[英]Is there a function to get process via bpf_trace?
上下文:我正在嘗試跟蹤特定端口的數據包並將其重定向但針對特定進程。 現在它跟蹤整個界面。
#define KBUILD_MODNAME "filter"
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/in.h>
#include <linux/udp.h>
int udpfilter(struct xdp_md *ctx) {
bpf_trace_printk("got a packet\n");
void *data = (void *)(long)ctx->data;
void *data_end = (void *)(long)ctx->data_end;
struct ethhdr *eth = data;
if ((void*)eth + sizeof(*eth) <= data_end) {
struct iphdr *ip = data + sizeof(*eth);
if ((void*)ip + sizeof(*ip) <= data_end) {
if (ip->protocol == IPPROTO_UDP) {
struct udphdr *udp = (void*)ip + sizeof(*ip);
if ((void*)udp + sizeof(*udp) <= data_end) {
if (udp->dest == ntohs(7999)) {
bpf_trace_printk("udp port 7999\n");
udp->dest = ntohs(7998);
}
}
}
}
}
return XDP_PASS;
}
Output 我得到
vagrant@vagrant:~$ sudo python3 main.py
/virtual/main.c:1:9: warning: 'KBUILD_MODNAME' macro redefined [-Wmacro-redefined]
#define KBUILD_MODNAME "filter"
^
<command line>:3:9: note: previous definition is here
#define KBUILD_MODNAME "bcc"
^
1 warning generated.
b' nc-1508 [000] ..s1 2564.611068: 0: got packet'
b' nc-1508 [000] ..s1 2564.611082: 0: udp port 7999'
b' nc-1508 [000] ..s1 2564.611090: 0: got packet'
b' nc-1508 [000] ..s1 2564.611093: 0: got packet'
b' nc-1508 [000] ..s1 2564.611094: 0: udp port 7999'
b' nc-1508 [000] ..s1 2564.611095: 0: got packet'
b' nc-1508 [000] ..s1 2565.611593: 0: got packet'
b' nc-1508 [000] ..s1 2565.611605: 0: udp port 7999'
b' nc-1508 [000] ..s1 2565.611618: 0: got packet'
b' nc-1508 [000] ..s1 2566.612184: 0: got packet'
b' nc-1508 [000] ..s1 2566.612195: 0: udp port 7999'
b' nc-1508 [000] ..s1 2566.612207: 0: got packet'
b' nc-1508 [000] ..s1 2567.611801: 0: got packet'
b' nc-1508 [000] ..s1 2567.611812: 0: udp port 7999'
b' nc-1508 [000] ..s1 2567.611825: 0: got packet'
nc
是否有任何 function 到 grep 並且如果跟蹤到 udp 端口 7999,我可以使用 XDP_DROP 丟棄數據包。
如果 process == nc && udp->dest == ntohs(7999) XDP_DROP 是這樣的
XDP 程序中的進程信息不可靠。 通常只是進程的 PID 被中斷以處理接收到的數據包,因此它最終可能是任何東西。 如果在接收服務器上增加一點負載,您可能會注意到報告了各種用戶空間進程,而不是nc
。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.