是否有 function 可以通過 bpf_trace 獲取進程?
[英]Is there a function to get process via bpf_trace?
問題描述
上下文:我正在嘗試跟蹤特定端口的數據包並將其重定向但針對特定進程。 現在它跟蹤整個界面。
#define KBUILD_MODNAME "filter"
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/in.h>
#include <linux/udp.h>
int udpfilter(struct xdp_md *ctx) {
bpf_trace_printk("got a packet\n");
void *data = (void *)(long)ctx->data;
void *data_end = (void *)(long)ctx->data_end;
struct ethhdr *eth = data;
if ((void*)eth + sizeof(*eth) <= data_end) {
struct iphdr *ip = data + sizeof(*eth);
if ((void*)ip + sizeof(*ip) <= data_end) {
if (ip->protocol == IPPROTO_UDP) {
struct udphdr *udp = (void*)ip + sizeof(*ip);
if ((void*)udp + sizeof(*udp) <= data_end) {
if (udp->dest == ntohs(7999)) {
bpf_trace_printk("udp port 7999\n");
udp->dest = ntohs(7998);
}
}
}
}
}
return XDP_PASS;
}
Output 我得到
vagrant@vagrant:~$ sudo python3 main.py
/virtual/main.c:1:9: warning: 'KBUILD_MODNAME' macro redefined [-Wmacro-redefined]
#define KBUILD_MODNAME "filter"
^
<command line>:3:9: note: previous definition is here
#define KBUILD_MODNAME "bcc"
^
1 warning generated.
b' nc-1508 [000] ..s1 2564.611068: 0: got packet'
b' nc-1508 [000] ..s1 2564.611082: 0: udp port 7999'
b' nc-1508 [000] ..s1 2564.611090: 0: got packet'
b' nc-1508 [000] ..s1 2564.611093: 0: got packet'
b' nc-1508 [000] ..s1 2564.611094: 0: udp port 7999'
b' nc-1508 [000] ..s1 2564.611095: 0: got packet'
b' nc-1508 [000] ..s1 2565.611593: 0: got packet'
b' nc-1508 [000] ..s1 2565.611605: 0: udp port 7999'
b' nc-1508 [000] ..s1 2565.611618: 0: got packet'
b' nc-1508 [000] ..s1 2566.612184: 0: got packet'
b' nc-1508 [000] ..s1 2566.612195: 0: udp port 7999'
b' nc-1508 [000] ..s1 2566.612207: 0: got packet'
b' nc-1508 [000] ..s1 2567.611801: 0: got packet'
b' nc-1508 [000] ..s1 2567.611812: 0: udp port 7999'
b' nc-1508 [000] ..s1 2567.611825: 0: got packet'
nc是否有任何 function 到 grep 並且如果跟蹤到 udp 端口 7999,我可以使用 XDP_DROP 丟棄數據包。
如果 process == nc && udp->dest == ntohs(7999) XDP_DROP 是這樣的
1 個解決方案
解決方案1
0 2021-11-27 19:02:53
XDP 程序中的進程信息不可靠。 通常只是進程的 PID 被中斷以處理接收到的數據包,因此它最終可能是任何東西。 如果在接收服務器上增加一點負載,您可能會注意到報告了各種用戶空間進程,而不是nc 。
BPF:`bpf_obj_get_info_by_fd` 因`無效參數` 而失敗
[英]BPF: `bpf_obj_get_info_by_fd` fails with `Invalid argument`
XDP/BPF:是否有用戶空間替代`bpf_ktime_get_ns`?
[英]XDP/BPF: Is there an user-space alternative to `bpf_ktime_get_ns`?
tracepoint / syscalls / sys_enter不會觸發bpf_trace_printk
[英]tracepoint/syscalls/sys_enter doesn't trigger bpf_trace_printk
讀取用戶空間中 ebpf 的 BPF_MAP_TYPE_HASH 的更新值 | 可以使用 read() linux function 獲取 object 共享的當前值 Z1D78DC8ED51244E51AEZB5114
[英]reading updated value of ebpf's BPF_MAP_TYPE_HASH in userspace | Can read() linux function be used to get current value of object shared through map
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何通過 kprobe 將 BPF 程序附加到內核函數?
bpf_trace_printk 格式指針
理解一個功能。 pcap和BPF
BPF:`bpf_obj_get_info_by_fd` 因`無效參數` 而失敗
XDP 替代 bpf_get_current_pid
線程可以跟蹤進程嗎?
XDP/BPF:是否有用戶空間替代`bpf_ktime_get_ns`?
tracepoint / syscalls / sys_enter不會觸發bpf_trace_printk
讀取用戶空間中 ebpf 的 BPF_MAP_TYPE_HASH 的更新值 | 可以使用 read() linux function 獲取 object 共享的當前值 Z1D78DC8ED51244E51AEZB5114
跟蹤gcc鏈接器鏈接過程
相關標簽