[eBPF]:特殊过滤

于 2024-04-03 10:04:51 发布
阅读量99 收藏
点赞数 1
文章标签: 运维 linux
原文链接:https://github.com/iovisor/bcc/blob/master/docs/special_filtering.md
版权

特殊过滤

有些工具具有特殊的过滤功能,主要用例是跟踪运行在容器中的进程,但这些机制是通用的,可以在其他情况下也可以使用。

通过cgroups进行过滤

有些工具可以选择通过引用外部管理的固定BPF hash map来进行cgroup过滤。

命令示例:

# ./opensnoop --cgroupmap /sys/fs/bpf/test01
# ./execsnoop --cgroupmap /sys/fs/bpf/test01
# ./tcpconnect --cgroupmap /sys/fs/bpf/test01
# ./tcpaccept --cgroupmap /sys/fs/bpf/test01
# ./tcptracer --cgroupmap /sys/fs/bpf/test01

上面的命令将只显示属于某个cgroup的进程的结果,这些cgroup的id使用bpf_get_current_cgroup_id()获取,并且在固定的BPF hash map中。

BPF hash map可以通过以下方式创建:

# bpftool map create /sys/fs/bpf/test01 type hash key 8 value 8 entries 128 \
        name cgroupset flags 0

要在新的cgroup中创建shell,可以使用:

# systemd-run --pty --unit test bash

shell将运行在 /sys/fs/cgroup/unified/system.slice/test.service目录管理的cgroup中。

可以使用name_to_handle_at()系统调用来获取cgroup id。在examples/cgroupid中,你会找到一个获取cgroupid的程序示例。

# cd examples/cgroupid
# make
# ./cgroupid hex /sys/fs/cgroup/unified/system.slice/test.service

或者使用docker运行:

# cd examples/cgroupid
# docker build -t cgroupid .
# docker run --rm --privileged -v /sys/fs/cgroup:/sys/fs/cgroup \
        cgroupid cgroupid hex /sys/fs/cgroup/unified/system.slice/test.service

这会以主机端序的十六进制字符串形式打印cgroup id,比如 77 16 00 00 01 00 00 00

# FILE=/sys/fs/bpf/test01
# CGROUPID_HEX="77 16 00 00 01 00 00 00"
# bpftool map update pinned $FILE key hex $CGROUPID_HEX value hex 00 00 00 00 00 00 00 00 any

现在systemd-run启动的shell在BPF hash map中有了它的cgroup id, bcc工具将显示这个shell的结果。可以从BPF hash map中添加和删除Cgroups条目,而无需重新启动bcc工具。

这个特性对于在外部项目中集成bcc工具非常有用。

按mount命名空间过滤

BPF hash map可以通过以下方式创建:

# bpftool map create /sys/fs/bpf/mnt_ns_set type hash key 8 value 4 entries 128 \
        name mnt_ns_set flags 0

执行execsnoop工具,只过滤/sys/fs/bpf/mnt_ns_set中的mount命名空间:

# tools/execsnoop.py --mntnsmap /sys/fs/bpf/mnt_ns_set

在新的mount命名空间中启动一个终端:

# unshare -m bash

用上面终端的mount命名空间ID更新hash map:

FILE=/sys/fs/bpf/mnt_ns_set
if [ $(printf '\1' | od -dAn) -eq 1 ]; then
 HOST_ENDIAN_CMD=tac
else
  HOST_ENDIAN_CMD=cat
fi

NS_ID_HEX="$(printf '%016x' $(stat -Lc '%i' /proc/self/ns/mnt) | sed 's/.\{2\}/&\n/g' | $HOST_ENDIAN_CMD)"
bpftool map update pinned $FILE key hex $NS_ID_HEX value hex 00 00 00 00 any

在这个终端中执行命令:

# ping kinvolk.io

你将在execsnoop终端上看到调用是如何被记录的:

# tools/execsnoop.py --mntnsmap /sys/fs/bpf/mnt_ns_set
[sudo] password for mvb:
PCOMM            PID    PPID   RET ARGS
ping             8096   7970     0 /bin/ping kinvolk.io
lcy_Knight
关注
Linux: kernel: eBPF & BCC
mzhan017的博客
04-22 648
reference http://www.brendangregg.com/ kernel cmdline 设置 /kernel/bpf/syscall.c /* RHEL-only: default to 1 */ int sysctl_unprivileged_bpf_disabled __read_mostly = 1; static int __init unprivileged_bpf_setup(char *str) { unsigned long disabled; if (!kstrt
eBPF 禁止容器外进入容器namespace
qq_38684512的博客
02-10 184
eBPF禁止容器外通过exec调用setns进入容器内名称空间
eBPF用于Linux防火墙数据包过滤
热门推荐
Netfilter
11-03 1万+
自基于Netfilter的iptables取代ipchains之后,Linux防火墙技术貌似一直停留在iptables,虽然近年来nftables被宣称有取代iptables之势,但事实上并无起色。 无论是晚期ipchains,还是iptables,或者nftables,其底层基础均是Netfilter,一个精心设计的五点HOOKs框架,在软件意义上,这个设计非常棒,但是涉及到单机性能问题,总是退...
ebpf 网络过滤器实践
qq_32783703的博客
12-18 1043
ebpf 网络过滤器的实践
eBPF理解(三)
08-20 3079
使用例子第一条如:用户态 setsockopt(sock,SOL_SOCKET,SO_ATTACH_BPF,...)绑定BPF到具体的socket上。在网络驱动程序刚收到数据包时触发,无需通过网络协议栈,可用来实现高性能网络处理方案,常用于DDos防御,防火墙,4层负载均衡等场景。类型:BPF_PROG_TYPE_SCHED_CLS 和 BPF_PROG_TYPE_SCHED_ACT。这些类型的BPF程序都可以通过BPF系统调用的BPF_PROG_ATTACH进行挂载。用于过滤,观测或重定向套接字网络包。
五分钟入门 eBPF
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
02-03 435
Gartner 估计,到 2025 年,超过 95% 的数字工作负载将部署在云原生平台上。与此同时,Kubernetes正在成为跨云编排的标准和云原生架构的支柱。在这一转变中,发挥重要作用的技术是eBPF(Berkeley Packet Filter的扩展版本)。1什么是eBPF?操作系统分为用户空间和内核空间,内核是操作系统的核心,它独立于普通的应用程序,可以访问受保护的内存空间,也有访问底层硬...
libtool的使用
大草的博客
04-17 1432
介绍BPFTool的使用
Linux网络和eBPF
RandyLambert的博客
03-23 1992
目录关于本文如何实现分类器和流量控制程序套接字过滤器程序(BPF_PROG_TYPE_SOCKET_FILTER)套接字相关程序功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 关于本文 Linux 现在已经支持了很多种和网络相关的
应用监控 eBPF 版:实现高效协议解析的技术探索
最新发布
阿里云云栖号
02-28 1265
随着 Kuberentes 等云原生技术的飞速发展,带来了研发与运维模式的变革。企业软件架构由单体服务向分布式、微服务演进。随着业务发展,多语言、多框架、多协议的微服务在企业中越来越多,软件架构复杂度越来越高,如何快速通过可观测工具快速定位出问题对研发人员至关重要。
eBPF开发指南
SenberHu的博客
05-17 1392
0x1:技术背景 bpf: BPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classical bpf) EbpfeBPF全称 extended BPF,Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,比如:内核追踪(Kernel Tracing)、应用性能调优/监控、流控(Traffic Control)等;另一
2.2 Android ebpf帮助函数解读(一)
从0到1,突破自己
06-01 622
在开始我们的helloworld之前,我们先了解下内核ebpf子系统为我们提供了哪些能力。这样我们后面编写起来才会游刃有余。
[转载] Docker背后的内核知识——cgroups资源限制
weixin_30802273的博客
04-20 381
原文:http://www.infoq.com/cn/articles/docker-kernel-knowledge-cgroups-resource-isolation 上一篇中,我们了解了Docker背后使用的资源隔离技术namespace,通过系统调用构建一个相对隔离的shell环境,也可以称之为一个简单的“容器”。本文我们则要开始讲解另一个强大的内核工具——cgrou...
2.6 Android ebpf帮助函数解读(五)
从0到1,突破自己
07-08 504
帮助函数的介绍是根据其引入内核的时间来排序介绍的,从前面包括本篇博客的介绍我们可以看到bpf最初的设计就是为网络而生的。
【实现简单的容器】- namespace隔离和cgroup资源限制
风格色的博客
06-06 1934
上一篇 【实现简单的容器】- goalng实现namespace隔离的容器 上一篇文章实现了六种namespace隔离的容器,本文将在这个基础上,使用cgroup给容器增加资源限制(内存和cpu时间片限制)。 golang 实现 package main import ( "bufio" "fmt" "io/ioutil" "os" "os/exec" "path" "strcon...
LWN: 利用eBPF实现的文件系统沙盒
Linux News搬运工
11-15 1025
Filesystem sandboxing with eBPFByJake EdgeNovember 6, 2019OSS EU原文来源:https://lwn.net...
运维人不得不了解的eBPF入门指南,新手建议收藏~
MachineGunJoe666
08-02 1885
eBPF(Extended Berkeley Packet Filter)的核心是驻留在 kernel 的高效虚拟机。最初的目的是高效网络过滤框架,前身是BPF,所以我们先了解下BPF BPF 框架 上图是BPF的位置和框架,需要注意的是kernel和user使用了buffer来传输数据,避免频繁上下文切换。BPF虚拟机非常简洁,由累加器、索引寄存器、存储、隐式程序计数器组成。 示例 接下来我们看一下示例,过滤所有ip报文,可以使用 tcpdump -d ip 查看: (000) ldh [1
基于ebpf统计docker容器网络流量
xyin_kevin的博客
12-10 4919
Linux下统计网络带宽的工具很多,但大部分是按网卡、进程、IP维度进行统计。统计容器维度的网络流量,虽然可在容器的namespace查看,或者由cgroup提供的net_cls做标记再配合iptable统计,但使用起来并不方便,这里介绍一种基于ebpf来统计容器维度网络流量的办法,以及使用时遇到的坑。 原理与实现 ebpf的原理不再介绍了,用来做流量统计,最大的优势是十分灵活,能够根据需求对统计项目进行定制。基本原理就是记录内核中各网络相关函数的参数,再按不同维度,如 cgroupID, 进程,IP地
深入理解 Cilium 的 eBPF 收发包路径
云原生实验室
09-08 2507
Docker 技术鼻祖系列本文翻译自 2019 年 DigitalOcean 的工程师 Nate Sweet 在 KubeCon 的一篇分享: Understanding (and Tr...
张亦鸣: eBPF 简史
Linux阅码场
11-03 6227
本文出处: https://www.ibm.com/developerworks/cn/linux/l-lo-eBPF-history/index.html eBPF现在在Linux的牛逼程度应该是不用多说了,赶紧学习了。 数日之前,笔者参加某一技术会议之时,为人所安利了一款开源项目,演讲者对其性能颇为称道,称其乃基于近年在内核中炙手可热的 eBPF 技术。 对这 eBPF 的名号,笔者略
eBPF:程序员角度的内核执行程序
eBPF不仅可以执行网络数据包过滤,还可以扩展到其他领域,如系统跟踪、安全监控和性能分析等。eBPF通过引入安全策略和虚拟机技术,使得程序的执行更加可靠和安全。 四、eBPF的核心组件和体系结构 eBPF的核心组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值