ebpf tracepoint 功能分析

利用内核Tracepoint深入分析TCP协议栈
最新推荐文章于 2025-08-06 14:06:33 发布
原创 最新推荐文章于 2025-08-06 14:06:33 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #网络 #网络协议

本文介绍了如何查看系统支持的tracepoint,并通过示例展示了如何针对TCP协议栈进行内视。通过`ls /sys/kernel/debug/tracing/events/tcp`可以了解可用的TCP tracepoints,如`tcp_destroy_sock`, `tcp_rcv_space_adjust`等。作者提到,例如要跟踪`tcp_receive_reset`函数,可以查找`trace_tcp_receive_reset`,并强调此tracepoint可能在不同场景下被调用。文章适合对内核调试和TCP协议感兴趣的读者。
部署运行你感兴趣的模型镜像

1. 查看系统支持的所有tracepoint
find /sys/kernel/debug/tracing/events -type d 

可以查看到当前系统支持的所有tracepoint函数点,大家在利用tracepoint功能的时候最好先看看对应的子系统在那些地方有hook点,评估是否能满足功能。比如说你想内视TCP协议栈,那么你可以先tcp trace 支持那些功能:

[root@xxx tcp]# ls /sys/kernel/debug/tracing/events/tcp
enable  tcp_destroy_sock  tcp_rcv_space_adjust  tcp_retransmit_skb     tcp_send_reset
filter  tcp_probe         tcp_receive_reset     tcp_retransmit_synack

这样你就可能跟有的放矢的利用这些Hook点实现自己的功能了。

如果需要查找tcp_receive_reset函数的trace功能,可以在内核中查找trace_tcp_receive_reset,就是该函数的对应的埋点函数了。

[root@xxx]# grep -rn "tcp_receive_reset" net
net/ipv4/tcp_input.c:4051:    trace_tcp_receive_reset(sk);

特别需要指出的是 trace_tcp_receive_reset 是埋点函数,但是不一定就只在tcp_receive_reset调用,比如cpu的相关埋点函数。

接下来有个项目会利用 tracepoint/tcp的能力来构建。

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

Kindling项目目标利用eBPF技术带来的可观测性的上帝视角 ——关联内核可观测数据的trace
eBPF_Kindling的博客
04-06 1118
当前可观测性工具在云原生环境缺失了什么? 大家在使用可观测性产品当中,海量的数据一定会给排障带来障碍。稍微有点排障经验的技术人员都希望排障过程中能够追寻trace,并能沿着这个trace将各种可观测性的数据关联到这个trace上,这样最终就可以将问题根因找到。在eBPF技术出现之前,大家最常用的trace就是dapper论文中提到分布式追踪技术,但是在实际落地过程中会经常碰到以下痛点: 第一个痛点:探针自动化覆盖依赖人工: APM探针安装需要人工安装,应用重启才能生效,所以很难做到自动化覆盖所有业务。
tracepoint 原理详细分析
看我眼色行事的博客
08-03 2871
tracepoint 机制是内核的静态事件点跟踪机制,提供了一系列的内核事件点跟踪,可以在 ftrace,perf,bpf 等其他跟踪器一起使用,为用户提供强大的内核调试机制和实际工程作用。
eBPF】使用bcc构建tracepoint程序
weixin_43144516的博客
07-13 1050
前言 Tracepoint Programs是一类典型的eBPF程序。 《Linux Observability with BPF》一书中这样介绍Tracepoint Programs: This type of program allows you to attach BPF programs to the tracepoint handler provided by the kernel. Tracepoint programs are defined with the type BPF_PROG_T
eBPF内核实现之TRACING
qq_17045267的博客
07-06 3814
eBPF目前被广泛应用于Linux系统中的各个领域,包括网络、安全、性能、调测等。其中,内核trace算是eBPF比较早所支持的特性。最早的用于内核trace的eBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于trace的eBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
Linux内核 eBPF基础:Tracepoint原理源码分析
RToax
05-10 3866
Linux内核 eBPF基础 Tracepoint原理源码分析 荣涛 2021年5月10日 1. 基本原理 需要注意的几点: 本文将从sched_switch相关的tracepoint展开; 关于static_key,请详见本博客jump-label相关文章Linux Jump Label(x86)、Linux Jump Label/static-key机制详解; 可参见内核注释版代码:https://github.com/Rtoax/linux-5.10.13 1.1. 源码头文件结构 首先看t
eBPF(4)--tracepoint程序类型
pigstor的博客
06-10 418
《BPFtrace跟踪点上下文解析方法》 摘要: 本文介绍了BPFtrace中跟踪点(tracepoint)的上下文处理方法。首先通过bpftrace -l "tracepoint:*:*"命令列出所有可用插桩点,然后通过系统文件查看具体跟踪点的上下文格式。文章详细说明了两种处理上下文的方式:1)自定义结构体方法,需根据/sys/kernel/tracing/events下的事件格式文件重构上下文结构体;2)使用vmlinux.h预定义的结构体,但需注意并非所有跟踪点都有预定义结构。
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
Tencent_SRC的博客
11-03 3609
作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
理解并使用Linux 内核中的 Tracepoint
Linux内核研究者
12-19 1809
本文探讨Linux内核中的Tracepoint机制,旨在为内核调试与性能分析提供一种高效、灵活且低侵入性的方法。相较于传统的printk手段,Tracepoint克服了日志噪音大、性能开销高及修改源代码的不便等问题。它作为一种轻量级跟踪解决方案,在不影响系统正常业务逻辑的前提下,允许开发者和系统管理员动态地开启或关闭跟踪功能,收集精确的时间戳和上下文信息,有效减少对系统性能的影响,并更好地定位复杂问题。
初识ebpf
Phoenix_zxk的博客
09-27 382
初识ebpf及学习地址
eBPF实战专题九 | Tracepoints、Kprobes,还是Fprobes,该如何选择?
最新发布
DBdoctor_off的博客
08-06 950
虽然大多数eBPF程序都能采集和传输内核事件数据,但在实际应用中,kprobes、fprobes和tracepoints因其精准的事件挂钩能力和丰富的数据获取能力,成为性能监控和系统调用跟踪的首选方案。这些工具虽然功能存在交叉,但各有侧重:kprobes/fprobes适合动态内核函数级深度分析,而tracepoints则以其稳定性更适合生产环境监控。本文将深入解析它们的适用场景,帮助您做出最优选择。
深入浅出 eBPF 安全项目 Tracee
dwh0403的专栏
09-11 1704
原文地址: https://www.ebpf.top/post/tracee_intro/ 1. Tracee 介绍 1.1 Tracee 介绍 Tracee 是一个用 于 Linux 的运行时安全和取证工具。它使用 Linux eBPF 技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式。Tracee 以 Docker 镜像的形式交付,监控操作系统并根据预定义的行为模式集检测可疑行为。完整文档参见:https://aquasecurity.github.io/tracee/dev/。
动态控制eBPF程序加载:检查 Tracepoint、Kprobe是否存在
2401_84703565的博客
06-02 1311
eBPF 程序开发中,确保程序能够在各种不同的系统配置中兼容运行是至关重要的。本文将详细介绍一个方案,通过动态检查Tracepoint、Kprobe是否存在,并结合libbpf的API接口控制 eBPF 程序的加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本和系统配置中的兼容性。检查指定的 Tracepoint 是否存在;检查指定的 Kprobe 是否存在;
AOSP平台编写Android-ebpf程序(tracepoint)的一些map定义和使用问题,导致map和prog无法产生的原因。
m0_68715848的博客
03-19 2485
我们重启手机之后发现只产生了三个map,且prog没有产生:由于map的产生是根据内核态定义的顺序来的,所以就是到第四个map出现了问题,也就是我们刚刚修改的map,这里的原因暂且不清楚,之前猜测可能是因为大小超出了限制的原因,然而实际上修改为1024也不能产生,然而time_in_state中其实用到了ARRAY来传递结构体的:现在猜测可能是因为array是连续的数组,而hash是一个散列表可能是索引错误的原因,这里后面在做尝试吧。目前测试的结果,只要是使用结构体作value值的话,
【博客577】使用ebpf工具nettrace追踪网络包流向
qq_43684922的博客
01-08 3708
nettrace是一款基于eBPF的集网络报文跟踪(故障定位)、网络故障诊断、网络异常监控于一体的网络工具集,旨在能够提供一种更加高效、易用的方法来解决复杂场景下的网络问题。网络报文跟踪:跟踪网络报文从进入到内核协议栈到释放/丢弃的过程中在内核中所走过的路径,实现报文整个生命周期的监控,并采集生命周期各个阶段的事件、信息。通过观察报文在内核中的路径,对于有一定内核协议栈经验的人来说可以快速、有效地发现网络问题。
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5831
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
使用 Linux tracepoint、perf 和 eBPF 跟踪数据包
hao_wujing的专栏
01-12 1433
接下来我们从一个简单的 hello world 例子展示如何在底层打点。netif_rx每当网络包经过这些点,我们的处理逻辑就会触发。为保持简单,我们的处理逻辑只是将程 序的comm字段(16 字节)发送出来(到用户空间程序),这个字段里存的是发 送相应的网络包的程序的名字。return 0;/***/可以看到,程序 attach 到 4 个 tracepoint,并会访问skbaddr字段,将其传给处理 逻辑函数,这个函数现在只是将程序名字发送出来。
ftrace,kprobe,tracepoint 入门
weixin_38184628的博客
02-21 2639
调试工具在开发过程中是必不可少的,特别是在定位 bug, 分析性能瓶颈的时候,调试工具可以给我们很大的帮助。在使用 c/c++ 做应用开发时,gdb 是我们经常使用的调试工具,在使用 gdb 时, 我们可以设置断点,查看调用栈,单步执行,修改或查看变量等。调试工具可以帮助我们直观地观察到软件的运行过程,进而使我们快速熟悉一个新的软件。比如在工作中,想要了解已有软件的架构,只靠看代码是很难了解透彻的,通过日志和调试工具可以提高学习效率。
利用tcpprobe思想和tracepoint利器可以做一个检测丢包工具
沧海一声笑的专栏
08-11 1682
tcp工具
bpftrace使用
L.
09-11 1154
eBPF(Extended Berkeley Packet Filter):eBPF是一种虚拟机技术,允许在内核中运行安全的、可编程的代码片段,以便对系统执行深入的跟踪和监视。eBPF提供了一种灵活且高效的方式来扩展内核的功能,并允许用户空间应用程序与内核交互。bpftrace语言:bpftrace提供了一种高级脚本语言,使用类似于awk的语法,用于编写跟踪脚本。bpftrace脚本通过eBPF提供的虚拟机执行,可以捕获和分析各种系统事件和指标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值