HELPERS(7) NAME top BPF-HELPERS - list of eBPF helper functions DESCRIPTION top The extended Berk...
运维人不得不了解的eBPF入门指南,新手建议收藏~
MachineGunJoe666
08-02 1859
eBPF(Extended Berkeley Packet Filter)的核心是驻留在 kernel 的高效虚拟机。最初的目的是高效网络过滤框架,前身是BPF,所以我们先了解下BPF BPF 框架 上图是BPF的位置和框架,需要注意的是kernel和user使用了buffer来传输数据,避免频繁上下文切换。BPF虚拟机非常简洁,由累加器、索引寄存器、存储、隐式程序计数器组成。 示例 接下来我们看一下示例,过滤所有ip报文,可以使用 tcpdump -d ip 查看: (000) ldh [1
Centos7 eBPF开发环境搭建
yilun的专栏
09-08 2972
CentoseBPF开发环境搭建
Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document)
pwl999的博客
09-07 5267
关于bpf最早是应用于network的filter,后续才被应用到trace,所以kernel中关于bpf的文档是”Documentation/networking/filter.txt”。 参考原文:Linux Socket Filtering aka Berkeley Packet Filter (BPF) 1、简介: LSF(Linux Socket Filtering)是从BPF...
eBPF编程指北
Go中国
05-17 1396
—1—开发环境这里以 Ubuntu 20.04 为例构建 eBPF 开发环境:$uname-a LinuxVM-1-3-ubuntu5.4.0-42-generic#46-UbuntuSMPFriJul1000:24:02UTC2020x86_64x86_64x86_64GNU/Linux $sudoaptinstallbuil...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值