bpftrace对icmp进行监控,查看icmp包是哪个进程发出的

最新推荐文章于 2025-02-09 17:43:39 发布
最新推荐文章于 2025-02-09 17:43:39 发布
阅读量1k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/native_lee/article/details/124751325
这篇博客介绍了如何利用BPFtrace工具来监控特定目标IP(8.8.8.8)的网络流量。通过kprobe和kr探针跟踪__dev_queue_xmit函数,提取并解析IP头和UDP头中的信息,包括源IP、目的IP、数据包ID、总长度、碎片偏移和端口号等关键数据。这有助于理解网络通信的细节和流量模式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

apt install bpftrace

#!/usr/bin/bpftrace
#include <linux/skbuff.h>
#include <linux/ip.h>
#include <linux/udp.h>
#include <linux/socket.h>

kprobe:__dev_queue_xmit
{
	//获取调用次数
	@dev_queue_xmit[tid]=count();
	@skb[tid]=(struct sk_buff *)arg0;
}

kr:__dev_queue_xmit
/@skb[tid]/
{
	$skb = @skb[tid];
	// get IPv4 header; see skb_network_header():
	$iph = (struct iphdr *)($skb->head + $skb->network_header);
	$sip = ntop(AF_INET, $iph->saddr);
	$dip = ntop(AF_INET, $iph->daddr);
         //id 为ip数据包标识
        $id = (($iph->id & 0x00ff) << 8) | (($iph->id & 0xff00) >> 8);
        $tot_len = (($iph->tot_len & 0x00ff) << 8) | (( $iph->tot_len  & 0xff00) >> 8);
        $frag_off = (($iph->frag_off & 0x001f) << 8) | (($iph->frag_off  & 0xff00) >> 8) ;

	$udphdr = (struct udphdr *)($skb->head + $skb->transport_header);
	// 以下两行不可使用,因为经过一个变量后就取不到想要的端口号,原因未知
	$sport = (($udphdr->source & 0x00ff) << 8) | (($udphdr->source & 0xff00) >> 8);
	$dport = (($udphdr->dest & 0x00ff) << 8) | (($udphdr->dest & 0xff00) >> 8);
 	if ($iph->daddr == $1){
		printf("comm=%s,tid=%d,tot_len = %d, $skb->truesize=%d \t", comm,tid,$tot_len, $skb->truesize);
		printf("sip %s(%d) \t ---> dip %s(%d), id= %d,  frag_off = %d\n", $sip, $sport, $dip, $dport, $id, $frag_off * 8);
	}
}

监控 目标地址为8.8.8.8的ip
在这里插入图片描述

【C语言】linux内核dev_queue_xmit
数字人生
03-06 1476
注意的是,`__dev_queue_xmit`函数可以在中断上下文中调用,并且即使发送操作报告成功,也无法保证数据一定会被传输出去,因为可能会因为网络拥堵或流量整形策略被丢弃。一旦调用该函数发送数据,数据的内存就被消费了,即使发送失败也不会尝试重传。这两个函数涉及到Linux内核网络发送路径的处理细节,括选择设备队列、处理网络设备的发送锁、检查设备队列是否被停止、调用真正的发送函数、错误处理和资源清理等。它只需要一个参数,即要发送的数据`skb`,因为它默认不需要处理从属设备`sb_dev`。
linux网络相关概念/命令解释
最新发布
zdd56789的博客
06-14 75
linux网络实现概念及相关命令简介。
bpftrace对udp及内核函数dev_queue_xmit及sk_buff的解析
elimuzi的博客
06-17 858
bpftrace对udp及内核函数dev_queue_xmit及sk_buff的解析 #!/usr/bin/bpftrace #include <linux/skbuff.h> #include <linux/ip.h> #include <linux/udp.h> #include <linux/socket.h> kprobe:ip_finish_output2 { // 获取ip_finish_output2函数的调用次数 @ip_finish_
linux 上如何查看icmp哪个程序在发
chenqioulin的博客
11-16 2426
对于普通tcp udp,都有连接监听端口之类,但是对于icmp他没有这种概念,不同的ICMP报文只是以type来区分,比如ping就是icmp type7 这个如何查看? 今天刚好有客户在问发的问题,虽然可以用wireshark tcpdump抓到机器有没有发,但是谁在发?这才是需要解决的。通过了一通查询。发现系统的命令式可以显示的。 # netstat -4aeenp | grep -E 'Inode|raw' Proto Recv-Q Send-Q Local Address
Linux网络之设备接口层:发送数据流程dev_queue_xmit
热门推荐
深邃 精致 内涵 坚持
07-18 2万+
说明: 本文主要是分析kernel source code,来贯穿整个network的流程,因为kernel 博大精深,这也仅仅是我的一点愚见,作为一个笔记形式的文章,如有错误,还请指正 非常感谢! 当上层的APP试图建立一个TCP的链接,或者发送一个封的时候,在kernel的协议栈部分,在TCP/UDP层会组成一个网络的封,然后通过IP进行路由选择以及iptables的hokk
dev_queue_xmi函数详解
JK198310的专栏
03-29 1503
http://blog.chinaunix.net/uid-20788636-id-3181312.html 前面在分析IPv6的数据流程时,当所有的信息都准备好了之后,例如,出口设备,下一跳的地址,以及链路层地址。就会调用dev.c文件中的dev_queue_xmin函数,该函数是设备驱动程序执行传输的接口。也就是所有的数据在填充完成后,最终发送数据时,都会调用该函数。
【Linux内核调优实战】:深入查看与调整内核参数,提升系统性能
[【Linux内核调优实战】:深入查看与调整内核参数,提升系统性能](https://img-blog.csdnimg.cn/64f5c7a6f616470d8c2785db5c2ca455.png) # 1. Linux内核调优基础知识 Linux内核是整个操作系统的核心和基础。了解...
【深入研究防火墙和IDS的底层原理吧】
lianafany的博客
02-09 963
想深入研究防火墙和IDS的底层原理,甚至要学习源代码和开发自定义模块。首先,我需要确定用户的技术背景。他们可能已经有一定的网络和安全基础,但可能对内核层面的开发不太熟悉。接下来,用户的需求不仅仅是理论,而是实际的代码分析和开发,所以需要提供具体的步骤和资源。用户之前的问题是关于性能优化和故障排除,现在转向更底层的安全技术,说明他们可能在向系统安全领域深入。需要确保回答既涵盖理论,又括实践,比如推荐具体的开源项目和源码分析方向。防火墙和IDS涉及的内容很多,需要分块讲解。
2024最新首选C/C++开发教程(后端/音视频/游戏/嵌入式/高性能网络/存储/基础架构/安全)
C/C++Linux、音视频、DPDK
07-23 1373
适合人群:计算机相关专业在校生、转入互联网开发、转后台开发岗位、有C/C++基础、底层原理理解不够深入。内容:强化理论知识,并以项目运用,项目实现为主导来教学,1对1学习计划,简历书写/面试复盘指导。
全网最系统最全面的c/c++ Linux服务端开发高级架构师全能体系总结,他来了
m0_58687318的博客
08-19 3309
涵盖了linux C++服务端开发架构师每个阶段所需要学习的知识点。
使用dev_queue_xmit、dev_hard_start_xmit的方法实现数据发送.docx )
12-07
有关linux内核模块编写,有关使用dev_queue_xmit、dev_hard_start_xmit的方法实现数据发送的内核模块的相关资料整理
icmp应答如何定位ping进程
huanzai2的专栏
09-08 2599
icmp应答如何定位ping进程今天一个朋友说他自己实现一个ping程序。要过他的代码看了一看。通常的ping程序都是通过icmp协议实现,但是icmp协议却不同于tcp与udp。tcp与udp协议首部含着源端口号和目的端口号,所以当一个tcp或udp协议应答返回时,我们可以根据对应的端口号,定位到相应的处理进程。但是icmp的协议里面并不含端口号,ping程序是如何定位到应答属于自己发出
Linux发送函数dev_queue_xmit分析 --转
shao326的专栏
12-14 322
当上层准备好一个之后,交给下面这个函数处理: int dev_queue_xmit(struct sk_buff *skb) { struct net_device *dev = skb-&gt;dev; struct netdev_queue *txq; struct Qdisc *q; int rc = -ENOMEM...
Linux 网络协议栈开发代码分析篇之数据收发(二) —— dev_queue_xmit()函数
知秋一叶
01-28 4750
当所有的信息都准备好了之后,例如,出口设备,下一跳的地址,以及链路层地址。就会调用dev.c文件中的dev_queue_xmin函数,该函数是设备驱动程序执行传输的接口。也就是所有的数据在填充完成后,最终发送数据时,都会调用该函数。      Dev_queue_xmit函数只接收一个skb_buff结构作为输入的值。此数据结构含了此函数所需要的一切信息。Skb->dev是出口设备,skb-
linux驱动问题讲解--dev_queue_xmit
yxnyxnyxnyxnyxn的专栏
03-11 3012
1. 凡是调用dev_queue_xmit的对象都是一个网络设备。   解答:这个思路是错误的。因为dev_queue_xmit是有网络设备无关层调用的函数,调用对象调用该函数之后,函数会判断skb中的dev字段,根据这个字段指示的设备调用该设备的发送函数hard_start_xmit来对skb进行转发。   2. 凡是由dev_queue_xmit调用hard_start_xmit发
scapy发送80211 probe探测报文
hiskim的博客
07-10 3613
日行一记-2017-7-10 基于scapy嗅探性能测试脚本程序。 公司需要一个发程序测试嗅探设备采集性能。 找个好久,发现了scapy构工具,用Python写的,没用过Python,只能边学边用。 scapy能够自定义构造各种类型的,最重要的能够构造80211 prboe request报文。 代码先不写,因为目前写得比较简单且还要 改。 预留一块地方: 遇到
Linux内核构造数据发送(二)(dev_queue_xmit方式)
cxw06023273的博客
11-13 821
linux内核太构造数据的第二种方式就是直接调用dev_queue_xmit函数,将构造完毕的数据直接发送到网卡驱动。从NF框架来看,该函数的调用是在 POSTROUTING点之后了,也可以理解为直接通过调用二层的发送函数,将三层构造的数据发送出去。该函数实际上会调用 skb->dev->hard_start_xmit,即对应网卡的驱动函数,将数据直接发送的出去。 很显...
inux网络之设备接口层:发送数据流程dev_queue_xmit
acerhai的博客
08-22 306
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
linux dev queue xmit,dev_queue_xmi函数详解
weixin_42298437的博客
05-16 1517
点击(此处)折叠或打开int dev_queue_xmit(struct sk_buff *skb){struct net_device *dev = skb->dev;struct netdev_queue *txq;struct Qdisc *q;int rc = -ENOMEM;/* Disable soft irqs for various locks below. Also* st...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值