bpf对内核的观测
目录
- 1 bpftrace常用命令
- 1.1 列出bpftrace 相关命令的list
- 1. 2bpftrace -e 是执行
- 1.3 查看参数 -lv
- 2 bpftrace 可以用到的变量
- 3 高级
- 3.1 内置函数
- 3.2 文件系统
- 3.3 内核内存 栈
- 3.4 Malloc 调用 统计
- 3.5 系统调用 brk 的 统计
- 3.6 脚本调用
- 4 应用
- 5 怎么串联起来呢
bpftrace 总的来说是对线上项目的系统调用的函数的观测,因为这时已经不能往函数里面加log了。
相关的开源项目 https://github.com/iovisor/bpftrace
1 bpftrace常用命令
1.1 列出bpftrace 相关命令的list
bpftrace -l
$ sudo bpftrace -l | grep accept
tracepoint:syscalls:sys_enter_accept4
tracepoint:syscalls:sys_exit_accept4
tracepoint:syscalls:sys_enter_accept
tracepoint:syscalls:sys_exit_accept
kprobe:bpf_lsm_socket_accept
kprobe:vfs_dentry_acceptable
kprobe:find_acceptable_alias
kprobe:security_socket_accept
kprobe:selinux_socket_accept
kprobe:apparmor_socket_accept
1. 2bpftrace -e 是执行
使用命令
# bpftrace -e 'BEGIN { printf("hello n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_accept { printf("accept\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_accept4 { printf("accept4\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_connect { printf("connect\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_read { printf("read\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_write { printf("write\n"); }'
# bpftrace -e 'tracepoint:syscalls:sys_enter_close { printf("close\n"); }'
1.3 查看参数 -lv
$ sudo bpftrace -lv 'tracepoint:syscalls:sys_enter_write'
tracepoint:syscalls:sys_enter_writeint __syscall_nr;unsigned int fd;const char * buf;size_t count;
bpftrace语法结构
bpftrace的语法结构是参考awk的。
probes /filter/ { action }
probes :事件,tracepoint, kprobe, kretprobe, uprobe。两个特殊事件 BEGIN/END,用于脚本开始和结束处执行
filter :过滤条件,事件触发时,判断条件,例如:/pid == 3245/,表示pid为3245的进程执行。
action :具体执行的操作,例如:{ printf(“close\n”);} 打印close
想到的应用,如上图中,kprobe的时候记录一下时间t1,kretprobe记录一下时间t2,t2-t1就是这个内核函数调用的时间
2 bpftrace 可以用到的变量
内置变量
bpftrace脚本常用变量如下:
uid:用户id。
tid:线程id
pid:进程id。
cpu:cpu id。
cgroup:cgroup id.
probe:当前的trace点。
comm:进程名字。
nsecs:纳秒级别的时间戳。
kstack:内核栈描述
curtask:当前进程的task_struct地址。
args:获取该kprobe或者tracepoint的参数列表
arg0:获取该kprobe的第一个变量,tracepoint不可用
arg1:获取该kprobe的第二个变量,tracepoint不可用
arg2:获取该kprobe的第三个变量,tracepoint不可用
retval: kretprobe中获取函数返回值
args->ret: kretprobe中获取函数返回值
自定义变量
以’ ′ 标志起来定义与引用变量,例如: '标志起来定义与引用变量,例如: ′标志起来定义与引用变量,例如:idx = 0;
3 高级
进一步,还有 “自定义变量”,”map变量“,“内置函数”, “文件系统”, “磁盘”, “进程”。
3.1 内置函数
(可以查一下,bpftrace的内置函数有哪些)
应用举例:(具体的路径加程序名:函数名)
#bpftrace -e ‘tracepoint:syscalls:sys_enter_accept4
{ printf(“accept 4 %ld n”, pid); }’
3.2 文件系统
统计调用read 的次数,
#bpftrace e 't:syscalls:sys_enter_read {@[probe]=count();
3.3 内核内存 栈
#bpf trace e 't:kmem:kmem_cache_alloc { @bytes[kstack] =
sum(args -->bytes_alloc);
分析内核实时函数栈, 统计ip_output 调用栈:
#bpftrace -e ‘kprobe:ip_output { @[kstack()] = count(); } interval:s:10 { exit(); }’
#bpftrace -e ‘kprobe:ip_output { @[kstack(3)] = count(); }’
3.4 Malloc 调用 统计
#bpftrace e 'u:/lib/x86_64 linux gnu/libc.so.6:malloc
{@[ustack, comm] = sum(arg0);
3.5 系统调用 brk 的 统计
#统计
统计进程进程发生发生缺页缺页中断中断
#bpftrace bpftrace --e ‘t:exceptions:page_fault_user { @[ustack, comm] e ‘t:exceptions:page_fault_user { @[ustack, comm] = count(); }’= count(); }’
3.6 脚本调用
比如侦测系统调用 accept,查IP,端口…
inet_csk_accept 这个函数是通过 bpftrace -l grep相关的accept函数,然后结合内核源码找到的
$ sudo bpftrace -l | grep inet_csk_accept
kprobe:inet_csk_accept
eg1 : 新建一个accept.bt的文件,内容如下:(这里需要查阅一下bpftrace的语法,与应用举例了)
#include <net/sock.h>BEGIN
{printf("%8s %6s %15s", "TIME", "PID", "COMM");printf("%20s %6s %20s %6s\n", "RADDR", "RPORT", "LADDR", "LPORT");
}kretprobe:inet_csk_accept
{$sk = (struct sock*)retval; // retval是inet_csk_accept的返回值$raddr = ntop($sk->__sk_common.skc_daddr); // ntop 是将32位的值转换IP地址加port模式,类似 地址转换函数inet_ntoa、inet_ntop、inet_pton、inet_addr // ntop([int af, ]int|char[4|16] addr) Convert IP address data to text$laddr = ntop($sk->__sk_common.skc_rcv_saddr);time("%H:%M:%S");printf("%6d %15s", pid, comm);printf("%20s, %20s\n", $raddr, $laddr);}
执行#bpftrace accept.bt
参考:
eg2: accept4.bt 里面探测write方法,可以打印出buf,可以包括很多信息,比如用户名,密码,因此这些信息要用密文,至少不那么容易破解。
tracepoint:syscalls:sys_enter_accept4
{ printf("accept4 %s\n", comm);
}tracepoint:syscalls:sys_enter_accept
{ printf("accept %s\n", comm);
}tracepoint:syscalls:sys_enter_connect
{ printf(" connect \n");
}tracepoint:syscalls:sys_enter_read
/ comm == "nginx"/
{printf(" read %s, %d\n", comm, pid);
}tracepoint:syscalls:sys_enter_write
/ comm == "git" || comm == "git-remote-http"/
{printf(" write %s, %d, buf: %s\n", comm, pid, str(args->buf));
}
执行 #bpftrace accept4.bt
4 应用
类似 tcpdump -i eth0
5 怎么串联起来呢
就是要对内核比较熟悉,对文件操作(vfs…),网络操作熟悉,然后灵活运用。
eg3 : vfs的例子
#include <linux/fs.h>
#include <linux/path.h>
#include <linux/dcache.h>kprobe:vfs_open
/ comm == "cat"/
{ printf("vfs_open: %s, name: %s\n", comm, str(((struct path*)arg0)->dentry->d_name.name));
}kprobe:vfs_write
/ comm == "cat"/
{$file = str(((struct file*)arg0)->f_path.dentry->d_name.name);printf("vfs_write: %s, count: %d, buf:%s\n", $file, arg2, str(arg1));
}
可以用cat命令去测试,cat一个文件可以触发vfs_open。参考
相关文章:
bpf对内核的观测
目录 1 bpftrace常用命令1.1 列出bpftrace 相关命令的list1. 2bpftrace -e 是执行1.3 查看参数 -lv 2 bpftrace 可以用到的变量3 高级3.1 内置函数3.2 文件系统3.3 内核内存 栈3.4 Malloc 调用 统计3.5 系统调用 brk 的 统计3.6 脚本调用 4 应用5 怎么串联起来呢 bpftrace 总的…...
Tiktok shop api 调试
记录一下调试Tiktok shop api 踩坑记录。 主要是在按官网api上规则和加密生成sign时候一直通不过的问题: 官网地址:https://partner.tiktokshop.com/doc/page/63fd743e715d622a338c4eab 直接贴代码了 import lombok.extern.slf4j.Slf4j;import javax.cr…...
QFSFileEngine::open: No file name specified解决方案
问题 使用QFile类进行文件操作时,报错QFSFileEngine::open: No file name specified。 原因 QFile::open: No file name specified是Qt中的一个错误消息,提示没有指定文件名导致文件无法打开。这个错误通常出现在使用QFile::open()函数时没有提供有效…...
Flappy bird项目
一、功能分析 1、小鸟自动向右滑行 2、按下空格小鸟上升,不按下落 3、显示小鸟需要穿过的管道 4、管道自动左移和创建 5、小鸟和管道碰撞,游戏结束 6、技术 7、 项目框图 8、Ncurses 1)创建窗口界面,移动光标,产…...
高校教务系统登录页面JS分析——西安科技大学
高校教务系统密码加密逻辑及JS逆向 本文将介绍高校教务系统的密码加密逻辑以及使用JavaScript进行逆向分析的过程。通过本文,你将了解到密码加密的基本概念、常用加密算法以及如何通过逆向分析来破解密码。 本文仅供交流学习,勿用于非法用途。 一、密码加…...
Mysql 事务的实现原理
Mysql 里面的事务,满足 ACID 特性,所以Mysql 的事务实现原理,就是InnoDB 是如何保证 ACID 特性的。 ACID A 表示 Atomic 原子性,也就是需要保证多个 DML 操作是原子的,要么都成功,要么都失败。那么…...
使用vscode搭建虚拟机
首先vscode插件安装 名称: Remote - SSH ID: ms-vscode-remote.remote-ssh 说明: Open any folder on a remote machine using SSH and take advantage of VS Codes full feature set. 版本: 0.51.0 VS Marketplace 链接: https://marketplace.visualstudio.com/items?it…...
C# 使用 LibUsbDotNet 实现 USB 设备检测
国庆节回来后的工作内容,基本都在围绕着各种各样的硬件展开,这无疑让本就漫长的 “七天班” ,更加平添了三分枯燥,我甚至在不知不觉中学会了,如何给打印机装上不同尺寸的纸张。华为的 Mate 60 发布以后,人群…...
系统安全分析与设计
系统安全分析与设计(2分) 内容提要 对称加密与非对称加密 加密技术与认证技术 加密技术(只能防止第三方窃听) 讲解地址:对称加密与非对称加密_哔哩哔哩_bilibili 认证技术 骚戴理解:数字签名是用私钥签名…...
UE4 AI群集实现
逻辑就不用说了,就是计算对应图形位置让每个Pawn移动到该位置 因为有时候AI与AI会卡住 所以加上这个Bool为true,以及设置两个AI之间至少隔的距离,设置在一个合理的参数即可 有时候AI群集,AI与AI会比较紧密,可以将Caps…...
机器学习---CNN(创建和训练一个卷积神经网络并评估其性能)下
import numpy as np import matplotlib.pyplot as plt from cnn_operations import cnn_operations as cnn_opr convolutional_neural_network模块: 1. 卷积神经网络类 def __init__(self):# 网络的层数self.n_layers 0# list,网络中的各层self.layers…...
2021-arxiv-Prefix-Tuning- Optimizing Continuous Prompts for Generation
2021-arxiv-Prefix-Tuning- Optimizing Continuous Prompts for Generation Paper:https://arxiv.org/pdf/2101.00190.pdf Code:https://github.com/XiangLi1999/PrefixTuning 前缀调优:优化生成的连续提示 prefix-tunning 的基本思想也是想…...
使用CMakeLists.txt简化项目构建过程
在软件开发过程中,项目的构建是一个不可避免的环节。而随着项目规模的增大,手动管理编译过程变得越来越繁琐。为了简化构建流程并实现跨平台支持,CMake作为一种流行的构建系统被广泛采用。本文将介绍CMakeLists.txt文件的结构,以及…...
构建并训练简单的CNN
1. 构建并训练深度神经网络模型 1.1 准备数据集 本次使用自己生成的一些数据,如下生成代码: # 准备数据集 # 此处自己生成一些原始的数据点 dataset_X=np.linspace(-10,10,100) dataset_y=2*np.square(dataset_X)+7...
Axi_Lite接口的IP核与地址与缓冲与AxiGP0
AXI Interconnect互连内核将一个或多个 AXI 内存映射主设备连接到一个或多个内存映射从设备。 AXI_GP 接口 AXI_GP 接口是直接连接主机互联和从机互联的端口的。 AXI_HP 接口具有一个 1kB 的数据 FIFO 来做缓冲 [4],但是 AXI_GP 接口与它不同,没…...
maven以及配置
oss oss配置 <!--oss--> <dependency><groupId>com.aliyun.oss</groupId><artifactId>aliyun-sdk-oss</artifactId><version>3.6.0</version></dependency> lombok <!--lombok--><dependency><gro…...
系统可靠性分析与设计
系统可靠性分析与设计 内容提要 可靠性相关概念 骚戴理解:计算机系统的可靠性和可用性不是完全相同的概念,尽管它们在某些方面有重叠之处。 可靠性指的是计算机系统在特定时间段内正常运行的能力,即系统在面对各种故障或意外情况时能够继续…...
热点不热!如何修复笔记本电脑未连接到移动热点的问题
当你远离常规Wi-Fi时,移动热点是让你的笔记本电脑上网的关键,但当它没有按计划运行时,你会怎么办?以下是Windows笔记本电脑无法连接到移动热点时的几种修复方法。 为什么我的笔记本电脑没有连接到我的热点 由于你的笔记本电脑正试图连接到另一个有限制和可能存在问题的设…...
2024年申报国自然项目基金撰写及技巧
随着社会经济发展和科技进步,基金项目对创新性的要求越来越高。申请人需要提出独特且有前瞻性的研究问题,具备突破性的科学思路和方法。因此,基金项目申请往往需要进行跨学科的技术融合。申请人需要与不同领域结合,形成多学科交叉…...
springMvc的简介
1.说说你对 SpringMVC 的理解 SpringMVC 是基于对java EE servlet的封装,它是轻量级MVC 框架,它是Spring下的一个模块,我们通过编写一个方法实现对应的handler,一个servlet 请求 2.什么是MVC模式? MVC全名是Model V…...
Hermes Agent 完整知识总结与使用教程
Hermes Agent 完整知识总结与使用教程项目地址: https://github.com/NousResearch/hermes-agent 官方文档: https://hermes-agent.nousresearch.com/docs一、项目概述 1.1 Hermes Agent 是什么? Hermes Agent 是由 Nous Research 构建的开源自我改进型 AI 智能体。它…...
流程控制作业
1、从键盘输入三个同学的成绩,然后找出最高分。2、输入三个同学的成绩,然后由大到小排序。3、求出1000以内的所有完数,如6123除了它自身以外的因子之和等于它本身叫完数。...
)
ArcGIS新手必看:用‘镶嵌至新栅格’搞定不同分辨率DEM的无缝拼接(附像素类型避坑点)
ArcGIS DEM融合实战:从参数原理到完美拼接的完整指南 当你第一次尝试将不同分辨率的DEM数据拼接在一起时,那种"平地起高楼"的突兀感可能让你抓狂——低分辨率区域像模糊的马赛克,而高精度部分则像孤岛般突兀隆起。这不是你操作的问…...
Qwen2.5-72B-Instruct-GPTQ-Int4部署教程:vLLM Token统计+成本核算接口
Qwen2.5-72B-Instruct-GPTQ-Int4部署教程:vLLM Token统计成本核算接口 1. 模型简介 Qwen2.5-72B-Instruct-GPTQ-Int4是Qwen大语言模型系列的最新版本,具有72.7亿参数规模,采用GPTQ 4-bit量化技术。这个指令调优模型在多个方面实现了显著提升…...
简报:2026年3月具身智能机器人融资情况
2026年3月,国内具身智能机器人赛道迎来融资热潮,在政策东风产业加速的双重驱动下,融资数量、金额、单笔规模均创历史新高,呈现出“大额融资密集、头部效应凸显、全产业链覆盖” 的爆发态势。具身人工智能(E-AI…...
GFF3格式完全解析:从基因组注释到可视化实战教程
GFF3格式完全解析:从基因组注释到可视化实战教程 基因组注释是生物信息学分析中的核心环节,而GFF3作为当前主流的注释格式,其结构化设计能够精准描述基因、转录本、外显子等元素的层级关系。本文将带您深入理解GFF3的规范细节,并通…...
如何在5分钟内为视频自动生成专业字幕:VideoSrt开源工具深度指南
如何在5分钟内为视频自动生成专业字幕:VideoSrt开源工具深度指南 【免费下载链接】video-srt-windows 这是一个可以识别视频语音自动生成字幕SRT文件的开源 Windows-GUI 软件工具。 项目地址: https://gitcode.com/gh_mirrors/vi/video-srt-windows 还在为视…...
)
告别定时器中断!用RTA-OS硬件计数器实现超低功耗任务调度(AUTOSAR OS实战)
汽车电子低功耗革命:基于RTA-OS硬件计数器的精准调度实战 在汽车电子控制单元(ECU)开发中,静态功耗优化一直是工程师面临的棘手难题。传统基于SysTick的周期性中断方案就像一盏永不熄灭的指示灯,即使系统处于空闲状态也…...
阿里开源大模型Qwen2.5-7B实测:离线推理+结构化输出,提升数据处理效率
阿里开源大模型Qwen2.5-7B实测:离线推理结构化输出,提升数据处理效率 1. 引言:为什么选择Qwen2.5-7B进行离线推理 在当今数据驱动的业务环境中,企业面临着海量数据处理的需求。传统的大模型在线推理方式虽然灵活,但在…...
【爬虫实战对比】Requests vs Scrapy 笔趣阁小说爬虫,从单线程到高效并发的全方位升级
【爬虫实战对比】Requests vs Scrapy 笔趣阁小说爬虫,从单线程到高效并发的全方位升级 近期完成了笔趣阁小说爬虫的重构,从最初的Requests单线程版本,升级为Scrapy框架版本,过程中深刻体会到两者在开发效率、运行性能、代码可维护…...