bpftrace - tcpstates.bt

最新推荐文章于 2024-04-12 23:48:32 发布
原创 最新推荐文章于 2024-04-12 23:48:32 发布 · 725 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bpftrace #bcc #bpf #tcpstates

bpftrace-tcpstates.bt是一个基于BCC工具集的脚本,用于跟踪和显示系统的TCP连接状态变化。它通过在内核态的tcp_set_state函数上设置探针来监控TCP状态机。脚本输出包括本地和远程地址、端口以及连接状态的转换,如SYN_SENT、ESTABLISHED、CLOSED等,帮助用户理解TCP连接的生命周期。
部署运行你感兴趣的模型镜像

bpftrace - tcpstates.bt

此工具参考bcc-tcpstates编写, 用于实现跟踪系统 TCP 连接状态(TCP状态机)。
通过在内核态动态函数 kprobe:tcp_set_state 插桩监控 sock 状态变化实现:

#!/usr/bin/env bpftrace
#include <net/tcp_states.h>
#include <net/sock.h>
#include <linux/socket.h>
#include <linux/tcp.h>

BEGIN
{
	printf("%-20s %-7s %-20s %-7s ",
	    "LADDR", "LPORT", "RADDR", "RPORT");
	printf("%-11s -> %-11s\n", "OLD", "NEW");
	@tcpstate[0] = "UNKNOWN";
	@tcpstate[1] = "ESTABLISHED";
	@tcpstate[2] = "SYN_SENT";
	@tcpstate[3] = "SYN_RECV";
	@tcpstate[4] = "FIN_WAIT1";
	@tcpstate[5] = "FIN_WAIT2";
	@tcpstate[6] = "TIME_WAIT";
	@tcpstate[7] = "CLOSE";
	@tcpstate[8] = "CLOSE_WAIT";
	@tcpstate[9] = "LAST_ACK";
	@tcpstate[10] = "LISTEN";
	@tcpstate[11] = "CLOSING";
	@tcpstate[12] = "NEW_SYN_RECV";
}

kprobe:tcp_set_state
{
	$sk = (struct sock *)arg0;
	$newstate = arg1;
	$oldstate = $sk->__sk_common.skc_state;

	$lport = $sk->__sk_common.skc_num;
	$dport = $sk->__sk_common.skc_dport;
	$dport = ($dport >> 8) | (($dport << 8) & 0xff00);

	$family = $sk->__sk_common.skc_family;
	$saddr = ntop(0);
	$daddr = ntop(0);
	if ($family == AF_INET) {
		$saddr = ntop(AF_INET, $sk->__sk_common.skc_rcv_saddr);
		$daddr = ntop(AF_INET, $sk->__sk_common.skc_daddr);
	} else {
		// AF_INET6
		$saddr = ntop(AF_INET6,
			$sk->__sk_common.skc_v6_rcv_saddr.in6_u.u6_addr8);
		$daddr = ntop(AF_INET6,
			$sk->__sk_common.skc_v6_daddr.in6_u.u6_addr8);
	}
	if ($newstate > 12) {
		printf("%-20s %-7d %-20s %-7d %-11d -> %-11d\n", $saddr, $lport, $daddr, $dport, $oldstate, $newstate);
	} else {
		printf("%-20s %-7d %-20s %-7d %-11s -> %-11s\n", $saddr, $lport, $daddr, $dport, @tcpstate[$oldstate], @tcpstate[$newstate]);
	}
}

END
{
	clear(@tcpstate)
}

运行结果:

# ./tcpstates.bt 
Attaching 3 probes...
LADDR                LPORT   RADDR                RPORT   OLD         -> NEW        
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37626   192.168.22.44      3310    SYN_SENT    -> ESTABLISHED
192.168.22.42        37626   192.168.22.44      3310    ESTABLISHED -> FIN_WAIT1  
192.168.22.42        37626   192.168.22.44      3310    FIN_WAIT1   -> FIN_WAIT2  
192.168.22.42        37626   192.168.22.44      3310    FIN_WAIT2   -> CLOSE      
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37628   192.168.22.44      3310    SYN_SENT    -> ESTABLISHED
192.168.22.42        37628   192.168.22.44      3310    ESTABLISHED -> CLOSE      
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37630   192.168.22.44      3310    SYN_SENT    -> ESTABLISHED
192.168.22.42        37630   192.168.22.44      3310    ESTABLISHED -> CLOSE_WAIT 
192.168.22.42        37630   192.168.22.44      3310    CLOSE_WAIT  -> LAST_ACK   
192.168.22.42        37630   192.168.22.44      3310    LAST_ACK    -> CLOSE      
192.168.22.42        0       192.168.22.44      3310    CLOSE       -> SYN_SENT   
192.168.22.42        37634   192.168.22.44      3310    SYN_SENT    -> CLOSE

参考

BPF Compiler Collection (BCC)
bpftrace
bpftrace Cheat Sheet

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

bpftrace loads.bt 问题
RToax
05-23 343
sudo /usr/share/bpftrace/tools/loads.bt Server 内核 loads.bt 问题服务器 4.18.0-30503.10.2.el8.aarch64 15min 的错误14.650 68 4.18.0-30503.10.2.el8.x86_64 15min 的错误14.650 66 5.15.13-0.el9.x86_64 正常 70 5.15.13-0.el9.x86_64 正常 71
TCP之系统调用connect()之二
九天小哥的专栏
12-23 2002
这篇笔记记录connect()系统调用的后半部分,即客户端收到SYN+ACK响应,然后回复ACK的部分。 1. 客户端收到SYN+ACK报文 发送SYN请求报文后,TCB的状态由TCP_CLOSE迁移到TCP_SYN_SENT,所以在收到接收响应后,将由tcp_rcv_state_process()处理。 1.1 tcp_rcv_state_process() /* * This functio...
TCP连接状态管理
City_of_skey的博客
12-03 1463
TCP协议连接初始化后的状态管理和切换由tcp_rcv_sate_preocess函数完成,tcp_v4_recevie函数收到数据包后查看TCP协议头,区分是只含纯传送负载数据还是包含控制信息SYN、FIN、RST、ACK等的数据包。各种状态的数据包处理过程大部分在tcp_rcv_state_process函数中完成,除ESTABLISHE和TIME_WAIT这两个状态外。数据包到达后如果是CL...
tcp state
chenyinger2103的博客
03-14 362
TCP状态转换图 转载于:https://my.oschina.net/crcc/blog/1634525
bpftrace
A152419的博客
04-12 3477
是一个基于 eBPF (Extended Berkeley Packet Filter) 的高级工具,用于动态跟踪系统的各种事件和性能指标。它可以在不需要重新编译内核模块的情况下,以一种安全、高效的方式执行代码,从而提供了丰富的系统跟踪和性能分析能力。
精选资源
bpftrace-debuginfo-0.10.0-2.el7.x86_64.rpm
04-14
bpftrace-debuginfo-0.10.0-2.el7.x86_64.rpm
bpftrace-0.11.0-1.el7.x86_64.rpm
04-14
bpftrace-0.11.0-1.el7.x86_64.rpm
pcp-pmda-bpftrace-5.3.0-3.el8.x86_64.rpm
01-18
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
pcp-pmda-bpftrace-5.3.4-2.el8.aarch64.rpm
01-18
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
bpftrace-0.11.1-3.el8.x86_64.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
BPF( 伯克利数据包过滤器 ) Performance Tools》 第五章 bpftrace
weixin_55255438的博客
10-08 2133
bpftrace是一款基于BPFBCC的开源跟踪器。和BCC一样,bpftrace自带了许多性能工具和支持文档。它同时还提供了一个高级编程语言环境,可以用来创建强大的单行程序和小工具。比如,下面的单行程序以直方图形式统计vfs_read() 的返回值(读取的字节数或错误码) :Alastair Robertson阿拉斯泰尔·罗伯逊Alastair Robertson于2016年12月创建了bpftrace, 当时它还只是一个业余项目。
linux 网络状态监控 netstat & TCP States
all for one,one for all
06-07 1582
Netstat is a command line utility that can be used to list out all the network (socket) connections on a system. It lists out all the tcp, udp socket connections and the unix domain socket connections.
TCP连接的终止----主动关闭
热门推荐
Justlinux2010的专栏
03-23 1万+
在正常情况下,TCP连接的关闭需要连接的两端进行四次分组交换,具体过程是:执行主动关闭的一端(A端)会首先发送FIN包给对端(B端),B端收到FIN包后会发送一个ACK包给A段;B段执行关闭操作,发送FIN给A端,A端发送一个ACK给B端,连接彻底关闭。分组交换和状态迁移如下图所示:      通常情况下,只有执行主动关闭的一端会进入TIME_WAIT状态,还有一种情况会导致连接的两端都进入T
TCP之系统调用connect()之一
九天小哥的专栏
12-22 7893
客户端通过调用connect()系统调用建立与服务器的连接,对应到TCP协议层次,核心操作就是TCP的三次握手(从客户端角度),由于整个过程涉及内容较多,分两部分来看connect()的实现,这篇笔记是第一部分,包括系统调用入口以及SYN报文发送过程。 1. 内核入口 /* * Connect to a remote host. There is regrettably still a litt...
TCP/IP协议栈源代码分析
qq_48227727的博客
12-31 1415
Linux内核的整体架构如下图所示:Process Scheduler,也称作进程管理、进程调度。负责管理CPU资源,以便让各个进程可以以尽量公平的方式访问CPU。Memory Manager,内存管理。负责管理Memory(内存)资源,以便让各个进程可以安全地共享机器的内存资源。另外,内存管理会提供虚拟内存的机制,该机制可以让进程使用多于系统可用Memory的内存,不用的内存会通过文件系统保存在外部非易失存储器中,需要使用的时候,再取回到内存中。
python描述器 有限状态机_笔记—TCP有限状态机分析
weixin_39617669的博客
02-21 179
一、TCP状态转换图TCP涉及连接建立和连接终止的操作可以用状态转换图(state transition diagram)来说明:中文图解:TCP状态及描述CLOSED:无连接是活动的或正在进行LISTEN:服务器在等待进入呼叫SYN_RECV:一个连接请求已经到达,等待确认SYN_SENT:应用已经开始,打开一个连接ESTABLISHED:正常数据传输状态FIN_WAIT1:应用说它已经完成FI...
5.86 BCC工具之tcpstates.py解读
从0到1,突破自己
03-24 347
tcpstates工具将会打印 TCP 状态更改信息,包括在每个状态中持续的时间(以毫秒为单位)。它是一个用于监控和分析TCP连接状态变化的工具。它利用BPF程序来跟踪TCP连接的生命周期,并记录每个连接在不同状态(如SYN_SENT、SYN_RECV、ESTABLISHED、FIN_WAIT1、FIN_WAIT2、TIME_WAIT等)下花费的时间。tcpstates工具的工作原理是通过在内核中附加BPF程序来捕获TCP状态变化事件。
Exploring TCP state machine by graphs
weixin_30329623的博客
09-06 137
States TCP includes 11 states, they are: LISTEN SYN_SENT SYN_RECV ESTABLISHED FIN_WAIT1 CLOSE_WAIT FIN_WAIT2 LAST_ACK TIME_WAIT CLOSED CLOSING @include/net/tcp_states.h: /* Def...
CLOSE_WAIT 和TCP_KEEPALIVE
qq_39015563的博客
10-14 2761
之前面试 曾经被问到 CLOSE_WAIT 状态意味这什么(服务端收到FIN 包后 还没有close fd,存在fd 泄漏的风险) 问题现象: 代理报错 too many open files, ulimit 设置为100W(/proc/pid/limits),使用ss 命令才几千,lsof 有很多 socket(不显示 ESTAB 等TCP 状态,仅显示 SOCK),查看进程 /proc/pid/fd/ 确实有100w (大量不显示状态的socket), 达到了ulimit 上限. 经过排查,确实是.
bpftrace virtio-net 获取ICMP 报文 sequence number
最新发布
08-09
为了在 `virtio-net` 环境中使用 `bpftrace` 捕获 ICMP 报文的 `sequence number`,需要编写一个 `bpftrace` 脚本来解析网络数据包中的相关字段。ICMP 协议中 `sequence number` 是其头部的一部分,可以通过解析 `...
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值