使用linux内核提供的c接口来加载bpf程序

最新推荐文章于 2024-07-16 22:59:45 发布
最新推荐文章于 2024-07-16 22:59:45 发布
阅读量988 收藏 3
点赞数
分类专栏: linux 内核 文章标签: 内核 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41036447/article/details/112013212
版权

有时候可能,你使用不了bcc等库。
这个时候就需要自己使用纯c来编译和load bpf程序,
在探索的过程中,遇到了各种文件找不到的情况。根据编译提示,最终在内核源码树中都找到了对应的文件和函数。所以,在自己使用纯c来加载bpf程序的时候,需要下载一份内核源码.以下为demo

#include <linux/bpf.h>
#define SEC(NAME) __attribute__((section(NAME), used))

static int (*bpf_trace_printk)(const char *fmt, int fmt_size,
                               ...) = (void *)BPF_FUNC_trace_printk;

SEC("tracepoint/syscalls/sys_enter_execve")
int bpf_prog(void *ctx) {
  char msg[] = "Hello, BPF World!";
  bpf_trace_printk(msg, sizeof(msg));
  return 0;
}

SEC("socket")
int socket_prog(struct __sk_buff *skb) {
  return 0;
}

char _license[] SEC("license") = "GPL";

loader.c

#include "bpf_load.h"
#include <stdio.h>

int main(int argc, char **argv)
{
  if (load_bpf_file("bpf_program.o") != 0)
  {
    printf("The kernel didn't load the BPF program\n");
    return -1;
  }

  read_trace_pipe();

  return 0;
}

Makefile

CLANG = clang
EXECABLE = bpfload

BPFLOADER_C = /usr/src/linux-source-4.15.0/linux-source-4.15.0/samples/bpf/bpf_load.c  #link load_bpf_file symbol
CCINCLUDE += -I/usr/src/linux-source-4.15.0/linux-source-4.15.0/samples/bpf # bpf_load.h
CCINCLUDE += -I/usr/src/linux-source-4.15.0/linux-source-4.15.0/tools/lib # bpf/bpf.h
CCINCLUDE += -I/usr/src/linux-source-4.15.0/linux-source-4.15.0/tools/perf # perf-sys.h
CCINCLUDE += -I/usr/src/linux-source-4.15.0/linux-source-4.15.0/tools/include # <linux/compiler.h>

# -lelf 会默认去找 ./usr/lib/x86_64-linux-gnu/libelf.so 
# -lbpf 会默认去找 ./lib/x86_64-linux-gnu/libbpf.so

all:
	# -I 指定的路径是因为bpf程序需要asm/types.h
	$(CLANG) -O2 -target bpf -c bpf_program.c  -I /usr/include/x86_64-linux-gnu/  -o bpf_program.o 
	$(CLANG) -o $(EXECABLE)  \
		$(CCINCLUDE)\
		-lelf \
		-lbpf \
		loader.c \
		$(BPFLOADER_C)

clean:
	rm -f *.o *.so $(EXECABLE)

make之后,直接执行./bpfload,在执行新的进程时会看到

        bash-4680  [001] .... 29701.949067: 0x00000001: Hello, BPF World!
            bash-4681  [003] .... 29702.996513: 0x00000001: Hello, BPF World!
            cron-4690  [003] .... 29995.076190: 0x00000001: Hello, BPF World!
              sh-4691  [000] .... 29995.077007: 0x00000001: Hello, BPF World!
      debian-sa1-4691  [000] .... 29995.077569: 0x00000001: Hello, BPF World!
             sa1-4691  [000] .... 29995.078165: 0x00000001: Hello, BPF World!
            cron-4695  [003] .... 30115.089880: 0x00000001: Hello, BPF World!
              sh-4696  [000] .... 30115.090561: 0x00000001: Hello, BPF World!
zhjwang的博客
关注
专栏目录
linux内核驱动加载流程
weixin_43405004的博客
01-26 1518
内核驱动加载过程
linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数
weixin_32050773的博客
04-29 441
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。一、方案比较1. 使用Linux安全API方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。限制:安全模块无法动态加载,所以需要重新编译内核。2. 修改系统调用表方法:所有Linux系统调用处理程序都存储在s...
基于c语言的BPF程序
zhjwang的博客
06-02 2740
当你在使用BPF程序时,你需要去指定哪种类型的程序在运行。类型将会告诉程序,你的代码将在内核的哪个地方被执行。同时,它也会告诉BPF虚拟机的verifier,哪种类型的bpf helper将会被允许使用。当你选择了程序类型,你同时也选择了你的代码要实现的相关接口。该接口将确保你可以访问你想要的数据、想要获取的网络包等等。 1.开始你的第一个BPF程序 BPF程序的编译,一般使用LLVM.LLVM是一种genreal-purpose 的编译器,LLVM可以emit不同的字节码。在本章中,LLVM将生成bpf
Linux bpf 3.2、BPF and XDP Reference Guide
pwl999的博客
09-14 6885
开源软件Cilium深度的使用BPF来做网络安全,它的文档中使用了一个章节专门的来介绍BPF的原理和使用。 参考原文:BPF and XDP Reference Guide 注意:本文档部分针对的是希望深入了解BPF和XDP的开发人员和用户。尽管阅读本参考指南可能有助于拓宽你对Cilium的理解,但使用Cilium并不是必须的。请参考入门指南和概念以获得更高级别的介绍。 BPF是L...
bpf编程系列之一:hello world
最新发布
绿水白川的博客
07-16 842
bpf程序由两部分组成,一个是内核态执行程序,一个是用户态执行程序,二者并不是直接链接的,可以看成是两个程序linux内核为方便测试和提供样例,为用户态的接口、文件操作封装了一些helper函数,本次hello world程序里就用到了read_trace_pipe这个函数,我将涉及的辅助库文件贴在下方。bpf程序是在内核bpf虚拟机运行的,它的。基于上述描述的,内核程序是一个bpf类型的.o文件,用户态程序是一个可执行文件,生成相应程序的makefile如下,执行。,不是一个用户态可执行的文件。
bpf-bcc加载代码分析
迷失的专栏
10-26 1326
BCC简介 bcc作为bpf的api库,提供加载、编译,运行bpf代码功能,其核心功能是对bpf的系统调用进行封装,降低bpf使用门槛。 BCC源码介绍 [root@localhost bcc]# ls build CMakeLists.txt CONTRIBUTING-SCRIPTS.md Dockerfile.debian Dockerfile.ubuntu examples images introspection LICENSE.txt man RE
linux-observability-with-bpf make: *** No rule to make target ‘/kernel-src/samples/bpf/bpf_load.c‘
guoguangwu的专栏
04-03 1531
Ubuntu 18.04.2 LTS 环境下 git clone https://github.com/bpftools/linux-observability-with-bpf.git 进入 linux-observability-with-bpf/chapter-2/hello_world 阅读README.md后执行make bpfload,报错 make: *** No rule to make target '/kernel-src/samples/bpf/bpf_load.c', nee
bpf加载流程分析
大草的博客
05-26 2764
分析load_bpf_file函数
Linux-Observability-with-BPF.pdf
04-23
eBPFLinux内核的一个特性,允许用户在不更改内核源代码或加载内核模块的情况下,动态地加载和执行用户定义的代码片段。eBPF在性能分析和网络领域有广泛的应用,提供了高级的可观察性和系统监控能力。作者通过...
nsjail:一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)
02-02
它基于Linux操作系统,利用了Linux内核提供的高级功能,如**名称空间(namespaces)** 和 **Secure Computing(seccomp)**,以及**BPF(Berkeley Packet Filter)** 的syscall过滤机制。在本文中,我们将深入探讨...
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
这个项目的实现语言是C,C语言是Linux内核编程的首选语言,因为它提供了直接访问硬件和内存的能力,以及高效地编写内核模块的优势。kprobe_rootkit使用C语言编写,可以确保代码的高效运行,并与内核接口紧密集成。 ...
基于 BPFLinux 系统自动调优工具:Oracle 开发了 “bpftune”
u014389734的博客
07-10 344
Oracle 开源了一个基于 BPFLinux 参数自动调优工具 “bpftune”,这是一个自动配置器,可以监控 Linux 系统的工作负载并自动设置正确的内核参数值。Linux 内核包含超过 1,500 个可调参数 ,bpftune 会随着系统的状态不断地自动调整多项参数,一切参数的更改都是轻量级且完全实时,无需重新启动设备即可生效。Oracle Linux 用户可以使用 DNF 包管理器轻松安装 bpftune。bpftune 代码在 GPLv2 许可下开源,可从 GitHub 仓库获取。
BPF程序
process的博客
12-27 715
bpf程序能够在一些内核事件触发时运行。bpf程序需要被bpf虚机机进行加载加载的时候需要知道具体的程序类型。 1. hello word! 一般常见使用C语言子集编写BPF程序使用LLVM编译器进行编译。LLVM能够编译出加载内核中执行的汇编代码。bpf程序编译后,内核通过bpf系统调用将程序字节码加载bpf虚拟机中。 #include <linux/bpf.h> #define SEC(NAME) __attribute__((section(NAME), used)) s
Linux 中的 DTrace :BPF 进入 4.9 内核
weixin_34342207的博客
06-01 182
随着 BPF 追踪系统(基于时间采样)最后一个主要功能被合并至 Linux 4.9-rc1 版本的内核中,现在 Linux 内核拥有类似 DTrace 的原生追踪功能。DTrace 是 Solaris 系统中的高级追踪器。对于长期使用 DTrace 的用户和专家,这将是一个振奋人心的里程碑!现在在 Linux 系统上,你可以在生产环境中使用安全的、低负载...
libbpf 开发指南:概述
阿呆的隐秘角落
07-02 1312
libbpf 是一个基于 C 的库,包含一个 BPF 加载程序,该加载程序获取已编译的 BPF 目标文件并准备它们并将其加载Linux 内核中。libbpf 承担了加载、验证 BPF 程序并将其附加到各种内核挂钩的繁重工作,使 BPF 应用程序开发人员能够只关注 BPF 程序的正确性和性能。为用户空间程序BPF程序交互提供高层和低层API。
libbpf-bootstrap开发指南:第一个tracepoint 监测demo - minimal
阿呆的隐秘角落
07-15 941
做全网最好的libbpf-bootstrap 开发指南
eBPF学习记录(五)linux内核源代码编译eBPF程序
jianjian的博客
06-09 4163
linux 内核源代码编译bpftool的命令: make -C tools/bpf/bpftool 编译ebpf程序命令 问题记录: 对于参数问题,当前 BPF 程序尝试把所有参数一次性放入,受限于栈最大长度 512,很容易出现被截断现象。以 BCC 程序为例的解决方法:遍历参数列表 argv 时,每个参数读取之后直接调用 perf_submit 提交至 ringbuf,而不是读取所有参数后仅提交一次,最后用户态程序负责把这些字符串拼接起来。这样可以做到参数最大个数不受限制,且每个参数长度可接近栈最大
BPF内核调试开发坏境的搭建
yeholmes的专栏
10-17 3516
BPF内核调试方法 一直以来,笔者对BPF功能的认知一直停留在与tcpdump工具进行网络抓包相关;最近几年BPF已成为内核的顶级子系统,从网络抓包的内核支持模块演进成为内核调试、性能跟踪的复杂模块。其对内核的调试(也可用于应用的调试)是动态的;不过该动态调试过程并不需要编译内核模块并加载之,而是将调试应用编译成为eBPF字节码,并通过bpf系统调用将该字节码加载内核中的BPF虚拟机中解析执行,或由内核中的BPF Jit编译为机器码后运行。这一调试机制使得其与传统的GDB调试方法相比,具有更低的延时和更
ebpf字节码的加载过程(三)
u013237642的博客
03-17 512
添加kernel-src/sample/bpf/bpf_load.h(头文件搜索目录在makefile中指定了),把sample/bpf/bpf_load.c和自己的user_load.c文件通过Makefile编译出一个monitor-exec程序,负责加载elf格式的.o文件。《2》int load_bpf_file(char *path)、read_trace_pipe()等用户空间函数在bpf_load.c中定义。《3》在bpf_load.c中我们看看load_bpf_file()做了啥。
如何在bpf内核程序使用xxhash
04-04
可以通过在bpf内核程序使用libbpf库中的xxhash.h头文件来使用xxhash。 以下是一个简单的示例程序: ```c #include <linux/bpf.h> #include <linux/pkt_cls.h> #include <linux/types.h> #include <bpf/bpf_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值