基于c语言的BPF程序

最新推荐文章于 2024-05-22 17:48:48 发布
最新推荐文章于 2024-05-22 17:48:48 发布
阅读量2.6k 收藏 7
点赞数
分类专栏: linux 内核 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41036447/article/details/106494382
版权

当你在使用BPF程序时,你需要去指定哪种类型的程序在运行。类型将会告诉程序,你的代码将在内核的哪个地方被执行。同时,它也会告诉BPF虚拟机的verifier,哪种类型的bpf helper将会被允许使用。当你选择了程序类型,你同时也选择了你的代码要实现的相关接口。该接口将确保你可以访问你想要的数据、想要获取的网络包等等。

1.开始你的第一个BPF程序

BPF程序的编译,一般使用LLVM.LLVM是一种genreal-purpose 的编译器,LLVM可以emit不同的字节码。在本章中,LLVM将生成bpf的字节码,然后我们会load到内核的虚拟中。
内核提供了一个系统调用,专门用于load bpf的程序,除了load bpf的程序,这个系统调用,还可以有一些其他的操作,后面我们会看到它的用法,接下来,我们来看下Hello world:

#include <linux/bpf.h>
#define SEC(NAME) __attribute__((section(NAME), used))

static int (*bpf_trace_printk)(const char *fmt, int fmt_size,
                               ...) = (void *)BPF_FUNC_trace_printk;

SEC("tracepoint/syscalls/sys_enter_execve")
int bpf_prog(void *ctx) {
  char msg[] = "Hello, BPF World!";
  bpf_trace_printk(msg, sizeof(msg));
  return 0;
}

char _license[] SEC("license") = "GPL";

编译:

	clang -O2 -target bpf -c bpf_program.c  -I /usr/include/x86_64-linux-gnu/ -o bpf_program.o

我们使用SEC属性,告诉BPF VM,我们想在什么时候运行我们写的这个程序。在上面的代码中,我们指定在kernel调用到execve的时候,来调用我们自己写的程序。即:SEC中定义的是一个Tracepoints,是kernel预先定义好的,允许开发者,在这里injet进去自己的代码。那你可能会问,我怎么知道都有哪些tracepoints呢?这个可以在/sys/kernel/debug/tracing/events/syscalls/这个目录下找到系统预留的所有的tracepoints.
另外,我们需要使用指定GPL的协议。因为kernel本身就是GPL的。我们使用bpf_trace_printk来打印在内核中生成的日志。当然你也可以通过/sys/kernel/debug/tracing/trace_pipe来查看内核的日志。

2.编译环境

安装需要的工具依赖

sudo apt update
sudo apt install build-essential git make libelf-dev clang strace tar bpfcc-tools linux-headers-$(uname -r) gcc-multilib

我们需要一份源码来编译libbpf

cd /tmp
git clone --depth 1 git://kernel.ubuntu.com/ubuntu/ubuntu-bionic.git

可以将源码拷贝到/kernel-src目录下,然后编译libbpf

sudo mv ubuntu-bionic /kernel-src
cd /kernel-src/tools/lib/bpf
sudo make && sudo make install prefix=/usr/local

将编译的结果移动到系统的library path

sudo mv /usr/local/lib64/libbpf.* /lib/x86_64-linux-gnu/

3.加载bpf程序

现在我们有了bpf的代码,需要一个程序把它load到内核中。

#include "bpf_load.h"
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/resource.h>
#include <bpf/libbpf.h>
#include <bpf_load.h>

int main(int argc, char **argv) {
  if (load_bpf_file("bpf_program.o") != 0) {
    printf("The kernel didn't load the BPF program\n");
    return -1;
  }

  read_trace_pipe();

  return 0;
}

Makefile:

CLANG = clang

EXECABLE = monitor-exec

BPFCODE = bpf_program

BPFTOOLS = /kernel-src/samples/bpf
BPFLOADER = $(BPFTOOLS)/bpf_load.c

CCINCLUDE += -I/kernel-src/tools/testing/selftests/bpf

LOADINCLUDE += -I/kernel-src/samples/bpf
LOADINCLUDE += -I/kernel-src/tools/lib
LOADINCLUDE += -I/kernel-src/tools/perf
LOADINCLUDE += -I/kernel-src/tools/include
LIBRARY_PATH = -L/usr/local/lib64
BPFSO = -lbpf

.PHONY: clean $(CLANG) bpfload build

clean:
        rm -f *.o *.so $(EXECABLE)

build: ${BPFCODE.c} ${BPFLOADER}
        $(CLANG) -O2 -target bpf -c $(BPFCODE:=.c) $(CCINCLUDE) -o ${BPFCODE:=.o}

bpfload: build
        clang -o $(EXECABLE) -lelf $(LOADINCLUDE) $(LIBRARY_PATH) $(BPFSO) \
        $(BPFLOADER) loader.c

$(EXECABLE): bpfload

.DEFAULT_GOAL := $(EXECABLE)

编译完成后,执行可执行文件。随便执行个ls之类的,就可以看到hello world的输出了。

zhjwang的博客
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于WINPCAP中的WPCAP函数库抓报文C语言程序
04-04
本篇文章将深入探讨基于WinPcap中的WPCAP函数库抓取网络报文的C语言程序相关知识点。 首先,WinPcap包含了四个主要组件:驱动程序、动态链接库(libpcap)、开发库(WPCAP)和用户界面工具(Packet.dll)。其中,...
基于winpcap的网络嗅探器C语言源代码
12-29
《基于WinPcap的网络嗅探器C语言源代码解析》 网络嗅探器是一种用于监控网络通信数据的工具,它能够捕获网络上的数据包并进行分析,为网络安全研究、故障排查和性能优化提供了重要手段。在本文中,我们将探讨一款...
初识 BPF:从 Hello World 开始的内核编程之旅
m0_67544708的博客
05-22 723
BPFLinux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
Ubuntu下bpf纯c程序的编写与运行
金荣的个人技术博客
10-07 6511
1. 前言 2. 搭建bpf程序运行环境 2.1 下载源码 3. bpf代码分析及运行 4. 总结
BPF学习笔记(三)--BPF示例程序
frankzfz的专栏
10-12 2121
上一篇文章中BPF的例子是以BCC的整体框架为基础,本篇介绍一下基于libbpf库函数为基础,结合内核中的bpf的sample为基础编写一个BPF程序,本篇介绍是以《linux-observability-with-bpf》这本书第二章的例子为基础,由于内核版本的不同,本篇介绍是以Linux5.16内核为基础,Linux5.16内核中的接口函数与书中的给到的程序案例有较大的差别。2)随着bpf和内核版本的不断变化,参考本文时需要重点关注不同的内核版本、bpftool、gcc等各类工具的版本。
LWN:使用GCC编译生成BPF程序
Linux News搬运工
10-11 1245
点击上方蓝色“Linux News搬运工”关注我们~ Compiling to BPF with GCC ByJonathan Corbet LPC 自从在kern...
BPF编程-使用libbpf-bootstrap构建BPF应用程序【译】
大草的博客
12-31 2410
使用libbpf-bootstrap构建BPF应用程序【译】
BCC Python开发教程&常用BCC工具(三)
hudongliang2006nb的专栏
11-15 791
这个教程主要目的是展示如何使用python来进行bcc工具开发和编程。教程主要分为两个部分:可观察性和网络。文中的代码片段均都来自于bcc:代码片段的licenses见bcc中具体文件。也可参考bcc开发者手册以及end-users工具教程:。此外bcc还开放有lua接口。
基于libbpfc语言的ebpf开发环境,是基于eunomia-bpf模板的项目代码,用于工程化实践.zip
最新发布
06-15
通过这些控制结构,可以实现程序的分支、循环和多路选择等功能。 4. 函数 函数是C语言中用于封装代码的单元,可以实现代码的复用和模块化。C语言中定义函数使用关键字“void”或返回值类型(如int、float等),并...
基于C语言实现PCAP的网络入侵检测系统源码+项目说明.zip
05-23
标题中的“基于C语言实现PCAP的网络入侵检测系统源码+项目说明”指的是一个使用C语言编程的网络入侵检测系统(NIDS),它利用PCAP库来捕获和分析网络流量,以检测潜在的入侵行为。PCAP是libpcap的简称,是一个广泛...
sniffer程序分析与设计 实验报告
03-22
WinPcap由一个核心的包过滤驱动程序、Packet.dll API接口和Libpcap函数库组成,实现了Berkley Packet Filter (BPF)模型,使得开发者可以在Windows系统中进行数据包捕获和过滤。 4. **网络数据包捕获原理**:以太网...
基于winpcap(局域网ip流量分析程序
03-14
通常,WinPcap程序使用C或C++编写,因为WinPcap的API是C语言接口。开发者可能需要熟悉的编程环境如Visual Studio,以及对C/C++语言的深入理解。 5. **实战应用** - 网络故障诊断:通过分析IP流量,可以定位网络...
基于sharpPcap的局域网数据包捕获程序
03-18
《基于sharpPcap的局域网数据包捕获程序详解》 在计算机网络领域,数据包捕获是一项至关重要的技术,它允许我们监控和分析网络流量,排查问题,以及进行性能优化。本篇文章将深入探讨如何利用sharpPcap库创建一个...
abc.rar_C语言抓包_abc命令_c语言 wireshark_抓包
09-21
本资源"abc.rar"提供了一个基于C语言实现的命令行抓包工具,它类似于知名的Wireshark软件,但更加轻便且适用于命令行环境。下面我们将深入探讨这个工具涉及到的知识点。 1. **C语言编程**: C语言是一种基础且强大...
基于libpcap网卡抓包
07-03
**基于libpcap的网卡抓包技术** libpcap是一个强大的开源库,主要用于在网络层进行数据包捕获。这个库被广泛应用于网络监控、数据分析、安全检测等多个领域。libpcap提供了对底层网络接口的访问,使得开发者可以...
BPF编译运行实例
sf_jiang的博客
07-14 918
本文目标是运行一个bpf实例,实现系统运行时,每执行一次系统调用execve的调用监控
BPF入门1:BPF技术简介
legend050709的专栏
12-20 4426
ebpf
[译] Cilium:BPF 和 XDP 参考指南(2021)
RToax
09-13 1853
Cilium:BPF和XDP参考指南_RToax-CSDN博客Table of ContentsBPF体系结构指令系统辅助功能地图对象固定尾叫BPFBPF呼叫准时制硬化减负工具链开发环境虚拟机本文档部分针对希望深入了解BPF和XDP的开发人员和用户。阅读本参考指南可能有助于拓宽您对Cilium的了解,但不是必须使用Cilium。请参阅入门指南和体系结构以获得更高级的介绍。BPFLinux内核中一种高度灵活且高效的类似于虚拟机的构造,允许以安全的方式在各个挂钩点执行字节码。它被用于许多Linux..htt
bpf程序没有time函数
06-06
是的,bpf程序中没有time()函数。在bpf程序中可以使用bpf_ktime_get_ns()函数或者bpf_ktime_get_boot_ns()函数来获取从Linux系统启动到现在的纳秒数,然后再转换为相应的时间戳。具体实现如下: ``` #include ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值