kprobe监控tcp_v4_connect

最新推荐文章于 2024-04-10 02:13:20 发布
最新推荐文章于 2024-04-10 02:13:20 发布
阅读量613 收藏 3
点赞数
分类专栏: kprobe linux kernel 文章标签: linux 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongjong/article/details/117881108
版权 
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/init.h>
#include <linux/uaccess.h>
#include <linux/inet.h>
#include <net/inet_sock.h>
#include <linux/limits.h>

static char func_name[NAME_MAX] = "tcp_v4_connect";
module_param_string(func, func_name, NAME_MAX, 0644);
MODULE_PARM_DESC(func, "Function to kretprobe; this module will report the"
		               " function's execution time");

static struct kprobe kp = {
	.symbol_name	= func_name
};

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
	struct sockaddr_in *usin = (struct sockaddr_in *)(regs->si);
	struct inet_sock *inet = inet_sk((struct sock *)(regs->di));
	__be16 sport = inet->inet_sport;
	__be32 saddr = inet->inet_saddr;
	__be32 daddr = usin->sin_addr.s_addr;

	printk(KERN_INFO "command: %s, pid: %d, src ip: %u.%u.%u.%u, src port: %d, dest ip: %u.%u.%u.%u, dest port: %d\n",
		   current->comm,
		   current->pid,
           ((unsigned char *)&saddr)[0],
           ((unsigned char *)&saddr)[1],
           ((unsigned char *)&saddr)[2],
           ((unsigned char *)&saddr)[3],
	       be16_to_cpu(sport),
	       ((unsigned char *)&daddr)[0],
	       ((unsigned char *)&daddr)[1],
	       ((unsigned char *)&daddr)[2],
	       ((unsigned char *)&daddr)[3],
	       be16_to_cpu(usin->sin_port));

	return 0;
}

static void handler_post(struct kprobe *p, struct pt_regs *regs,
			             unsigned long flags)
{
	printk(KERN_INFO "post_handler: p->addr = 0x%p, flags = 0x%lx\n",
		   p->addr, regs->flags);
}

static int handler_fault(struct kprobe *p, struct pt_regs *regs, int trapnr)
{
	printk(KERN_INFO "fault_handler: p->addr = 0x%p, trap #%d\n",
		   p->addr, trapnr);
	return 0;
}

static int __init kprobe_init(void)
{
	int ret;
	kp.pre_handler = handler_pre;
	kp.post_handler = handler_post;
	kp.fault_handler = handler_fault;

	ret = register_kprobe(&kp);
	if (ret < 0) {
		printk(KERN_INFO "register_kprobe failed, returned %d\n", ret);
		return ret;
	}
	printk(KERN_INFO "Planted kprobe at %p\n", kp.addr);
	return 0;
}

static void __exit kprobe_exit(void)
{
	unregister_kprobe(&kp);
	printk(KERN_INFO "kprobe at %p unregistered\n", kp.addr);
}

module_init(kprobe_init)
module_exit(kprobe_exit)
MODULE_LICENSE("GPL");

obj-m+=kprobe_sample.o
CONFIG_MODULE_SIG=n
all:
        make -C /lib/modules/$(shell uname -r)/build/ M=$(PWD) modules
clean:
        make -C /lib/modules/$(shell uname -r)/build/ M=$(PWD) clean

X86架构64位内核函数调用传参数使用的寄存器(calling.h)

 

yongjong
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
TCP之系统调用connect()之二
九天小哥的专栏
12-23 1800
这篇笔记记录connect()系统调用的后半部分,即客户端收到SYN+ACK响应,然后回复ACK的部分。 1. 客户端收到SYN+ACK报文 发送SYN请求报文后,TCB的状态由TCP_CLOSE迁移到TCP_SYN_SENT,所以在收到接收响应后,将由tcp_rcv_state_process()处理。 1.1 tcp_rcv_state_process() /* * This functio...
tcp_v4_connect函数
City_of_skey的博客
12-02 1553
tcp_v4_connect函数初始化一个对外的连接请求,创建一个SYN包并发送出去,把套接字的状态从CLOSE切换到SYN_SENT,初始化TCP部分选项数据包序列号、窗口大小、MSS、套接字传送超时等,下面分析tcp_v4_connect函数。   1、初始化工作 输入参数 sk:套接字指针。 uaddr:对端ip和端口。 addr_len:套接字地址长度。 检查目的IP长度、协...
tcp_v4_connect函数的解析
最新发布
高性价比服务器就选:蓝易云
04-10 192
在inet_connect函数内部,会调用tcp_connect函数,这个函数会发送一个SYN包到目标地址,然后等待目标地址的回应。然后,函数会调用inet_connect函数,这个函数会根据目标地址的信息创建一个新的套接字,并将这个套接字与目标地址进行连接。TCP_V4_CONNECT是Linux内核中的一个函数,它的主要作用是处理TCP协议的IPv4连接请求。第三个参数是地址的长度。总的来说,tcp_v4_connect函数是Linux内核中处理TCP协议的IPv4连接请求的关键函数。
tcp_v4_connect函数分析
wangpengqi的专栏
07-25 3113
当创建了TCP协议套接字后,客户端再调用connect()函数请求建立TCP链接。该函数通过系统调用触发tcp_v4_connect函数的执行,产生一个包含SYN标志和一个32位的序号的连接请求包,并发送给服务器端。 这是TCP三次握手的第一步。 我们知道,两个不同主机间的进程要进行通信,他们所发送的数据包所经过的路径为: 应用层→传输层→网络层→网络介质层 所以tcp_v
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
kprobe_jprobe
01-22
4. **启用/禁用**:使用`kprobe_enable()`和`kprobe_disable()`控制探测点的启用和禁用。 5. **注销探测点**:当不再需要探测时,使用`unregister_kprobe()`注销探测点。 ### jprobe `jprobe` 是kprobe的一个扩展...
kprobe_example.c
09-05
used to dump a stack trace and selected registers when do_fork() is called.
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
TCP socket上的connect
望星空
06-17 4713
mytcp_v4_connect是IPv4相关的一个tcp协议连接函数,在myinet_stream_connect中,检查到struct socket->state状态为SS_UNCONNECTED后,调用该函数。该函数首先调用myip_route_connect确定到连接对端的路由,根据路由查询的结果,填充inet_sock->saddr, inet_sock->rcv_saddr, inet
TCP/IP 监视器 monitor
09-26
TCP monitor增强版是一款监视网络状况(如流量、端口、连接网络的进程等)的软件
tcp/ip协议栈--socket API 之connect()
3-Number
09-29 898
0x01 缘由      前面一些博文简单学习了服务端 socket()、bind()、listen()、accept()过程,当没有客户端连接服务端时,服务端进程阻塞在accept处,等待客户端连接。客户端连接服务端利用connect() API。此处学习。 0x02 API介绍       0x03 源码单步跟踪      在另一台服务器运行server端,在guest主机运行cli
内核中的TCP的追踪分析-9-TCP(IPV4)的socket连接-续1
Tianjun_zhou的专栏
04-19 1296
我们继续昨天的socket的连接过程,继续看tcp_v4_connect()函数余下的代码,昨天我们已经看了前边的一段,现在看后面 if (tcp_death_row.sysctl_tw_recycle &&      !tp->rx_opt.ts_recent_stamp && rt->rt_dst == daddr) {         struct inet_pee
linux内核中,tcp连接三次握手过程中的,tcp协议栈中的函数调用关系
张同光 (Tongguang Zhang):Hello everyone !
04-01 1524
linux内核中,tcp连接三次握手过程中的,tcp协议栈中的函数调用关系
网络篇之connect
weixin_46381158的博客
01-19 547
客户端与服务端建立连接时,发送的第一个包,内核中都有哪些处理,让我们一块看下吧
python 性能优化监控工具_Linux性能优化(四)——BCC性能监控工具
weixin_35327824的博客
01-28 1572
一、BCC简介1、BCC简介BCC是一个Python库,简化了eBPF应用的开发过程,并收集了大量性能分析相关的eBPF应用。BCC为BPF开发提供了不同的前端支持,包括Python和Lua,实现了map创建、代码编译、解析、注入等操作,使开发人员只需聚焦于用C语言开发要注入的内核代码。BCC工具集大部分工具需要Linux Kernel 4.1以上版本支持,完整工具支持需要Linux Kernel...
kprobes/kretprobes 在 bcc 程序中的使用
金荣的个人技术博客
06-21 1544
1. kprobes/kretprobes 介绍 1.1 kprobes 介绍 kprobes 主要用来对内核进行调试追踪, 属于比较轻量级的机制,,本质上是在指定的探测点(比如函数的某行, 函数的入口地址和出口地址,,或者内核的指定地址处)插入一组处理程序.。内核执行到这组处理程序的时候就可以获取到当前正在执行的上下文信息, 比如当前的函数名, 函数处理的参数以及函数的返回值,,也可以获取到寄存器甚至全局数据结构的信息。 1.2 kretprobes 介绍 kretprobes 在 kprobes 的机制
龙蜥社区开源 coolbpf,BPF 程序开发效率提升百倍
weixin_60347558的博客
07-01 325
BPF 是一个新的动态跟踪技术,目前这项技术正在深刻的影响着我们的生产和生活。BPF 在四大应用场景发挥着巨大作用。
BPF_PROG_TYPE_KPROBE与BPF_PROG_TYPE_SYSCALL的作用有什么不同
04-01
BPF_PROG_TYPE_KPROBE和BPF_PROG_TYPE_SYSCALL都是eBPF程序类型,但它们的作用不同。 BPF_PROG_TYPE_KPROBE是用于内核探测点的eBPF程序类型。它可以被插入到内核函数的入口或出口处,以便监控和调试内核行为。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值