![](https://img-blog.csdnimg.cn/20201014180756913.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
EBPF
EBPF
scan724
这个作者很懒,什么都没留下…
展开
-
ebpf 网络跟踪原理
第一个,kfree_skb ,它经常在网络异常丢包时调用;第二个,consume_skb ,它在正常网络连接完成时调用。紧随其后的 /comm=="curl"/ ,表示只跟踪 curl 进程,这是为了过滤掉其他不相关的进程操作。kprobe:kfree_skb 指定跟踪的内核函数为 kfree_skb;// 1. 第一个参数是 struct sk_buff。// 4. 打印源IP、目的IP和内核调用栈。// 2. 从网络头中获取源IP和目的IP。// 3. 只处理TCP协议。原创 2023-11-07 18:55:54 · 444 阅读 · 0 评论 -
ebpf 跟踪应用程序函数
sudo bpftrace -e 'usdt:/usr/bin/python3:function__entry { printf("%s:%d %s\n", str(arg0), arg2, str(arg1))}'scan@scan-virtual-machine:~/ebpf$ cat test.pydef test_fun1(): return('aaaaaaaaaaa')print(test_fun1())<frozen zipimport>:63 __init__<frozen im原创 2023-11-01 21:56:36 · 324 阅读 · 0 评论 -
09 用户态跟踪:如何使用eBPF排查应用程序?
09 用户态跟踪:如何使用eBPF排查应用程序?原创 2023-10-29 22:25:49 · 376 阅读 · 0 评论 -
使用 BCC 开发的 eBPF 程序包含两部分:
第二部分是用 Python 语言开发的前端界面,其中包含 eBPF 程序加载、挂载到内核函数和跟踪点,第一部分是用 C 语言开发的 eBPF 程序。在 eBPF 程序中,在前端程序中,你同样可以利用 BCC 库来访问 BPF 映射。你可以利用 BCC 提供的库函数和宏定义简化你的处理逻辑。以及通过 BPF 映射获取和打印执行结果等部分。原创 2023-10-29 21:35:01 · 114 阅读 · 0 评论 -
利用bftrace跟踪运行进程
rw-rw-r-- 1 scan scan 724 10月 21 21:59 trace-open.py。-rw-rw-r-- 1 scan scan 753 10月 21 22:04 trace-open.c。-rwxr-xr-x 1 scan scan 1651112 10月 22 11:29 bpftool。drwx------ 3 scan scan 4096 10月 21 20:11 snap。利用bftrace跟踪运行进程。原创 2023-10-29 21:14:40 · 172 阅读 · 0 评论 -
ebpf解决哪些问题
网络类 eBPF 程序主要用于对网络数据包进行过滤和处理,进而实现网络的观测、过滤、流量控制以及性能优化等。跟踪类 eBPF 程序主要用于从系统中提取跟踪信息,进而为监控、排错、性能优化等提供数据支撑;原创 2023-10-28 21:18:18 · 62 阅读 · 0 评论 -
使用 BCC 开发 eBPF 程序
使用 BCC 开发 eBPF 程序,可以把前面讲到的五步简化为下面的三步。第二步:使用 Python 和 BCC 库开发一个用户态程序。第一步:使用 C 开发一个 eBPF 程序。第三步:执行 eBPF 程序。原创 2023-10-28 16:28:15 · 160 阅读 · 0 评论 -
安装clang
安装clang:@m64@m64clangclang-14[sudo] scan 的密码:原创 2023-10-28 16:06:50 · 271 阅读 · 0 评论 -
linux-tools-$(uname -r) linux-headers-$(uname -r)工具安装:
linux-tools-5.13.0-19-generic 已经是最新版 (5.13.0-19.19~20.04.1)。linux-headers-5.13.0-19-generic 已经是最新版 (5.13.0-19.19)。升级了 0 个软件包,新安装了 0 个软件包,要卸载 0 个软件包,有 2 个软件包未被升级。升级了 0 个软件包,新安装了 0 个软件包,要卸载 0 个软件包,有 2 个软件包未被升级。正在分析软件包的依赖关系树... 完成。正在分析软件包的依赖关系树... 完成。原创 2023-10-28 11:37:31 · 316 阅读 · 0 评论 -
apm 字节码技术
我们需要对它的字节码进行改写,自动注入一些代码达到监控的功能,一个最简单的模型如下面的代码所示。假设有这样一个函数,我们需要进行监控。原创 2023-10-25 20:25:50 · 125 阅读 · 0 评论 -
开发一个ebpf程序
第 3) 处将 BPF 程序挂载到内核探针(简称 kprobe),其中 do_sys_openat2() 是系统调用 openat() 在内核中的实现;第 4) 处则是读取内核调试文件 /sys/kernel/debug/tracing/trace_pipe 的内容,并打印到标准输出中。开发一个 eBPF 程序需要经过开发 C 语言 eBPF 程序、编译为 BPF 字节码、加载 BPF 字节码到内核、让我们来看看每一处的具体含义:第 1) 处导入了 BCC 库的 BPF 模块,以便接下来调用;原创 2023-10-22 20:26:21 · 246 阅读 · 0 评论 -
ebpf 内核跟踪获取执行的所有指令
'}'原创 2023-10-22 16:06:30 · 150 阅读 · 0 评论 -
WARNING: bpftool not found for kernel 5.13.0-19
uname -r。原创 2023-10-22 11:30:53 · 195 阅读 · 0 评论 -
ebpf 追踪打开的文件
1原创 2023-03-14 17:11:15 · 518 阅读 · 0 评论 -
ebpf 程序demo
ebpf原创 2023-03-13 19:59:46 · 516 阅读 · 0 评论 -
ebpf介绍
ebpf原创 2023-03-12 08:36:23 · 115 阅读 · 0 评论