bpf对内核的观测

最新推荐文章于 2024-07-16 12:57:18 发布
最新推荐文章于 2024-07-16 12:57:18 发布
阅读量638 收藏 1
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq43645149/article/details/133946248
版权

目录

bpftrace 总的来说是对线上项目的系统调用的函数的观测,因为这时已经不能往函数里面加log了。
相关的开源项目 https://github.com/iovisor/bpftrace

1 bpftrace常用命令

1.1 列出bpftrace 相关命令的list

bpftrace -l

$ sudo bpftrace -l | grep accept
tracepoint:syscalls:sys_enter_accept4
tracepoint:syscalls:sys_exit_accept4
tracepoint:syscalls:sys_enter_accept
tracepoint:syscalls:sys_exit_accept
kprobe:bpf_lsm_socket_accept
kprobe:vfs_dentry_acceptable
kprobe:find_acceptable_alias
kprobe:security_socket_accept
kprobe:selinux_socket_accept
kprobe:apparmor_socket_accept

1. 2bpftrace -e 是执行

使用命令

# bpftrace -e 'BEGIN { printf("hello n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_accept { printf("accept\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_accept4 { printf("accept4\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_connect { printf("connect\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_read { printf("read\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_write { printf("write\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_close { printf("close\n"); }'

1.3 查看参数 -lv

$ sudo bpftrace -lv 'tracepoint:syscalls:sys_enter_write'
tracepoint:syscalls:sys_enter_write
    int __syscall_nr;
    unsigned int fd;
    const char * buf;
    size_t count;

bpftrace语法结构
bpftrace的语法结构是参考awk的。
probes /filter/ { action }
probes :事件,tracepoint, kprobe, kretprobe, uprobe。两个特殊事件 BEGIN/END,用于脚本开始和结束处执行
filter :过滤条件,事件触发时,判断条件,例如:/pid == 3245/,表示pid为3245的进程执行。
action :具体执行的操作,例如:{ printf(“close\n”);} 打印close

在这里插入图片描述
想到的应用,如上图中,kprobe的时候记录一下时间t1,kretprobe记录一下时间t2,t2-t1就是这个内核函数调用的时间

2 bpftrace 可以用到的变量

内置变量
bpftrace脚本常用变量如下:
uid:用户id。
tid:线程id
pid:进程id。
cpu:cpu id。
cgroup:cgroup id.
probe:当前的trace点。
comm:进程名字。
nsecs:纳秒级别的时间戳。
kstack:内核栈描述
curtask:当前进程的task_struct地址。
args:获取该kprobe或者tracepoint的参数列表
arg0:获取该kprobe的第一个变量,tracepoint不可用
arg1:获取该kprobe的第二个变量,tracepoint不可用
arg2:获取该kprobe的第三个变量,tracepoint不可用
retval: kretprobe中获取函数返回值
args->ret: kretprobe中获取函数返回值
自定义变量
以’ ′ 标志起来定义与引用变量,例如: '标志起来定义与引用变量,例如: 标志起来定义与引用变量,例如:idx = 0;

3 高级

进一步,还有 “自定义变量”,”map变量“,“内置函数”, “文件系统”, “磁盘”, “进程”。

3.1 内置函数

(可以查一下,bpftrace的内置函数有哪些)
应用举例:(具体的路径加程序名:函数名
#bpftrace -e ‘tracepoint:syscalls:sys_enter_accept4
{ printf(“accept 4 %ld n”, pid); }’

3.2 文件系统

统计调用read 的次数,
#bpftrace e 't:syscalls:sys_enter_read {@[probe]=count();

3.3 内核内存 栈

#bpf trace e 't:kmem:kmem_cache_alloc { @bytes[kstack] =
sum(args -->bytes_alloc);

分析内核实时函数栈, 统计ip_output 调用栈:
#bpftrace -e ‘kprobe:ip_output { @[kstack()] = count(); } interval:s:10 { exit(); }’
#bpftrace -e ‘kprobe:ip_output { @[kstack(3)] = count(); }’

3.4 Malloc 调用 统计

#bpftrace e 'u:/lib/x86_64 linux gnu/libc.so.6:malloc
{@[ustack, comm] = sum(arg0);

3.5 系统调用 brk 的 统计

#统计
统计进程进程发生发生缺页缺页中断中断
#bpftrace bpftrace --e ‘t:exceptions:page_fault_user { @[ustack, comm] e ‘t:exceptions:page_fault_user { @[ustack, comm] = count(); }’= count(); }’

3.6 脚本调用

比如侦测系统调用 accept,查IP,端口…
inet_csk_accept 这个函数是通过 bpftrace -l grep相关的accept函数,然后结合内核源码找到的
$ sudo bpftrace -l | grep inet_csk_accept
kprobe:inet_csk_accept

eg1 : 新建一个accept.bt的文件,内容如下:(这里需要查阅一下bpftrace的语法,与应用举例了)

#include <net/sock.h>


BEGIN
{
	printf("%8s %6s %15s", "TIME", "PID", "COMM");
	printf("%20s %6s %20s %6s\n", "RADDR", "RPORT", "LADDR", "LPORT");	
}

kretprobe:inet_csk_accept
{
	$sk = (struct sock*)retval;  // retval是inet_csk_accept的返回值
	
	$raddr = ntop($sk->__sk_common.skc_daddr);  // ntop 是将32位的值转换IP地址加port模式,类似 地址转换函数inet_ntoa、inet_ntop、inet_pton、inet_addr  
	// ntop([int af, ]int|char[4|16] addr)              Convert IP address data to text
	$laddr = ntop($sk->__sk_common.skc_rcv_saddr);

	time("%H:%M:%S");
	printf("%6d %15s", pid, comm);
	printf("%20s, %20s\n", $raddr, $laddr);

}

执行#bpftrace accept.bt
在这里插入图片描述
参考:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

eg2: accept4.bt 里面探测write方法,可以打印出buf,可以包括很多信息,比如用户名,密码,因此这些信息要用密文,至少不那么容易破解。

tracepoint:syscalls:sys_enter_accept4 
{ 
       printf("accept4 %s\n", comm);
}

tracepoint:syscalls:sys_enter_accept
{ 
       printf("accept %s\n", comm);
}

tracepoint:syscalls:sys_enter_connect 
{ 
	printf(" connect \n");
}

tracepoint:syscalls:sys_enter_read
/ comm == "nginx"/
{
	printf(" read  %s, %d\n", comm, pid);
}

tracepoint:syscalls:sys_enter_write
/ comm == "git" || comm == "git-remote-http"/
{
        printf(" write  %s, %d, buf: %s\n", comm, pid, str(args->buf));
}

执行 #bpftrace accept4.bt

4 应用

类似 tcpdump -i eth0

5 怎么串联起来呢

就是要对内核比较熟悉,对文件操作(vfs…),网络操作熟悉,然后灵活运用。
eg3 : vfs的例子

#include <linux/fs.h>
#include <linux/path.h>
#include <linux/dcache.h>

kprobe:vfs_open 
/ comm == "cat"/ 
{ 
	printf("vfs_open: %s, name: %s\n", comm, str(((struct path*)arg0)->dentry->d_name.name)); 
}


kprobe:vfs_write
/ comm == "cat"/
{
	$file = str(((struct file*)arg0)->f_path.dentry->d_name.name);
	printf("vfs_write: %s, count: %d, buf:%s\n", $file, arg2, str(arg1));
}

可以用cat命令去测试,cat一个文件可以触发vfs_open。参考
在这里插入图片描述

再出发2023
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
泛读Linux内核观测技术BPF-02
qiubinwei的博客
09-09 261
整个第二章从编写一个BPF程序开始,先介绍BPF程序编译执行的过程,大致分C语言编写,LLVM编译成BPF字节码,在通过bfp调用变成BPF字节码,通过BPF验证器后使用JIT编译为机器码并执行。SO_REUSEADDR和SO_REUSEPORT都是内核中的端口重用参数(TCP和UDP),允许相同主机上多个进程绑定相同的端口,解决在高并发情况下,多线程并发处理时端口不足的问题,打开端口重用可以提高网络连接数量,获得较高单机性能。通过不同的程序类型,可以将程序附加到内核网络处理的不同阶段上。
Linux内核功能eBPF入门学习(一):BPF、eBPF、BCC等基本概念
eydwyz的专栏
08-13 4467
Linux内核观测技术BP https://www.lijiaocn.com/%E6%8A%80%E5%B7%A7/2019/02/25/ebpf-introduction-1.html 目录 目录 说明 BPF eBPF带来的新变化 eBPF使用 升级内核 eBPF代码示例 eBPF代码编译装载 使用BCC简化eBPF应用开发过程 BCC安装 BCC收集的eBPF应用 参考 说明 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指.
首本深入讲解Linux内核观测技术BPF的书上市!
华章IT官方博客
08-15 1496
新书速递导读:BPF通过一种软件定义的方式,将内核的行为和数据暴露给用户空间,开发者可以通过在用户空间编写BPF程序,加载到内核空间执行,进而实现对内核行为的灵活管理和控制。在计算机系统...
Linux 内核观测技术BPF
0 error(s)
03-12 2142
BPF允许任何人在Linux内核之中执行任意的代码,这听起来的十分危险,但是由于有着使得这一过程变的相当的安全。BPF内核的一个模块,所有的BPF程序都必须经过它的审查才能够被加载到内核之中去运行。验证器执行的就是对BPF虚拟机加载的代码进行。这一步的目的是保证程序可以按照预期去结束,而不会产生死循环拜拜浪费系统资源。验证器会创建一个DAG(有向无环图),将BPF程序的每个执行首位相连之后去执行DFS(深度优先遍历),当且仅当每个路径都能达到DAG的底部才会通过验证。之后其会执行。
Linux 内核观测技术 BPF 速读笔记
xc790的专栏
10-15 632
读书笔记
linux内核观测技术BPF速读笔记
qq_41675544的博客
06-16 955
linux-observability-with-bpf快速阅读笔记
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
Linux 内核观测技术 eBPF 中文入门指南
easylife206的专栏
01-06 2809
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !很早前就想写一篇关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写一篇。这文章主要还是简单的介绍 eBPF 是用来干什么的,并通过几个示例来介绍是怎么玩的。这个技术非常非常之强,Linux 操作系统的观测性实在是太强大了,并在 BCC 加持下变得一览无余。这个技术不是一般的运维人员或是系统管理员可以...
Linux-Observability-with-BPF.pdf
04-23
Linux-Observability-with-BPF.pdf
BPF-performance.rar
04-01
Linux系统中,BPF(Berkeley Packet Filter)是一种强大的技术,它允许用户空间程序对内核数据结构进行安全的、高效的访问。随着其发展,BPF已经演变为一个通用的、安全的虚拟机,支持多种用途,如网络过滤、性能...
Advanced_BPF_Kernel_Features_for_the_Container_Age_FOSDEM.pdf
02-25
cilium 的 ebpf 特性
javasnmp源码-bpf_study:bpf研究
06-04
Linux内核观测技术BPF》 已经在 JD 上有现货,欢迎感兴趣 BPF 技术的同学选购。链接地址 “eBPF 是我见过的 Linux 中最神奇的技术,没有之一,已成为 Linux 内核中顶级子模块,从 tcpdump 中用作网络包过滤的经典 ...
内核bpftrace的实现原理
08-08
通过这些功能,BPFtrace成为了一种强大且灵活的工具,让开发者能深入了解系统的运行情况,对系统调用、内核事件等进行跟踪和分析。无论是性能优化、问题定位还是日常监控,BPFtrace都能提供有力的支持
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 327
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
Linux C | 管道open打开方式
I_feige的博客
07-12 333
1.
LINUX:懒汉单例模式线程池
最新发布
W2155的博客
07-16 320
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
Linux中的文件夹作用
qq_36634055的博客
07-16 334
这里放的是系统管理员(超级用户)使用的特殊工具,就像是工具箱里的专业工具,比如ifconfig(网络配置)、fdisk(磁盘分区)等,普通用户一般用不到。:这个目录存放了一些基本的用户命令,就像是工具箱里常用的工具,比如ls(列出文件)、cp(复制文件)等,这些命令对于普通用户和系统管理员都是可用的。:这个目录存放了各种可变数据,包括日志文件、邮件队列、打印队列等,就像是家里放杂物的地方,随着时间的推移,里面的东西会不断变化。:这里放的是可选的软件包,就像是额外的娱乐设施,可以根据需要添加。
Linux 安装 Docker Compose
m0_63004677的博客
07-12 388
Linux 系统安装 Docker Compose
linux内核观测技术bpf
03-16
BPF是一种Linux内核观测技术,它可以在内核中执行代码,从而实现对系统的深度观测和分析。BPF可以用于网络、存储、安全等多个领域,可以实现高效的数据过滤、统计、监控等功能。BPF还可以与用户空间程序交互,实现更加灵活的应用场景。BPF已经成为Linux内核中的重要组成部分,为系统性能优化和故障排查提供了强有力的支持

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值