基于eBPF实现监控ssh登陆功能

最新推荐文章于 2024-10-09 15:54:28 发布
最新推荐文章于 2024-10-09 15:54:28 发布
阅读量723 收藏 8
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 系统安全 文章标签: 系统安全 linux 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/andlee/article/details/134757682
本文介绍了一个使用Python和BCC库编写的eBPF程序,它通过kprobe机制监控SSH登录事件,记录成功和失败情况,实时展示登录信息包括PID、进程名、时间及状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以下是一个基于eBPF监控SSH登录的程序的示例代码,使用Python编写:

```python
import os
import ctypes
from bcc import BPF

# eBPF程序
bpf_text = """
#include <uapi/linux/ptrace.h>
#include <linux/sched.h>

struct ssh_session {
    u32 pid;
    u64 login_time;
    int success;
    char comm[TASK_COMM_LEN];
};

BPF_HASH(sess_table, u32, struct ssh_session);

int trace_auth_success(struct pt_regs *ctx) {
    u32 pid = bpf_get_current_pid_tgid();
    u32 tid = bpf_get_current_tid_tgid();
    struct ssh_session *sess, init_sess = {};

    sess = sess_table.lookup(&pid);
    if (sess) {
        strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);
        sess->success = 1;
        sess->login_time = bpf_ktime_get_ns();
    } else {
        init_sess.pid = pid;
        init_sess.login_time = bpf_ktime_get_ns();
        init_sess.success = 1;
        bpf_get_current_comm(&init_sess.comm, sizeof(init_sess.comm));
        sess_table.update(&pid, &init_sess);
    }

    return 0;
}

int trace_auth_failure(struct pt_regs *ctx) {
    u32 pid = bpf_get_current_pid_tgid();
    struct ssh_session *sess = sess_table.lookup(&pid);

    if (sess) {
        strncpy(sess->comm, bpf_get_current_comm(), TASK_COMM_LEN);
        sess->success = 0;
    }

    return 0;
}
"""

# 编译并加载eBPF程序
b = BPF(text=bpf_text)
b.attach_kprobe(event="ssh:auth_success", fn_name="trace_auth_success")
b.attach_kprobe(event="ssh:auth_failure", fn_name="trace_auth_failure")

# 读取并打印SSH登录信息
sess_table = b.get_table("sess_table")
print(f"{'PID':<6}{'COMM':<16}{'LOGIN TIME':<20}{'STATUS':<10}")
for k, v in sess_table.items():
    sess = v.sess
    status = "Success" if sess.success else "Failure"
    print(f"{sess.pid:<6}{sess.comm:<16}{sess.login_time:<20}{status}")

# 清理eBPF程序
b.cleanup()
```

该程序使用`bcc`库提供的Python接口来编写和加载eBPF程序。通过钩子函数`trace_auth_success`和`trace_auth_failure`来捕获SSH登录成功和失败的事件,并将相关信息存储在一个hash表中。最后,程序读取并打印出存储的SSH登录信息,包括进程ID、进程名称、登录时间和状态(成功或失败)。

运行此程序需要满足以下条件:
- 系统上安装了`bcc`库和eBPF相关工具。
- 程序需要以root权限运行,因为eBPF需要进行特权操作。

NFV技术进阶:如何实现AI算力网络的弹性扩展?
AI天才研究院
07-23 493
本报告聚焦NFV(网络功能虚拟化)技术在AI算力网络中的进阶应用,系统阐述弹性扩展的核心机制与实现路径。通过融合第一性原理分析与工程实践,构建"需求感知-资源抽象-动态编排-智能决策"的四阶弹性扩展框架。内容覆盖从理论模型到架构设计,从算法实现到实际部署的全生命周期,包含数学形式化推导、Mermaid架构图、生产级代码示例及典型运营商案例,为企业级AI算力网络的弹性扩展提供技术路线图。弹性扩展的本质是在资源利用率与服务质量(QoS)间寻找动态平衡。
TCP 连接排故:使用 BPF BCC工具包进行网络跟踪
山河已无恙
05-23 1268
博文内容为 BCC 进行网络跟踪常见工具介绍tcpconnect:主动的 TCP 连接跟踪tcpaccept:被动的 TCP 连接跟踪tcpretrans:重传的 TCP 连接跟踪tcptracer:已建立的 TCP 连接跟踪tcpconnlat:测量出站 TCP 连接的延迟tcpdrop:被内核丢弃的 TCP 数据包跟踪tcplife: TCP 会话追踪tcpstates: TCP 状态更改跟踪tcpsubnet:统计发送到特定子网的 TCP 流量tcptop。
Linux eBPF:网络、系统监控安全领域的创新
望获实时Linux系统
05-29 1670
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF功能和应用场景不断扩展,如今已成为网络、系统监控安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
使用 ebpf 监控 Node.js 事件循环的耗时
标子 的专栏
12-18 1176
前言:强大的 ebpf 使用越来越广,能做的事情也越来越多,尤其是无侵入的优雅方式更加是技术选型的好选择。本文介绍如何使用 ebpf监控 Node.js 的耗时,从而了解 Node.js 事件循环的执行情况。不过这只是粗粒度的监控,想要精细地了解 Node.js 的运行情况,需要做的事情还很多。 在 Node.js 里,我们可以通过 V8 Inspector 的 cpuprofile 来了解 JS 的执行耗时,但是 cpuprofile 无法看到 C、C++ 代码的执行耗时,通常我们可以使用 perf
使用ebpf 监控mysqld 内核
qq_32783703的博客
01-24 2125
我们使用ebpf 监控mysql的话有两个思路去做这件事情1、kprobe -> hook 掉tcp_sendmsg 和 tcp_recvmsg 一类的内核函数去分析网络协议2、uprobe -> hook 掉 mysqld 的api函数,然后在此基础上进行统计。
使用 eBPF 增强监控和可观测性
观测云的博客
06-16 1304
将代码注入 Linux 内核的能力开辟了一个全新的可能性世界。您可以轻松改进很多东西——安全性、网络、可观测性等等。BPF(伯克利包过滤器)使您能够编写可以从内部利用 Linux 内核功能的程序。BPF 传统上用于在将原始网络数据包发送到用户空间之前对其进行过滤,以提高系统的整体安全性。eBPF是 BPF 的扩展版本,具有一系列安全实现,以防止 BPF 程序破坏内核。在本指南中,您将了解如何使用 eBPF 在基于 Kubernetes 的基础架构中实现增强的可观测性。eBPF 代表扩展 BPF。顾名思义,它
[大厂实践] DoorDash基于eBPF监控实践
残星说梦话
12-26 633
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。在此之前,我们使用的是fentry版本的探针,但由于我们用的是基于ARM的Kubernetes节点,而当前的Linux内核版本不支持基于ARM架构优化的入口探测,所以改用kprobe。我们对新的见解感到兴奋,这促使我们扩展BPFAgent,以支持网络流量监视之外的其他用例。
Linux中基于eBPF的恶意利用与检测机制
Jay
04-18 1177
容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核安全带来了新的挑战。此时,eBPF出现,它以较小的子系统改动,保障了系统内核的稳定,还具备实时动态加载的特性,能将业务逻辑加载到内核,实现热更新的动态执行。ip命令的参数中包含bpf字节码文件名,ip进程打开.o字节码的FD,通过NETLINK发IFLA_XDP类型消息(子类型IFLA_XDP_FD)给内核,内核调用dev_change_xdp_fd函数,由网卡接管FD,引用计数器递增,用户空间的ip进程退出后,BPF程序依旧工作。
第 14 章 监控系统 | 更多 Exporter
甘蓝的专栏
06-20 230
前面章节介绍了大量实战案例,由于案例太多,无法一一介绍。本文着重列举常见的 Exporter 清单,便于快速查找 Exporter,并基于 Exporter 快速实现对组件的监控
基于Go语言编写防火墙
最新发布
03-23
首先,防火墙的主要功能监控和控制进出网络的流量,基于预定义的安全规则来允许或阻止数据包。常见的类型包括包过滤、状态检测、应用层过滤等。接下来,我需要考虑Go语言的优势,比如高并发、简洁的语法、跨平台...
应用监控eBPF 版调研
qq_33043025的博客
06-24 1297
具体来说,当一个请求进入系统时,会创建一个根Span,然后在处理过程中,每个服务或组件都会创建自己的Span,并在Span中记录相关信息,如开始时间、结束时间、耗时、标签、日志等。当前持续剖析的能力是基于eBPF实现的,因为无侵入的特点,针对Go等有Debug符号信息的语言,Profiling的数据能够显示具体的函数调用,如果遇到unknown的函数,表示当前函数无法在内核中找到对应的符号表信息。可以根据选择的应用、接口和告警指标,通过智能算法对该指标的历史数据进行分析,推荐较为合理的静态阈值。
基于 eBPF 的 Serverless 多语言应用监控能力建设
阿里巴巴云原生的博客
03-02 318
面向未来,云计算将会全面 Serverless 化,多语言,全生态的支持将会是 Serverless 产品发力的重点,SAE 应用监控能力同样会持续不断的演进和增强,目前已经全面上线了无入侵,多维度,高性能的应用核心指标监控和告警能力,欢迎大家使用。
Linux未来监控tracing框架——eBPF
badman250的专栏
05-07 2605
eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Filter,简称 ...
【亲测免费】 tcptracer-bpf:高效追踪TCP事件的eBPF工具
gitblog_01018的博客
09-10 454
tcptracer-bpf:高效追踪TCP事件的eBPF工具 项目介绍 tcptracer-bpf 是一个基于eBPF(Extended Berkeley Packet Filter)技术的开源项目,专注于追踪TCP事件,如连接(connect)、接受(accept)和关闭(close)。该项目通过使用kprobes技术,能够在不依赖特定内核版本或配置的情况下,动态适应正在运行的内核。tcptra...
eBPF实战教程七 | 性能监控工具—bpftop
DBdoctor_off的博客
10-09 1120
bpftop是一个强大的工具,使用bpftop工具可以直观地监控系统中正在运行的eBPF程序,极大提升了开发eBPF程序时对其自身性能优化的效率。
ebpf入门---监听所有新进程
azraelxuemo的博客
03-08 958
eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
三分钟学会编写 eBPF 程序:使用 eBPF 程序监控打开文件路径并使用 Prometheus 可视化
云微的blog
09-30 1167
opensnoop通过对 open 系统调用的追踪,使得用户可以较为方便地掌握目前系统中调用了 open 系统调用的进程信息。源代码:https://github.com/eunomia-bpf/eunomia-bpf/tree/master/bpftools/examples/opensnooplibbpf 参考代码:https://github.com/iovisor/bcc/blob/master/libbpf-tools/opensnoop.bpf.c。
探索网络世界的全新视角:ptcpdump——基于eBPF的高效TCP数据包捕获工具
gitblog_00039的博客
06-14 549
探索网络世界的全新视角:ptcpdump——基于eBPF的高效TCP数据包捕获工具 ptcpdump Process-aware, eBPF-based tcpdump 项目地址: https://gitcode.com/gh_mirrors/pt/ptcpdum...
擎创技术流 | 深入浅出运维可观测工具(二):eBPF应用中常见问题
智能运维及数据中台探索
07-29 689
上期跟大家聊了下eBPF的发展历史还有特性,这期主要跟大家分享下eBPF在应用过程中可能出现的问题,希望能帮到遇到类似问题的朋友,话不多说,我们进入正题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值