eBPF Kprobe,有些事做不到

VIP文章 已于 2022-05-21 22:22:51 修改
阅读量1.1k 收藏 7
点赞数
文章标签: linux tcp/ip c语言
于 2022-05-08 14:28:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quality_C/article/details/124646051
版权

记录一段失败的可行性验证方案,历时两天多,探索出eBPF kprobe技术的边界。

要谈eBPF kprobe,那就得从Kprobes聊起。

Kprobes

Kprobes内核调试技术,是Linux提供的一种能力。能在内核指令执行过程中动态断点,在不影响内核态指令正常运行的过程中,收集系统的性能数据。

Kprobes 内核调试技术

原理简单!内核函数方便利用指令向用户态暴露自己的内存地址。
(所有暴露的内核函数地址都在虚拟文件/proc/kallsyms上可找到!这是Kprobes利用的前提条件!)

Kprobes通过访问内核函数的内存地址,即可向可“埋点”的内核函数的某个位置增加断点(一组回调函数)。当实际执行到“埋点”的内核函数的断点时,跳转指令会跳转到Kprobes句柄注册的“埋点”函数(内存地址)上,而后执行结束,再利用句柄跳转回原来的上下文。

Kprobes综述和怎么工作的

eBPF kprobe

ebpf kprobe动态追踪是利用了Kprobes内核调试技术。

那么,就有了这样的想法。用ebpf kprobe去追踪tcp的关联函数,甚至像Kprobe一样,去修改tcp相关函数的执行逻辑。

当然,有想法就得从可追踪的内核函数入手。bpftrace前端工具可以迅速定位这个需要。
在这里插入图片描述
这个是ebpf kprobe可跟踪的部分tcp函数
在这里插入图片描述
也囊括了可能用到的inet函数。

于是乎,一番操作!tracing和profiling在过程中没有太多的问题。于是乎,打算开始尝试用ebpf kprobe技术去修改tcp首部选项的内容,看看能不能玩出点花来。

先不说结果,毕竟技术实现也在乎个其中的乐趣。

捋了捋思路,我想在握手的最后阶段发送修改的首部,就得在client ACK阶段前设置可写的开关

最低0.47元/天 解锁文章
Smoke0901
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
linux内核协议栈 TCP选项之SACK选项的发送
10-16 639
目录 1. 相关数据结构 1.1 struct tcp_sock 1.2 struct tcp_options_received 2慢速路径数据接收tcp_data_queue() 2.1 判断SACK是否使能tcp_is_sack 2.2 DSACK 设置 tcp_dsack_set 2.3 将SACK块加入到 selective_acks 数组 3发送SACK选项tcp_transmit_skb() 3.1 SACK片数计算 tcp_established_options()...
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
sysak开源系统诊断工具
07-15
根据阿里官网上的介绍,sysAK,全称是system analyse kit,目前主要来自于阿里百万服务器运维经验,通过对这些经验进行抽象总结出典型场景,提供了一系列工具针对不同的运维需求。 主要包括: • 线上问题分析诊断:(比如负载异常、网络抖动、内存泄漏、io毛刺、性能异常等等)针对性的提供工具, 同时减少工具的专业性,让用户更易使用和解读。 • 资源监控: 针对各种系统资源更精细化的资源监控,帮助业务运维实现细粒度的运维调度,和资源控制。 • 故障止血: 总有不可预期的问题会发生,真正问题发生后需要及时恢复,对于不是整机异常的问题(死锁、夯机), 提供介入能力对系统进行恢复或故障隔离。 同时,sysAK工具本身不会为系统带来更大的负载开销,避免引起抖动问题。sysAK通过技术手段保证所有工具同时运行时不超过3%的系统消耗,单个工具不超过1%的系统消耗。
goebpf:库可与Go中的eBPF程序一起使用
02-03
进入eBPF 使用Go中的eBPF程序/ perf件的一种好方法。 要求 转到1.10+ Linux内核4.15+ 支持的eBPF功能 eBPF计划 SocketFilter XDP Kprobe / Kretprobe 表演活动 将来可以添加对其他程序类型/功能的支持。 同时,热烈欢迎您的贡献.. :) 安装 # Main library go get github.com/dropbox/goebpf # Mock version (if needed) go get github.com/dropbox/goebpf/goebpf_mock 快速开始 考虑一个非常简单的读取/加载/附加示例 // In order to be simple this examples does not handle errors bpf := goebpf . NewDefaultEbpfSystem () // Read clang compiled binary bpf . LoadElf ( "test.elf" ) // Load XDP
go-conntracer-bpf:使用eBPF转到库以跟踪网络流
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表性C库。 特征 通过聚集内核中的连接件来进行低开销的跟踪。 启用了BPF CO-RE(一次编译–随处运行) 先决条件 编译阶段 libbpf源代码 lang / LLVM> = 9 运行阶段 Linux内核版本> = 5.6(由于对bpf映射的批处理操作) 使用BTF类型信息构建Linux内核。 参见 。 两相共通 libelf和zlib库 go-conntracer-bpf中包含Linux内核功能 go-conntracer-bpf利用了Linux内核的一些最新功能。 内核版本4.18中的BP
Linux内核 eBPF基础:kprobe原理源码分析:基本介绍与使用示例
RToax
05-11 5906
Linux内核 eBPF基础 kprobe原理源码分析:基本介绍与使用 荣涛 2021年5月11日
Linux内核 eBPF基础:kprobe原理源码分析:源码分析
RToax
05-12 2072
Linux内核 eBPF基础 kprobe原理源码分析:源码分析 荣涛 2021年5月11日
如何使用ebpf kprobe探测内核函数
c_cppcoder的博客
11-29 1199
使用ebpf kprobe探测内核函数
eBPF示例:x86-64平台上的kprobe
最新发布
qq_38232169的博客
01-02 874
讲解 libbpf-bootstrap 中 kprobe 在x86-64平台上的示例代码; 重点讲: BPF_KPROBE 宏展开; 低版本内核,不支持CO-RE,如何重新实现kprobe示例功能;
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 4783
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
Android中eBPF使用原理以及 kprobe dmabuf_setup实例
weixin_42136255的博客
11-14 596
Android中eBPF使用原理以及实例
ebpf原理分析
热门推荐
hjkfcz的博客
03-17 1万+
ebpf原理解析
eBPF 入门开发实践指南二:在 eBPF 中使用 kprobe 监测捕获 unlink 系统调用
云微的blog
01-23 990
通过本文的示例,我们学习了如何使用 eBPF 的 kprobe 和 kretprobe 捕获 unlink 系统调用。本文是 eBPF 入门开发实践指南的第二篇。下一篇文章将介绍如何在 eBPF 中使用 fentry 监测捕获 unlink 系统调用。完整的教程和源代码已经全部开源,可以在中查看。
eBPF内核实现之TRACING
qq_17045267的博客
07-06 2380
eBPF目前被广泛应用于Linux系统中的各个领域,包括网络、安全、性能、调测等。其中,内核trace算是eBPF比较早所支持的特性。最早的用于内核trace的eBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于trace的eBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
Linux eBPF:bcc 用法和原理初探之 kprobes 注入
RToax
04-11 3077
作者简介:Daemon.Wu, Linux 内核性能优化工程师,就职于某微小手机厂从手机性能优化。座右铭:知行合一。 原创雄文:由泰晓读者投递的各类社区原创好文。 版权声明:本文最先发表于“泰晓科技” 微信公众号,欢迎转载,转载时请在文章的开头保留本声明。 目录 1. 安装和使用 2. 调用过程分析 2.1 通过bpf()系统调用加载 bpf 程序 2.2 通过perf_event_open系统调用启动 perf 性能分析 2.3 通过 perf_event 的 ioctl ...
一文教你如何使用 eBPF 检测分析用户态程序
youzhangjing_的博客
11-05 953
eBPF 彻底改变了 Linux 内核中的可观察性。在我之前的系列文章中,我介绍了eBPF 生态系统的基本构建模块,简要介绍了XDP,并展示了它与 eBPF 基础设施如何密切合作,以便在网络堆栈中引入一个快速处理的数据路径。然而,eBPF 并不只是用在内核空间跟踪。如果我们可以在生产环境中运行的应用程序上也能享受 eBPF 驱动的跟踪的,这是不是很好呢?这就是uprobes发挥作用的地方。可以将它们看作是一种kprobes,它加载到了用户空间跟踪点而不是内核符号。
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
Tencent_SRC的博客
11-03 2138
作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
eBPF Talk: 比 kprobe 更好的 trampoline
u010102162的专栏
11-02 419
trampoline 是内核函数和 eBPF 程序之间的桥梁。
如何使用c语言开发ebpf程序
qq_32783703的博客
10-28 1426
最近开始陆续负责ebpf相关的项目,于是对ebpf相关知识内容进行复习。ebpf的优势是避免了痛苦的kernel开发工作,如果没有ebpf之前,我们如果想内核可视化,必须要开发kernel的驱动,但是如果我们有了ebpf,开发的程序就可以很好的和kernel隔离开,避免了kernel的崩坏。开发ebpf程序你需要掌握哪些知识1、linux 内核相关的知识2、掌握常用的ebpf 工具3、熟悉libbpf4、有一定c语言开发功底。
eBPF python
08-29
运行Python程序会生成eBPF字节码并将其加载到内核中。 在Python中使用eBPF的高级封装BCC来开发eBPF程序的步骤如下: 1. 首先,通过导入BCC库来使用它提供的功能。 2. 使用BPF类加载eBPF程序。 3. 使用attach_kprobe...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值