bpftrace对udp及内核函数dev_queue_xmit及sk_buff的解析

最新推荐文章于 2025-09-07 22:45:17 发布
原创 最新推荐文章于 2025-09-07 22:45:17 发布 · 921 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过BPFTrace工具追踪Linux内核中与UDP数据包处理相关的函数,包括ip_finish_output2、udp_sendmsg及__dev_queue_xmit。特别关注发送到特定IP的数据包,并解析其头部信息。

bpftrace对udp及内核函数dev_queue_xmit及sk_buff的解析

#!/usr/bin/bpftrace
#include <linux/skbuff.h>
#include <linux/ip.h>
#include <linux/udp.h>
#include <linux/socket.h>


kprobe:ip_finish_output2
{
	// 获取ip_finish_output2函数的调用次数
	@ip_finish_output2[tid]=count();
}

kprobe:udp_sendmsg
{
	// 保存tid
	@udp_tid[tid]=tid
}

kprobe:__dev_queue_xmit
{
	//获取调用次数
	@dev_queue_xmit[tid]=count();
	@skb[tid]=(struct sk_buff *)arg0;
}

kr:__dev_queue_xmit
/@skb[tid]/
{
	// 过滤udp的进程
	if (tid == @udp_tid[tid]){ 
		$skb = @skb[tid];
		// get IPv4 header; see skb_network_header():
		$iph = (struct iphdr *)($skb->head + $skb->network_header);
		$sip = ntop(AF_INET, $iph->saddr);
		$dip = ntop(AF_INET, $iph->daddr);
         //id 为ip数据包标识
        $id = (($iph->id & 0x00ff) << 8) | (($iph->id & 0xff00) >> 8);
        $tot_len = (($iph->tot_len & 0x00f
最低0.47元/天 解锁文章
【C语言】linux内核dev_queue_xmit
数字人生
03-06 1614
注意的是,`__dev_queue_xmit`函数可以在中断上下文中调用,并且即使发送操作报告成功,也无法保证数据包一定会被传输出去,因为可能会因为网络拥堵或流量整形策略被丢弃。一旦调用该函数发送数据包,数据包的内存就被消费了,即使发送失败也不会尝试重传。这两个函数涉及到Linux内核网络发送路径的处理细节,包括选择设备队列、处理网络设备的发送锁、检查设备队列是否被停止、调用真正的发送函数、错误处理和资源清理等。它只需要一个参数,即要发送的数据包`skb`,因为它默认不需要处理从属设备`sb_dev`。
linux 内核协议栈 网络数据包发送之调度层处理 dev_queue_xmit()
09-28 1134
目录 1 网路协议栈调度路径 1.1 ip报文发送ip_finish_output2 1.1.1 下一跳发送接口neigh_resolve_output() 1.2 arp报文发送arp_xmit 2 报文进入调度层的路径分析dev_queue_xmit()【核心】 2.1 无队列发送dev_hard_start_xmit() 2.2 队列发送__dev_xmit_skb() 2.2.1 skb依次出队列操作 __qdisc_run 2.2.2 发送软中断 net_tx_ac...
linux 上如何查看icmp包是哪个程序在发包 ?
chenqioulin的博客
11-16 2485
对于普通tcp udp,都有连接监听端口之类,但是对于icmp他没有这种概念,不同的ICMP报文只是以type来区分,比如ping就是icmp type7 这个如何查看? 今天刚好有客户在问发包的问题,虽然可以用wireshark tcpdump抓到机器有没有发包,但是谁在发?这才是需要解决的。通过了一通查询。发现系统的命令式可以显示的。 # netstat -4aeenp | grep -E 'Inode|raw' Proto Recv-Q Send-Q Local Address
Linux内核网络的连接跟踪conntrack简单分析
yeholmes的专栏
09-07 1178
或其他)的建立是一个冗长耗时的过程,例如,该连接经过内核过滤规则(对应防火墙的规则)或端口转发等规则的确认,最终成功建立。当连接建立后,如何避免后续数据量庞大、数量众多的网络包快速检测通过(从而降低Linux内核网络的负载),跟踪连接是十分必要的。连接跟踪超时的判断,目前的调试观察到有两种方式,分别是内核工作线徎周期性检测,和应用层的。,对应着135.5秒;是有条件的,其条件就是间隔两秒之后仍有数据活动(从而该连接被视为持续活动的连接,即。,但连接跟踪信息的超时时间没有变化,仍是系统启动的第。
Linux网络之设备接口层:发送数据包流程dev_queue_xmit
热门推荐
深邃 精致 内涵 坚持
07-18 2万+
说明: 本文主要是分析kernel source code,来贯穿整个network的流程,因为kernel 博大精深,这也仅仅是我的一点愚见,作为一个笔记形式的文章,如有错误,还请指正 非常感谢! 当上层的APP试图建立一个TCP的链接,或者发送一个封包的时候,在kernel的协议栈部分,在TCP/UDP层会组成一个网络的封包,然后通过IP进行路由选择以及iptables的hokk
dev_queue_xmi函数详解
JK198310的专栏
03-29 1536
http://blog.chinaunix.net/uid-20788636-id-3181312.html 前面在分析IPv6的数据流程时,当所有的信息都准备好了之后,例如,出口设备,下一跳的地址,以及链路层地址。就会调用dev.c文件中的dev_queue_xmin函数,该函数是设备驱动程序执行传输的接口。也就是所有的数据包在填充完成后,最终发送数据时,都会调用该函数
icmp应答包如何定位ping进程
huanzai2的专栏
09-08 2623
icmp应答包如何定位ping进程今天一个朋友说他自己实现一个ping程序。要过他的代码看了一看。通常的ping程序都是通过icmp协议实现,但是icmp协议却不同于tcp与udp。tcp与udp协议首部包含着源端口号和目的端口号,所以当一个tcp或udp协议应答返回时,我们可以根据对应的端口号,定位到相应的处理进程。但是icmp的协议里面并不包含端口号,ping程序是如何定位到应答包属于自己发出的
【C语言】linux内核__netdev_start_xmit函数
数字人生
02-26 1100
实际上,`__netdev_start_xmit`名字看起来像是一个具有特定约定的内部函数,可能是由`dev_queue_xmit`函数的调用链最终调用的,但实际上,内核中不会直接出现这个函数名。你会发现有诸如`dev_hard_start_xmit`的函数,该函数会根据配置和条件检查来调用正确的`ndo_start_xmit`函数。在你尝试发送数据包的过程中(例如,通过`dev_queue_xmit`函数),最终会调用你的网络设备驱动的`ndo_start_xmit`函数
dev_queue_xmit是从内核协议栈或者网桥转发来的吗
最新发布
10-30
是的,`dev_queue_xmit` 是 Linux 内核网络栈中 **从上层协议(如 IP 层)或网桥转发模块发出数据包时使用的统一发送入口函数**。它既可以被 **内核协议栈主动发送数据时调用**,也可以被 **网桥(bridge)、虚拟...
dev_queue_xmit这个函数同一时间会有多个运行吗
09-25
`dev_queue_xmit()` 是 Linux 内核网络子系统中的一个核心函数,用于将网络数据包(`sk_buff`)从上层协议栈(如 IP 层)传送到网络设备驱动的发送队列中。它位于 `net/core/dev.c` 文件中。 --- ### ✅ 回答: *...
Linux发送函数dev_queue_xmit分析 --转
shao326的专栏
12-14 344
当上层准备好一个包之后,交给下面这个函数处理: int dev_queue_xmit(struct sk_buff *skb) { struct net_device *dev = skb-&gt;dev; struct netdev_queue *txq; struct Qdisc *q; int rc = -ENOMEM...
使用dev_queue_xmitdev_hard_start_xmit的方法实现数据包的发送.docx )
12-07
有关linux内核模块编写,有关使用dev_queue_xmitdev_hard_start_xmit的方法实现数据包的发送的内核模块的相关资料整理
Linux 网络协议栈开发代码分析篇之数据收发(二) —— dev_queue_xmit()函数
知秋一叶
01-28 4867
当所有的信息都准备好了之后,例如,出口设备,下一跳的地址,以及链路层地址。就会调用dev.c文件中的dev_queue_xmin函数,该函数是设备驱动程序执行传输的接口。也就是所有的数据包在填充完成后,最终发送数据时,都会调用该函数。      Dev_queue_xmit函数只接收一个skb_buff结构作为输入的值。此数据结构包含了此函数所需要的一切信息。Skb->dev是出口设备,skb-
linux驱动问题讲解--dev_queue_xmit
yxnyxnyxnyxnyxn的专栏
03-11 3050
1. 凡是调用dev_queue_xmit的对象都是一个网络设备。   解答:这个思路是错误的。因为dev_queue_xmit是有网络设备无关层调用的函数,调用对象调用该函数之后,函数会判断skb中的dev字段,根据这个字段指示的设备调用该设备的发送函数hard_start_xmit来对skb进行转发。   2. 凡是由dev_queue_xmit调用hard_start_xmit
scapy发送80211 probe探测报文
hiskim的博客
07-10 3695
日行一记-2017-7-10 基于scapy嗅探性能测试脚本程序。 公司需要一个发包程序测试嗅探设备采集性能。 找个好久,发现了scapy构包工具,用Python写的,没用过Python,只能边学边用。 scapy能够自定义构造各种类型的包,最重要的能够构造80211 prboe request报文。 代码先不写,因为目前写得比较简单且还要 改。 预留一块地方: 遇到
Linux内核构造数据包并发送(二)(dev_queue_xmit方式)
cxw06023273的博客
11-13 834
linux内核太构造数据包的第二种方式就是直接调用dev_queue_xmit函数,将构造完毕的数据包直接发送到网卡驱动。从NF框架来看,该函数的调用是在 POSTROUTING点之后了,也可以理解为直接通过调用二层的发送函数,将三层构造的数据包发送出去。该函数实际上会调用 skb->dev->hard_start_xmit,即对应网卡的驱动函数,将数据包直接发送的出去。 很显...
inux网络之设备接口层:发送数据包流程dev_queue_xmit
acerhai的博客
08-22 324
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
linux dev queue xmit,dev_queue_xmi函数详解
weixin_42298437的博客
05-16 1584
点击(此处)折叠或打开int dev_queue_xmit(struct sk_buff *skb){struct net_device *dev = skb->dev;struct netdev_queue *txq;struct Qdisc *q;int rc = -ENOMEM;/* Disable soft irqs for various locks below. Also* st...
UDP数据包大小
天使之城
12-21 919
<br />今天在坛子里问了很久一直没人回答,在java中用DatagramPacket和DatagramSocket打包的UDP数据包是多少大小的,后来在朋友帮助下使用抓包工具,查出来了实际发送数据比你需要的发送的数据大42个字节,你实际能发送的数据报是1472个字节,数据包的实际最大值是1514个字节
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值