透视Linux内核 神奇的BPF三

最新推荐文章于 2024-09-08 16:25:03 发布
最新推荐文章于 2024-09-08 16:25:03 发布
阅读量954 收藏
点赞数 1
文章标签: 内核 linux python java c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mseaspring/article/details/123321004
版权
本文介绍了如何利用bpftrace工具便捷地查询内核跟踪点和参数,以及如何编写bpftrace脚本来追踪系统调用,如fork和clone。通过示例展示了如何监控新进程创建,并根据进程名称自动杀掉疑似木马进程,从而在不熟悉内核的情况下快速定位和解决性能问题。
摘要由CSDN通过智能技术生成

一 前言

前面介绍了利用BCC 写eBPF的代码,虽然可以利用python加载,说实话,写起来并不容易,程序本身难度不大,难度在什么地方那,我们利用eBPF的时候更多的时候是在想看看内核到底在干嘛,为什么这么慢的问题,我们就需要对需要监控的程序进行追踪了解到系统调用的位置,然后通过静态的内核插桩和动态内核插桩,跟踪点等 去检测是否存在性能问题。但是如果不是对内核很了解,很难知道我们应该动态追踪哪些内核函数,这些函数又有怎么样的参数,还有如果我只想简单的做个测试,有没有简单点的方法,比如一句话命令等,这就是本文要解决的问题。

二 查询可跟踪的跟踪点和相关参数

对于内核静态插桩和跟踪点的查询非常重要,我们只有知道了跟踪点,结合我们需要实现的功能,才可以写BPF程序,有两种方法可以查看:

2.1 通过内核符号表查询

为了方便调试内核,内核开发者把内核中所有函数和非栈变量抽出来,当然不是所有的函数都可以追踪,只有被显示导出的函数才可以被内核kprobe追踪:

# 查看所有内核符号
cat /proc/kallsyms 
# 如果不存在则这样挂载后查看
sudo mount -t debugfs debugfs /sys/kernel/debug
# 可追踪的函数
cat /sys/kernel/debug/tracing/available_filter_functions |wc -l
50627

函数的参数的查看:

[root@localhost ~]# cat /sys/kernel/debug/tracing/events/syscalls/sys_enter_execve/format
name: sys_enter_execve
ID: 718
format:
 field:unsigned short common_type; offset:0; size:2; signed:0;
 field:unsigned char common_flags; offset:2; size:1; signed:0;
 field:unsigned char common_preempt_count; offset:3; size:1; signed:0;
 field:int common_pid; offset:4; size:4; signed:1;

 field:int __syscall_nr; offset:8; size:4; signed:1;
 field:const char * filename; offset:16; size:8; signed:0;
 field:const char *const * argv; offset:24; size:8; signed:0;
 field:const char *const * envp; offset:32; size:8; signed:0;
print fmt: "filename: 0x%08lx, argv: 0x%08lx, envp: 0x%08lx", ((unsigned long)(REC->filename)), ((unsigned long)(REC->argv)), ((unsigned long)(REC->envp))

2.2 利用bpftrace查看

bpftrace 是基于BCC和BPF的开源跟踪器,它比基于BCC开发的BPF程序程序更简单,有自己的一组语法规则,类似于awk,使用起来很方便,只是功能上没有BCC强大。

原理如下图:630ad569387786d527a275e4316e9b18.png

它利用clang ,bcc等工具,将简单的bpftrace程序加载到内核中执行,并通过映射来获取结果。安装比较简单(内核版本要求在4.9以上):

#ubuntu
sudo apt-get update
sudo apt-get bpftrace

#centos
yum install dnf
dnf install -y bpftrace

那具体利用bpftrace如何查询那,通过-l和-lv命令可以轻松查询插桩信息跟踪点信息:

# 查看所有插桩和追踪点等信息
[root@localhost ~]# bpftrace -l|wc -l
51009
# 查看参数和返回值,通过-v参数,注意可以使用通配符* 做匹配
# sys_enter_vfork 是
[root@localhost ~]# bpftrace -lv "tracepoint:syscalls:*vfork"
tracepoint:syscalls:sys_enter_vfork
    int __syscall_nr
tracepoint:syscalls:sys_exit_vfork
    int __syscall_nr
    long ret

sys_enter_vfork 即系统调用fork的时候入参为系统调用号,返回sys_exit_vfork 时候可用的两个参数为系统调用号和返回值。

三 利用bpftrace 开发点实用东西

3.1 系统新创建的进程,进程创建使用了哪些参数

这个使用场景很多,比如我们在清理木马的时候,发现明明删除了文件,却进程还是再被不断的拉起,我需要知道这个木马进程是哪个父进程启动的。一般情况下,是通过fork一个进程,然后调用execv等一系列函数来创建的,那么我们先从fork开始分析:

[root@localhost ~]# bpftrace -lv "tracepoint:syscalls:*fork"
tracepoint:syscalls:sys_enter_fork
    int __syscall_nr
tracepoint:syscalls:sys_enter_vfork
    int __syscall_nr
tracepoint:syscalls:sys_exit_fork
    int __syscall_nr
    long ret
tracepoint:syscalls:sys_exit_vfork
    int __syscall_nr
    long ret

fork()子进程拷贝父进程的数据段和代码段,这里通过拷贝页表实现。vfork()子进程与父进程共享地址空间,无需拷贝页表,效率更高。fork()父子进程的执行次序不确定。vfork()保证子进程先运行,在调用 exec 或 exit 之前与父进程数据是共享的。父进程在子进程调用 exec 或 exit 之后才可能被调度运行,如果在调用这两个函数之前子进程依赖于父进程的进一步动作,则会导致死锁

分析好追踪点和参数就可以开始写了:

bpftrace -e 'tracepoint:syscalls:sys_enter_fork { printf("->fork by %s PID :%d,\n",comm,pid);}'

本来我想追踪fork的,为此我还写了c代码:

#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>

void fork_one() {
 if (fork() == 0) {
    printf("hello from child,pid:%d ppid:%d\n", getpid(),getppid());
 }
 else {
           printf("My is parent  pid:%d ppid:%d.\n",getpid(),getppid());
 }
}

int main(void)
{
 fork_one();
 return 0;
}

运行发现,并没有追踪到,于是我通过strace 去看下编译后的执行文件的系统调用,发现其实调用的是clone,fork是进程资源全部复制,vfork是共享内存,clone是有选择的复制,改下代码:

#在一个终端执行:
[root@localhost testc]# ./a.out 
My is parent  pid:6551 ppid:5823.
hello from child,pid:6552 ppid:6551

#另一个shell先执行bpftrace
[root@localhost ~]# bpftrace -e 'tracepoint:syscalls:sys_enter_clone { printf("--------\n[%s-%d]->clone\n",comm,pid);} tracepoint:syscalls:sys_exit_clone { printf("[%s-%d]->clone: ret:%d\n\n", comm,pid,args->ret);}'
Attaching 2 probes...

--------
[bash-5823]->clone
[bash-5823]->clone: ret:6551

[bash-6551]->clone: ret:0

--------
[a.out-6551]->clone
[a.out-6551]->clone: ret:6552

[a.out-6552]->clone: ret:0

我们执行./a.out的时候,先通过shell 创建a.out程序,进程id对的上,每次fork都返回两次,一次是返回子进程的id(对于父进程来说),一个是返回0(对子进程来说)。

我们在进一步完善下:

[root@localhost ~]#  bpftrace -e 'tracepoint:syscalls:sys_enter_clone {printf("\n"); printf("time:"); time(); printf("--------\nusername:%s userid:%d\n[%s-%d]->clone\n",username,uid, comm,pid);} tracepoint:syscalls:sys_exit_clone { printf("[%s-%d]->clone: ret:%d \n", comm,pid,args->ret);}'
Attaching 2 probes...

time:23:22:24
--------
username:root userid:0
[bash-5823]->clone
[bash-5823]->clone: ret:6599 
[bash-6599]->clone: ret:0 

time:23:22:24
--------
username:root userid:0
[a.out-6599]->clone
[a.out-6599]->clone: ret:6600 
[a.out-6600]->clone: ret:0

有点意思了,那我们能不能根据进程名判断是否是木马进程,木马进程名一般比较奇怪,作为一个特征可以去处理,当然也可以判断下父进程的特定,判断如果进程是木马进程,则把进程kill掉,这样就算中了木马,也没多大危害了,因为它根本无法启动了,:)。

那首先我们改造下测试程序,子进程处于等待状态直到后台kill掉。

#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/wait.h>

void fork_one(char *argv[]) {
        pid_t pid;
        if ( (pid= fork()) <0) {
             printf("fork error\n");
        }
        else if ( pid  == 0) {
                   printf("hello from child,pid:%d ppid:%d\n", getpid(),getppid());
                   // strcpy(argv[0],"a12345");
                   while(1) {
                     sleep(10);
                   }
        }
        else {
                  printf("My is parent  pid:%d ppid:%d.\n",getpid(),getppid());
                  printf("start to wait pid:%d",pid);
                  if (waitpid(pid,NULL,0)!= pid) {
                      printf("waitid pid:%d error.\n",pid);
                  }
        }
}

int main(int argc, char * argv[])
{
        fork_one(argv);
        return 0;
}

我们的bpftrace代码有点长了,那还是建个文件比较好,内容设置如下:

#!/usr/bin/bpftrace  --unsafe
BEGIN 
{
  printf("watch create process....\n");
}

tracepoint:syscalls:sys_enter_clone 
{
    printf("\n"); 
    printf("time:"); time(); 
    printf("--------\nusername:%s userid:%d\n[%s-%d]->clone\n",username,uid, comm,pid);
} 


tracepoint:syscalls:sys_exit_clone 
{ 
    printf("[%s-%d]->clone: ret:%d \n", comm,pid,args->ret);
    if (comm == str($1) ) {
          system("kill -9 %d",pid );
          printf("kill pid:%d",pid);
    }
}

测试下:

[root@localhost bpfstest]# ./kill.bt a.out
Attaching 3 probes...
watch create process....

time:00:13:59
--------
username:root userid:0
[bash-5823]->clone
[bash-5823]->clone: ret:8649 
[bash-8649]->clone: ret:0 

time:00:13:59
--------
username:root userid:0
[a.out-8649]->clone
[a.out-8649]->clone: ret:8650 
kill pid:8649[a.out-8650]->clone: ret:0 
kill pid:8650
time:00:13:59
--------
username:root userid:0
[kill.bt-8647]->clone
[kill.bt-8647]->clone: ret:8651 
[kill.bt-8651]->clone: ret:0 

time:00:13:59
--------
username:root userid:0
[kill.bt-8647]->clone
[kill.bt-8647]->clone: ret:8652 
[kill.bt-8652]->clone: ret:0

执行:

[root@localhost testc]# ./a.out
My is parent  pid:8649 ppid:5823.
hello from child,pid:8650 ppid:8649
已杀死

很棒,这个“木马” 被杀了,其他应用回头再聊。

mseaspring
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
解析Linux内核
学无止境
10-04 403
Linux 内核剖析Linux 内核简介Linux 内核的属性Linux 内核的主要子系统系统调用接口进程管理内存管理虚拟文件系统网络堆栈设备驱动程序依赖体系结构的代码Linux 内核的一些有用特性 Linux 内核简介 我们从一个比较高的高度来审视一下 GNU/Linux 操作系统的体系结构。您可以从两个层次上来考虑操作系统,如图 2 所示。 图 2. GNU/Linux 操作系统的基本体系结构...
Linux-Observability-with-BPF.pdf
04-23
Linux-Observability-with-BPF.pdf
Linux超能力BPF技术介绍及学习分享
Docker的专栏
09-15 5123
近两年BPF技术跃然成为了一项热门技术,在刚刚结束的KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关...
Linux 内核观测技术 BPF 速读笔记
xc790的专栏
10-15 653
读书笔记
Linux网络编程:原始套接字--包过滤器BPF
jin787730090的博客
06-17 3152
目录参考文章一、BPF介绍二、BPF的结构BPF Socket 实例BPF Code 生成方法 参考文章 linux网络和BPF linux 下的 包过滤器 BPF Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document) 一、BPF介绍 BPF(Berkeley Packet Filter)伯克利包过滤器。 BPF允许用户空间程序将一个过滤(filter)附加到任何的套接字(socket)上面用来允许或不允许某些类型的数据通过
LINUX内核技术手册2.pdf
05-22
LINUX内核技术手册2.pdf
网络流量的透视镜:精通iftop在Linux中的使用
07-11
它遵循自由软件和开源开发的原则,任何人都可以自由地使用、修改和分发Linux内核Linux内核是操作系统的核心部分,负责管理系统资源,如任务调度、文件系统、设备驱动程序、内存管理等。 Linux的主要特点包括: 1...
D3D透视打包源码成品DLL
04-29
《D3D透视打包源码成品DLL:深入解析3D透视技术与易语言的应用》 在计算机图形学领域,3D透视技术是构建逼真视觉效果的关键所在。它模拟了人类眼睛观察维世界的方式,使得在二维屏幕上呈现出的图像具有深度感。D3...
透视Debian GNU/Linux.pdf
09-07
透视Debian GNU/Linux》这本书深入探讨了Debian GNU/Linux操作系统,这是一款在全球范围内深受开发者和高级用户喜爱的Linux发行版。Debian以其开源、免费和社区驱动的特点,吸引了大量忠实用户。它并非由商业实体...
linux-bpf-learning:了解如何使用BPFeBPF
05-06
学习Linux BPF/eBPF 编程 打造学习BPF知识的中文社区。学习计划如下: 相关博文参考 中文版: 实验环境准备 Linux操作系统,推荐使用最新稳定内核版本. 本人自己的实验环境是Ubuntu 18.04标准版vagrant虚拟机,内核版本为4.15.0。可以从这里下载该vagrant虚拟机环境,已安装bcc工具集合: 下载链接: 提取码: qvhc。 使用方式可以参考。 以下命令如无特殊说明,均在Ubuntu环境下测试执行。 预装clang、LLVM、iproute2、libelf-dev # for ubuntu apt install clang llvm libelf-dev iproute2 # test clang clang -v # test llvm llc --version # test iproute2 ip link bpftool命令行安装说明 下
Advanced_BPF_Kernel_Features_for_the_Container_Age_FOSDEM.pdf
02-25
cilium 的 ebpf 特性
BPF-Performance-Tools-by-Brendan-Gregg.pdf
01-13
BPF-Performance-Tools-by-Brendan-Gregg
Linux BPF hello world C语言示例代码
RToax
04-20 809
摘自《BPF之巅:洞悉Linux系统性能》 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <errno.h> #include <unistd.h> #include <linux/version.h> #include <bpf/bpf.h> #include <bcc/libbpf.h> #define DEBUGFS
Linux:为什么性能工具需要 BPF 技术
博文视点(北京)官方博客
01-22 640
了解更多BPF技术内幕,推荐阅读《BPF之巅:洞悉Linux系统和应用性能》一书。 ▼ BPF是近年来Linux 系统技术领域一个巨大的创新。作为 Linux 内核的一个关键发展节点,其重要程度不亚于虚拟化、容器、SDN 等技术。 ▼BPF 的工作方式十分有趣 : 最终用户使用 BPF 虚拟机的指令集(也称 BPF 字节码)定义过滤器表达式,然后传递给内核,由解释器执行。这使得包过滤可以在内核中直接进行,避免了向用户态进程复制每个数据包,从而提升了数据包过滤的性能,tcpdump(8) 就...
mount -l | grep bpf
喝醉酒的小白
06-03 1095
综上所述,基于VXLAN的覆盖网络是Cilium默认的组网方式,通过BGP路由来实现Pod的组网和互联。通过BGP路由,Cilium能够动态地学习和更新Pod的网络信息,并确保网络中的所有节点都具有最新的路由信息。随着时间的推移,BPF被引入到Linux内核中,成为一个功能强大的机制,可以在内核中加载和执行用户定义的程序。通过profiling和tracing,开发人员可以获得有关Linux内核网络性能和行为的详细信息,以便识别和解决性能瓶颈、优化网络资源的使用,并改善网络性能和可靠性。
XDP类型的BPF程序
魏言华的博客
10-11 1236
经过上一节的内容,bpf程序和map已经加载到内核当中了。什么时候bpf程序才能发挥它的作用呢? 这就需要bpf的应用系统把其挂载到适当的钩子上,当钩子所在点的路径被执行,钩子被触发,BPF程序得以执行。 目前应用bpf的子系统分为两大类: tracing:kprobe、tracepoint、perf_event filter:sk_filter、sched_cls、sched_act、xdp、cg_skb 接下来分析XDP类型的bpf程序的绑定和触发过程 1.Loading via iprou..
首本深入讲解Linux内核观测技术BPF的书上市!
华章IT官方博客
08-15 1505
新书速递导读:BPF通过一种软件定义的方式,将内核的行为和数据暴露给用户空间,开发者可以通过在用户空间编写BPF程序,加载到内核空间执行,进而实现对内核行为的灵活管理和控制。在计算机系统...
mount 网络_Kubernetes网络 — Cilium eBPF模式
weixin_32900811的博客
01-12 1094
Cilium 是一个基于eBPF和XDP的高性能容器网络方案,是Kubernetes第一个基于BPF的CNI,支持 L3/L4/L7 安全策略,支持层平面网络(如Overlay,VXLAN和Geneve等),提供基于BPF的负载均衡,提供便利的监控和排错能力,为大规模集群环境而设计。Cilium的卖点并不是eBPF,相对于固化的iptables或ipvs而言,Cillium真正的卖点是...
Linux 进程控制
最新发布
2302_77289177的博客
09-08 1097
Linux 进程控制
WebSphereStudio透视图与Linux应用开发加速
"本文主要介绍了WebSphere Studio中的透视图概念及其在Linux应用开发中的作用,特别是在Web应用程序开发、J2EE开发以及调试等任务中的使用。透视图允许开发者根据当前任务定制界面,显示必要的资源视图。文章还提到...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值