使用bpftool将eBPF程序attach到某个tracepoint上

最新推荐文章于 2024-06-20 14:28:19 发布
最新推荐文章于 2024-06-20 14:28:19 发布
阅读量237 收藏
点赞数 3
分类专栏: eBPF 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shalom373/article/details/137292308
版权

代码 

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>

/// @description "Process ID to trace"
const volatile int pid_target = 0;

SEC("tracepoint/syscalls/sys_enter_openat")
int tracepoint__syscalls__sys_enter_openat(struct trace_event_raw_sys_enter* ctx)
{
 u64 id = bpf_get_current_pid_tgid();
 u32 pid = id;

 if (pid_target && pid_target != pid)
  return false;
 // Use bpf_printk to print the process information
 bpf_printk("Process ID: %d enter sys openat\n", pid);
 return 0;
}

/// "Trace open family syscalls."
TARGETS = ps_open_file

all: $(TARGETS)
.PHONY: all

$(TARGETS): %: %.bpf.o

%.bpf.o: %.bpf.c
        clang \
            -target bpf \
                -I/usr/include/$(shell uname -m)-linux-gnu \
                -g \
            -O2 -o $@ -c $<

clean: 
        - rm *.bpf.o
        - rm -f /sys/fs/bpf/ps_open_file

命令行

make
sudo bpftool prog load ps_open_file.bpf.o /sys/fs/bpf/ps_open_file autoattach
sudo bpftool prog  tracelog | grep bpf_trace_printk

卡尔西法的眼睛
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android上使用BPF工具获取内核信息
11-02
"Android上使用BPF工具获取内核信息" 在Android系统中,BPF(Berkeley Packet Filter)是一种强大的性能监控工具,能够监控系统的各个方面,包括应用程序、虚拟机、系统库、文件系统、网络调用、CPU调度器、内存...
tracepoint_lttng使用详解
03-23
tracepoint_lttng使用详解,主要是对函数耗时进行定性的统计,对性能优化方案有着举足轻重的效果!LTTng 是一个 Linux 平台开源的跟踪工具,是一套软件组件,可允许跟踪 Linux 内核和用户程序,并控制跟踪会话(开始/...
Linux eBPF 程序构成与通信原理
RToax
04-11 616
作者简介:Daemon.Wu, Linux 内核性能优化工程师,就职于某微小手机厂从事手机性能优化。座右铭:知行合一。 原创雄文:由泰晓读者投递的各类社区原创好文。 版权声明:本文最先发表于“泰晓科技” 微信公众号,欢迎转载,转载时请在文章的开头保留本声明。 1前言 eBPFLinux 内核中将 C 代码编译成 BPF 字节码,挂在kprobe/tracepoint等 hook 上,当hook触发时,Linux 内核运行字节码来追踪性能。 2eBPF 框架 《...
eBPF 之 ProgramType、AttachType和InputContext
风神韵
02-17 1107
本文列举了eBPF中 ProgramType、AttachType和 InputContext 的定义,以及三者之前的关系。因为这些定义都会随着Linux版本变化,因此本文对每个定义都标明了在Linux源码中的出处,在实际开发过程中可以根据自身内核版本来找对应的定义。
运维人不得不了解的eBPF入门指南,新手建议收藏~
MachineGunJoe666
08-02 1701
eBPF(Extended Berkeley Packet Filter)的核心是驻留在 kernel 的高效虚拟机。最初的目的是高效网络过滤框架,前身是BPF,所以我们先了解下BPF BPF 框架 上图是BPF的位置和框架,需要注意的是kernel和user使用了buffer来传输数据,避免频繁上下文切换。BPF虚拟机非常简洁,由累加器、索引寄存器、存储、隐式程序计数器组成。 示例 接下来我们看一下示例,过滤所有ip报文,可以使用 tcpdump -d ip 查看: (000) ldh [1
eBPF学习笔记(二)—— eBPF开发工具
qq_41988448的博客
11-14 2427
本篇记录对bpftrace、BCC、libbpfeBPF常用开发工具的基本使用
ebpf原理分析
hjkfcz的博客
03-17 1万+
ebpf原理解析
eBPF介绍
热门推荐
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
eBPF学习记录(四)使用libbpf开发eBPF程序
jianjian的博客
03-06 6602
上一节,我们使用bpftrace 开发eBPF程序跟踪内核和用户态的程序bpftrace 简单易用,非常适合入门,可以带初学者轻松体验 eBPF 的各种跟踪特性。但是,bpftrace 并不适用于所有的 eBPF 应用,它本身的限制导致我们无法在需要复杂 eBPF 程序的场景中使用它。在复杂的应用中,还是推荐使用 BCC 或者 libbpf 进行开发。现在讲一下BCC 的开发,有问题可以看官方文档。 现在我们试试使用BCC开发一个eBPF程序,分以下3个步骤, 使用 C 开发一个 eBPF 程序 使用
第一次使用Linux内核的Tracepoint的体验
Netfilter
01-01 6110
我并不觉得丢人,一点也不。 我是说我工作这么多年做和Linux内核相关的事,竟然在上上周才第一次使用tracepoint。 这并不奇怪,我不会的东西还多着呢,比方说,我一直强调的,我不会编程,我也不会用git。 言归正传,如果这么多年我都没用过tracepoint,那么作为替代,我用什么呢? 如果我调试内核或者调试内核模块,最最最常用的方法就是在代码里加一条printk(如果是用户态程序,我就加一条printf。),我来告诉你理由: printk/printf 不需要安装任何别的依赖包。 printk/p
eBPF学习笔记(一)—— eBPF介绍&内核编译
qq_41988448的博客
11-11 3060
本篇将介绍eBPF技术,以及如何编译高版本Linux内核源码中的eBPF示例代码并用其编写自定义例程。
tracepoint源码示例
08-07
在驱动文件中增加tracepoint相关内容,分析tracepoint在实际项目中的用法。
bpftraceLinux eBPF的高级跟踪语言
02-18
bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和...
【80页】eBPF学习笔记1
08-03
- **解耦网络子系统**:eBPF程序可挂接到Kprobe、Tracepoint等,不仅限于网络处理。 - **Maps**:键值存储结构,用于不同eBPF程序间的状态共享。 - **助手函数**:提供如封包改写、Checksum计算等功能。 - **尾...
qemu 安装ubuntu22.04虚拟机 -纯命令行-可ssh-带网络-编译安装 linux kernel-编译安装 kernel module
最新发布
eloudy的专栏
06-20 894
注意需要 liver-server。
Linux-Https协议
fengjunziya的博客
06-15 740
之前我们学习了Http协议,也试着做了一个HttpServer。所以对于Http我们也有了一个比较清晰的认识。• 数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash函数)对信息进行运算,生成一串固定长度的数字摘要。数字指纹并不是一种加密机制,但可以用来判断数据有没有被篡改。• 摘要常见算法:有MD5、SHA1、SHA256、SHA512等,算法把无限的映射成有限,因此可能会有碰撞(两个不同的信息,算出的摘要相同,但是概率非常低)。
Linux中文件查找相关命令比较
lurenyi168的专栏
06-16 401
Linux中与文件定位的命令有find、locate、whereis、which,type。
ebpf 在网络安全领域的应用前景如何
06-01
eBPF 在网络安全领域中的应用前景非常广阔。下面我将介绍一些 eBPF 在网络安全领域的应用场景: 1. 网络流量分析:eBPF 可以用于实时分析网络流量,从而检测恶意流量、DDoS 攻击、端口扫描等威胁。eBPF 可以通过 Socket Filter 和 XDP 等机制来拦截网络数据包,并使用 eBPF Map 存储统计信息和过滤规则。eBPF 还可以与流量分类器(例如 nDPI)和威胁情报共同使用,从而提高网络安全的威胁检测和响应能力。 2. 容器安全:eBPF 可以用于实时监控容器的行为,从而检测容器逃逸、恶意进程、文件篡改等威胁。eBPF 可以通过 Kprobe 和 Tracepoint 等机制来监控容器的系统调用和文件访问,从而观察容器的行为。eBPF 还可以与容器安全解决方案(例如 Sysdig)共同使用,从而提高容器的安全性和可观察性。 3. 内核安全:eBPF 可以用于保护内核免受内存漏洞、代码注入、提权等攻击。eBPF 可以通过 Kprobe 和 Tracepoint 等机制来监控内核函数的调用和参数,从而检测异常行为。eBPF 还可以与内核安全解决方案(例如 Landlock)共同使用,从而提高内核的安全性和可信度。 总之,eBPF 在网络安全领域中有很多应用场景,其中一些已经得到了广泛的应用和验证。随着技术的不断发展,预计 eBPF 在网络安全领域中的应用前景将会更加广阔和重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值