使用eBPF&BCC提取内核网络流量信息

最新推荐文章于 2023-03-17 16:34:53 发布
最新推荐文章于 2023-03-17 16:34:53 发布
阅读量2.8k 收藏 15
点赞数 6
分类专栏: eBPF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34258344/article/details/107605410
版权

前言

本文将分享从0开始编写自己的bcc程序。那么开始编写bcc之前,自己一定要明确,我们要用bcc提取什么数据。本文的实例是统计内核网络中的流量,我要提取的数据关键字段为进程的PID,进程的名字,进程的收包实时流量、发包实时流量,收包流量总和,发包流量总和,总的收发流量等。

我们知道bcc是eBPF的一个工具集,是eBPF提取数据的上层封装,它的形式是python中嵌套bpf程序。python部分的作用是为用户提供友好的使用eBPF的上层接口,也用于数据处理。bpf程序会注入内核,提取数据。当bpf程序运行时,通过LLVM将bpf程序编译得到bpf指令集的elf文件,从elf文件中解析出可以注入内核的部分,用bpf_load_program方法完成注入。注入程序bpf_load_program()加入了更复杂的verifier 机制,在运行注入程序之前,先进行一系列的安全检查,最大限度的保证系统的安全。经过安全检查的bpf字节码使用内核JIT进行编译,生成本机汇编指令,附加到内核特定挂钩的程序。最终内核态与用户态通过高效的map机制进行通信,bcc在用户态是使用python进行数据处理的,一图胜千言。
在这里插入图片描述

开始编程

了解了bcc工具的工作方式,下面开始写代码,先写python部分,下面是python引入的模块和包,这部分可以在写程序过程中逐步引入,也就是在写python的过程中用到了某个函数就引入相应的模块和包。

#!/usr/bin/env python
# coding=utf-8
from __future__ import print_function
from bcc import BPF
from time import sleep
import argparse
from collections import namedtuple, defaultdict
from threading import Thread, currentThread, Lock

下面是程序选项,可以使用–help来查看可用的选项,效果是这样的:
在这里插入图片描述
实现代码如下,具体功能可以看注释:

# 选项参数检错
def range_check(string):
    value = int(string)
    if value < 1:
        msg = "value must be stricly positive, got %d" % (value,)
        raise argparse.ArgumentTypeError(msg)
    return value
# 帮助信息的example
examples = """examples:
    ./flow          # trace send/recv flow by host 
    ./flow -p 100   # only trace PID 100
"""
# 使用 python 中的 argparse类 定义选项
parser = argparse.ArgumentParser(
    description = "Summarize send and recv flow by host",
    formatter_class = argparse.RawDescriptionHelpFormatter,
    epilog = examples
)
parser.add_argument("-p", "--pid", 
    help = "Trace this pid only")
parser.add_argument("interval", nargs="?", default=1, type=range_check,
	help = "output interval, in second (default 1)")
parser.add_argument("count", nargs="?", default=-1, type=range_check,
	help="number of outputs")
args = parser.parse_args()

接下来是bcc程序中的bpf代码,在python中以这样的形式引入:

bpf_program = """
BPF C 程序
"""

BPF代码

本实例中用到的BPF代码如下,使用了kprobe来探测内核中与网络流量相关的tcp_sendmsg函数和tcp_cleanup_rbuf函数,代码详细作用请看注释:

/*必要的头文件*/
#include <uapi/linux/ptrace.h>
#include <net/sock.h>
#include <bcc/proto.h>
/*定义BPF_HASH中的值*/
struct ipv4_key_t {
    u32 pid;
};
/*定义两个哈希表,分别以ipv4中发送和接收数据包的进程pid作为关键字*/
BPF_HASH(ipv4_send_bytes, struct ipv4_key_t);
BPF_HASH(ipv4_recv_bytes, struct ipv4_key_t);
/*探测内核中的 tcp_sendmsg 函数 */
int kprobe__tcp_sendmsg(struct pt_regs *ctx, struct sock *sk,
    struct msghdr *msg, size_t size)
{
    /*获取当前进程的pid*/
    u32 pid = bpf_get_current_pid_tgid() >> 32;
    /*此部分在python里处理,用于替换特定功能的c语句*/
    FILTER_PID
	/*获取网络协议的套接字类型*/
    u16 family = sk->__sk_common.skc_family;
	/*判断是否是IPv4*/
    if (family == AF_INET) {
    	/*将当前进程的pid放入ipv4_key结构体中
    	  作为ipv4_send_bytes哈希表的关键字*/
        struct ipv4_key_t ipv4_key = {.pid = pid};
        /*将size的值作为哈希表的值进行累加*/
        ipv4_send_bytes.increment(ipv4_key, size);
    }
    return 0;
}
/*探测内核中的 tcp_cleanup_rbuf 函数 */
int kprobe__tcp_cleanup_rbuf(struct pt_regs *ctx, struct sock *sk, int copied)
{
    /*获取当前进程的pid*/
    u32 pid = bpf_get_current_pid_tgid() >> 32;
    /*此部分在python里处理,用于替换特定功能的c语句*/
    FILTER_PID
	/*获取网络协议的套接字类型*/
    u16 family = sk->__sk_common.skc_family;
    u64 *val, zero =0;
	/*检错*/
    if (copied <= 0)
        return 0;
	/*判断是否是IPv4*/
    if (family == AF_INET) {
    	/*将当前进程的pid放入ipv4_key结构体中
    	  作为ipv4_send_bytes哈希表的关键字*/
        struct ipv4_key_t ipv4_key = {.pid = pid};
        /*将copied的值作为哈希表的值进行累加*/
        ipv4_recv_bytes.increment(ipv4_key, copied);
    }
    return 0;
}

几点说明:

  • BPF_HASH 的用法
  • Syntax: BPF_HASH(name [, key_type [, leaf_type [, size]]])
  • Creates a hash map (associative array) named name, with optional parameters.
  • Defaults: BPF_HASH(name, key_type=u64, leaf_type=u64, size=10240)
  • For example:
  • BPF_HASH(start, struct request *);
  • This creates a hash named start where the key is a struct request *, and the value defaults to u64. This hash is used by the disksnoop.py example for saving timestamps for each I/O request, where the key is the pointer to struct request, and the value is the timestamp.
  • Methods (covered later): map.lookup(), map.lookup_or_try_init(), map.delete(), map.update(), map.insert(), map.increment().

  • FILTER_PID
    本示例中的 FILTER_PID 无实际意义,它是在python中使用bpf_program.replace来进行语句替换的,具体作用在下文中python部分会介绍到。

  • ipv4_send_bytes.increment
    这里使用了map.increment()的方法,本实例中是在哈希表ipv4_send_bytes中以ipv4_key为关键字将size作为值进行累加。

  • Syntax: map.increment(key[, increment_amount])
  • Increments the key’s value by increment_amount, which defaults to 1. Used for histograms.

数据处理

刚刚提到FILTER_PID无实际意义,是在python中使用bpf_program.replace来进行语句替换的,现在看下它在python中的处理:

if args.pid:
    bpf_program = bpf_program.replace('FILTER_PID',
        'if (pid != %s) { return 0; }' % args.pid)
else:
    bpf_program = bpf_program.replace('FILTER_PID','')

如果使用选项 -p 指定了pid,那么bpf程序中的FILTER_PID会被替换为if (pid != %s) { return 0; },最终在bpf程序中起到过滤指定pid数据的作用。如果没有使用选项 -p 指定 pid,那么就会删除FILTER_PID。也就是说bpf程序中的FILTER_PID不会直接执行,直接执行了会出错,而是经过python处理后才执行。

自定义python函数

# 获取进程名称
def pid_to_comm(pid):
    try:
        comm = open("/proc/%s/comm" % pid, "r").read().rstrip()
        return comm
    except IOError:
        return str(pid)
# 获取pid
SessionKey = namedtuple('Session',['pid'])
def get_ipv4_session_key(k):
    return SessionKey(pid=k.pid)

初始化bpf

# init bpf
b = BPF(text=bpf_program)
ipv4_send_bytes = b["ipv4_send_bytes"]
ipv4_recv_bytes = b["ipv4_recv_bytes"]

打印标题

# header
print("%-10s %-12s %-10s %-10s %-10s %-10s %-10s" % ("PID", "COMM", "RX_KB", "TX_KB", "RXSUM_KB", "TXSUM_KB", "SUM_KB"))

输出数据

# output
#初始化变量
sumrecv = 0
sumsend = 0
sum_kb = 0
i = 0
exiting = False

while i != args.count and not exiting:
	try:
		sleep(args.interval)
	except KeyboardInterrupt:
		exiting = True

	ipv4_throughput = defaultdict(lambda:[0,0])
	for k, v in ipv4_send_bytes.items():
		key=get_ipv4_session_key(k)
		ipv4_throughput[key][0] = v.value
	ipv4_send_bytes.clear()

	for k,v in ipv4_recv_bytes.items():
		key = get_ipv4_session_key(k)
		ipv4_throughput[key][1] = v.value
	ipv4_recv_bytes.clear()
	if ipv4_throughput:
		for k, (send_bytes, recv_bytes) in sorted(ipv4_throughput.items(),
			key=lambda kv: sum(kv[1]),
			reverse=True):
			recv_bytes = int(recv_bytes / 1024)
			send_bytes = int(send_bytes / 1024)
			sumrecv += recv_bytes
			sumsend += send_bytes
			sum_kb = sumrecv + sumsend
			print("%-10d %-12.12s %-10d %-10d %-10d %-10d %-10d" % (k.pid, pid_to_comm(k.pid), recv_bytes, send_bytes, sumrecv, sumsend, sum_kb))
	i += 1

这部分是python处理数据的过程,需要注意的是:
ipv4_throughput = defaultdict(lambda:[0,0])这里创建了一个名为ipv4_throughput的字典,将名为ipv4_send_bytesipv4_recv_bytes两个哈希表中的数据分别放到了名为ipv4_throughput的字典中,这样使得后续的数据处理更加统一。

for k, v in ipv4_send_bytes.items():这里将哈希表ipv4_send_bytes中的关键字和值使用.items的方法分别存放在了k和v中。

key=get_ipv4_session_key(k)这里调用了get_ipv4_session_key(k)函数获取到了关键字,也就是pid。

到此,一个基本的MVP就写好了,可以先跑一下,运行结果如下:
在这里插入图片描述
可以看到,内核中的流量数据已经提取出来了。当然,本文只是分享如何编写一个bcc程序,目前这个程序还有很多升级的空间,例如:

  • 本实例只统计IPv4的流量,还可以加入统计IPv6的流量
  • 可以添加更多的字段,如源地址,源端口,目标地址,目标端口
  • 可以加入更多的选项参数等

目前介绍到这里,我还会继续优化程序的,感谢阅读。

JinrongLiang
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
vltrace:使用eBPF linux内核功能以快速方式跟踪系统调用的工具
05-19
vltrace:使用eBPF的syscall跟踪程序 这是vltrace的顶级README.md。 vltrace是一个系统调用跟踪工具,它利用eBPF(Linux内核的有效跟踪功能)。 执照 请参阅文件以获取有关此工具如何获得的信息。 依赖 vltrace取决于库。 libbcc的安装指南可以在找到。 系统要求 内核v4.7或更高版本 安装的内核头文件: RHEL,Fedora和CentOS上的“内核开发”软件包或 Debian和Ubuntu上的'linux-headers'软件包 libbcc v0.4.0 CAP_SYS_ADMIN功能(bpf()系统调用所需) 挂载的debugfs和tracefs 联系方式 有关此工具的更多信息,请联系: Lukasz Dorau(intel.com上的lukasz.dorau) 或创建问题。
ebpf_exporter:Prometheus导出程序,用于自定义eBPF指标
05-06
ebpf_exporter Prometheus导出程序,用于自定义eBPF指标。 使用此导出程序的目的是允许您编写eBPF代码并导出Linux内核无法访问的度量标准。 eBPF被IngoMolnár为: 在此循环中,更有趣的功能之一是能够将eBPF程序(由内核执行的用户定义的沙盒字节码)附加到kprobes。 这样就可以在实时内核映像上进行用户定义的检测,而该映像永远不会崩溃,挂起或对内核产生负面影响。 关于此导出程序的一个简单思考方法是将bcc工具作为普罗米修斯度量标准: 阅读材料 建立和运行 注意密件抄送 epbf_exporter依赖libbcc来检测内核,因此需要在系统上安装它。 请咨询bcc文档: 请注意,系统上的bcc版本与gobpf之间存在依赖关系, gobpf是Go的库,用于与libbcc进行libbcc 。 如果看到指向参数不匹配的错误,则可能意味着您的
weaver:使用uprobes和eBPF跟踪Go程序执行
04-07
编织者 请阅读! -我目前正在将Weaver重构为使用libbpf而不是bcc,这将包括其他许多重大改进。 如果您当前使用的是weaver,请注意,在进行重大重构之前,功能/错误修复一直处于推迟状态。 这将在分支“重构”中进行跟踪 Weaver是一个CLI工具,可让您跟踪Go程序,以检查将哪些值传递给指定的函数。 它利用附加到升级上的eBPF。 快速开始 有两种操作模式,一种使用“功能文件”,另一种从传递的二进制文件中提取符号表并通过Go包进行过滤。 有关功能的更多信息。 功能文件 采取以下示例程序: test_prog.go package main //go:noinline func test_function ( int , [ 2 ] int ) {} //go:noinline func other_test_function ( rune , int64 ) {} fu
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和SystemTap等以前的跟踪程序的启发。 bpftrace由创建。 要了解有关bpftrace的更多信息,请参见《和《单线 。 一线 以下一线展示了不同的功能: # Files opened by process bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args
bcc-scripts:使用eBPF的脚本
05-01
密件抄送脚本 缓存状态 显示%高速缓存读写命中 学习密件抄送的集合。 摘自布伦丹·格雷格的例子 USAGE: ./cachestat [-T] [ interval [count] ] show Linux page cache hit/miss statistics optional arguments: -T include timestamp on output examples: ./cachestat # run with default options of 5 seconds delay forever ./cachestat -T # run with default options of 5 seconds delay forever with timestamps
python 性能优化监控工具_Linux性能优化(四)——BCC性能监控工具
weixin_35327824的博客
01-28 1510
一、BCC简介1、BCC简介BCC是一个Python库,简化了eBPF应用的开发过程,并收集了大量性能分析相关的eBPF应用。BCC为BPF开发提供了不同的前端支持,包括Python和Lua,实现了map创建、代码编译、解析、注入等操作,使开发人员只需聚焦于用C语言开发要注入的内核代码。BCC工具集大部分工具需要Linux Kernel 4.1以上版本支持,完整工具支持需要Linux Kernel...
万字干货,eBPF 经典入门指南
极客重生
05-25 3977
eBPF 源于BPF[1],本质上是处于内核中的一个高效与灵活的虚拟机组件,以一种安全的方式在许多内核 hook 点执行字节码。BPF最初的目的是用于高效网络报文过滤,经过重新设计,eBPF不再局限于网络协议栈,已经成为内核顶级的子系统,演进为一个通用执行引擎。开发者可基于 eBPF 开发性能分析工具、软件定义网络、安全等诸多场景。本文将介绍 eBPF 的前世今生,并构...
eBPF开发文档
qq_43472789的博客
03-17 358
这是一个简单的eBPF程序开发指南,其中包含了编写、编译、加载、调试eBPF程序的一般流程和方法。
使用eBPF&bcc提取内核网络流量信息(二)
金荣的个人技术博客
08-03 2516
通过上次从0开始编写自己的bcc程序的介绍,我们已经用编写的bcc程序提取内核网络中数据关键字段为进程的PID,进程的名字,进程的收包实时流量、发包实时流量,收包流量总和,发包流量总和,总的收发流量等数据,今天我们通过分析内核源码,为其增加源地址、源端口、目的地址、目的端口等字段。 上次我们使用kprobe挂接了两个重要的函数,分别是tcp_sendmsg和tcp_cleanup_rbuf,下面我们结合源码进行解读。为什么要挂接tcp_sendmsg,我们先看这个图: 网络数据包的发送过程起始于应用层的
eBPF监控工具bcc系列九bcc Python
weixin_33973600的博客
05-09 1053
接下来看下python方面的知识。 1. 初始化 1.1 BPF 语法: BPF({text=BPF_program | src_file=filename} [, usdt_contexts=[USDT_object, ...]]) 创建一个BPF对象,能通过交互来产生输出。 1.2 USDT 语法:USDT({pid=...
Linux Kernel Networking: Implementation and Theory (2014)CHAPTER 12. Wireless in Linux
maimang1001的专栏
10-18 1862
···········正在上传…重新上传取消} __packed;正在上传…重新上传取消正在上传…重新上传取消notIBSS isbeacons正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消andScanningroaming正在上传…重新上传取消Rx Path{. . .if (!. . .}Tx Path{
计算机网络|iperf测量不同拥塞控制下TCP传输性能
冰冻三尺非一日之寒
07-12 2472
传输层数据抓包实验
UDP协议浅析
jamin_liu_90的博客
10-04 401
UDP(User Data Protocol,用户数据报协议)是与TCP相对应的协议。它是属于TCP/IP协议族中的一种,位于TCP/IP模型中的传输层。 TCP/IP模型: UDP数据报格式: 通过UDP协议实现C/S模型: 服务端 server.c #include<stdio.h> #include<stdlib.h> #include&l...
linux内核网络协议栈架构分析,全流程分析-干货
热门推荐
zxorange321的专栏
07-22 3万+
内核协议栈架构分析,全流程分析,干货
bcc/ebpf使用介绍
cocoti的博客
06-08 2427
ebpf是linux trace框架的一部分内容,trace的介绍可以参考linux tracers使用介绍。trace框架允许我们在内核态/用户态的代码中加钩子,并定义了一些预置的钩子函数,实现一些基本的调试功能。而对于需要比较灵活的处理的情况,可以使用ebpf,允许用户自定义钩子函数,进行例如信息的过滤、统计、计算等处理。bcc是一个工具包,使用python来对ebpf进行封装,以便更加方便的使用ebpf,并内置了很多已经写好的工具,bcc的github地址是:https://github.com/io
bpf map映射简介
迷失的专栏
10-26 2109
bpf map映射简介 bpf程序运行在内核,而且为了保证bpf程序运行的安全性,bpf虚拟机限制了系统调用,如果bpf程序需要和用户空间程序进程通信就需要bpf映射,bpf提供了如hash、stack、array等映射,在bpf程序中可以根据需求直接使用bcc bpf map映射分析 bcc中的BPF可以使用bcc的宏定义定义,当bcc加载bpf程序时再转换成section段定义进行编译。 bcc的BPF映射定义在src/cc/export/helpers.h文件,bcc编译bpf代码时替换bpf程序
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1255
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
一文详解用 eBPF 观测 HTTP
阿里云技术
08-09 580
随着eBPF推出,由于具有高性能、高扩展、安全性等优势,目前已经在网络、安全、可观察等领域广泛应用,同时也诞生了许多优秀的开源项目,如Cilium、Pixie等,而iLogtail 作为阿里内外千万实例可观测数据的采集器,eBPF 网络可观测特性也预计会在未来8月发布。下文主要基于eBPF观测HTTP 1、HTTP 1.1以及HTTP2的角度介绍eBPF的针对可观测场景的应用,同时回顾HTTP 协议自身的发展。...
使用 ebpf 深入分析容器网络 dup 包问题
云原生实验室
01-20 1752
大家好,我是杨玉玺,2011年至今一直从事底层网络研发,先后就职于阿里云、金山云从事 VPC 虚拟化网络研发,对高性能网络优化,复杂网络问题排查有非常丰富的经验。目前就职腾讯云 TKE ...
Android如何使用ebpf
最新发布
03-27
eBPF(extended Berkeley Packet Filter)是一种内核级别的虚拟机技术,可以在内核空间中执行代码,用于网络包过滤、性能分析、安全审计等方面。在Android中,可以使用eBPF来实现网络性能分析和安全审计等功能。 以下是在Android上使用eBPF的步骤: 1. 确认内核版本和配置 eBPF需要Linux内核版本3.18或更高版本,并且需要启用CONFIG_BPF和CONFIG_BPF_SYSCALL内核配置选项。在Android中,可以使用以下命令来查看内核版本和内核配置: ``` $ adb shell uname -r $ adb shell cat /proc/config.gz | gunzip | grep CONFIG_BPF ``` 2. 安装内核头文件 为了编写和编译eBPF程序,需要安装内核头文件。在Android中,可以使用以下命令安装内核头文件: ``` $ adb shell su -c "apt-get update && apt-get install linux-headers-$(uname -r)" ``` 3. 编写eBPF程序 eBPF程序可以使用C语言编写,然后使用LLVM编译器编译成eBPF字节码。在Android中,可以使用以下命令编写和编译eBPF程序: ``` $ adb shell su -c "echo '#include <linux/bpf.h>\nint main() { return 0; }' > test.c" $ adb shell su -c "clang -O2 -target bpf -c test.c -o test.elf" ``` 4. 加载eBPF程序 在Android中,可以使用BCC(BPF Compiler Collection)工具来加载和运行eBPF程序。BCC是一个开源的工具集,可以方便地编写和调试eBPF程序。 首先需要在设备上安装BCC工具。在Android中,可以使用以下命令安装BCC: ``` $ adb shell su -c "apt-get update && apt-get install bpfcc-tools" ``` 然后可以使用以下命令来加载eBPF程序: ``` $ adb shell su -c "bpftool prog load test.elf /sys/fs/bpf/test" ``` 其中,test.elf是编译后的eBPF程序文件,/sys/fs/bpf/test是eBPF程序的挂载点。 5. 运行eBPF程序 加载eBPF程序后,可以使用BCC工具来运行和调试eBPF程序。例如,可以使用以下命令来查看eBPF程序的统计信息: ``` $ adb shell su -c "bpfcc-run -p $(pidof myapp) test.c" ``` 其中,myapp是需要监控的应用程序的进程名。此命令将在myapp进程的上下文中运行eBPF程序,并输出统计信息。 以上是在Android上使用eBPF的基本步骤。需要注意的是,eBPF程序可能会影响系统性能和稳定性,因此应该谨慎使用。同时,还需要遵守相关的法律和政策规定,以确保eBPF程序的合法性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值