eBPF 入门开发实践指南六:捕获进程发送信号的系统调用集合,使用 hash map 保存状态

最新推荐文章于 2024-09-23 10:17:20 发布
最新推荐文章于 2024-09-23 10:17:20 发布
阅读量1.6k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 哈希算法 算法 linux ebpf 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42779423/article/details/128753755
本文介绍了如何使用eBPF在Linux内核中动态加载和运行用户代码,监控kill、tkill和tgkill系统调用,捕获进程发送信号的信息。通过hashmap保存状态,并在系统调用退出时打印相关信息。文章提供了一个示例代码,展示了如何定义探针函数、使用bpf_mapAPI以及编译和运行eBPF程序的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具,它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。

本文是 eBPF 入门开发实践指南的第六篇,主要介绍如何实现一个 eBPF 工具,捕获进程发送信号的系统调用集合,使用 hash map 保存状态。

sigsnoop

示例代码如下:

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

#define MAX_ENTRIES 10240
#define TASK_COMM_LEN 16

struct event {
   
   
 unsigned int pid;
 unsigned int tpid;
 int sig;
 int ret;
 char comm[TASK_COMM_LEN];
};

struct {
   
   
 __uint(type, BPF_MAP_TYPE_HASH);
 __uint(max_entries, MAX_ENTRIES);
 __type(key, __u32);
 __type(value, struct event
最低0.47元/天 解锁文章

200万优质内容无限畅学
系统调用捕获和分析—通过ptrace获取系统调用信息
H4ppyD0g的博客
05-31 769
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注! 文章目录ptrace系统调用利用ptrace获取进程系统调用 ptrace系统调用 linux提供了ptrace系统调用接口,通过这个接口可以实现进程的跟踪功能。以此实现父进程对其子进程进行控制和改变子进程核心镜像,包括读写子
eBPF 入门开发实践指南二:在 eBPF使用 kprobe 监测捕获 unlink 系统调用
云微的blog
01-23 1184
通过本文的示例,我们学习了如何使用 eBPF 的 kprobe 和 kretprobe 捕获 unlink 系统调用。本文是 eBPF 入门开发实践指南的第二篇。下一篇文章将介绍如何在 eBPF使用 fentry 监测捕获 unlink 系统调用。完整的教程和源代码已经全部开源,可以在中查看。
linux发送signal的进程,(原创)linux杀死进程以及发送或响应信号
weixin_42508114的博客
04-28 576
原创文章,转载请注明出处:jquery中文网,否则追究法律责任。jquery中文网首发!作者:isbadboy 终结进程是我们通常都会碰到的事情。有时,我们可能需要终结某个程序的所有实例。命令行提供了多种用于终结程序的方法。在类unix环境中与进程相关的一个重要概念就是信号信号是一种进程间通信的机制,它用来中断运行的进程以执行某些操作。终止程序也是通过使用信号技术来实现的。本文就为大家简单...
Linux查找是发送SIGKILL信号进程
枫竹梦
01-12 7736
背景 最近在开发服务器上遇到了一件奇怪的事情,同事反馈之前运行着正常的程序,现在现在运行一段时间会退出,而且没有日志输出。询问后,出现这个现象是在周末由于停电重启之后。 停电重启?退出,无日志?有关系吗? 问题定位 由于程序在常驻,所以使用了两个进程相互守护。是守护出了问题吗?如果是的话,应该会有日志输出。在服务器上查看程序的过程中又发现新的疑点,使用vim打开带有push的文件名的文件,
Linux eBPF内核源码sample/bpf全网最细解析(一)
尧fighting的博客
09-28 3907
本文重点讲解samples/bpf/sockex1_kern.c和samples/bpf/sockex1_user.c这两个文件,并剖析了它们调用的其他外部函数。
eBPF 入门开发实践教程九:捕获进程调度延迟,以直方图方式记录
云微的blog
06-03 1413
runqlat 是一个 Linux 内核 BPF 程序,通过柱状图来总结调度程序运行队列延迟,显示任务等待运行在 CPU 上的时间长度。编译这个程序可以使用 ecc 工具,运行时可以使用 ecli 命令。runqlat 是一种用于监控Linux内核中进程调度延迟的工具。它可以帮助您了解进程在内核中等待执行的时间,并根据这些信息优化进程调度,提高系统的性能。如果您希望学习更多关于 eBPF 的知识和实践,可以访问我们的教程代码仓库以获取更多示例和完整的教程。
借助 ChatGPT 编写的 libbpf eBPF 工具开发实践教程: 通过例子学习 eBPF
云微的blog
12-06 2667
这是一个基于 (一次编译,到处运行)的 的 eBPF开发教程,提供了从入门到进阶的 eBPF 开发实践指南,包括基本概念、代码实例、实际应用等内容。我们主要提供了一些 eBPF 工具的案例,帮助开发者学习 eBPF开发方法和技巧。教程内容可以在目录中找到,每个目录都是一个独立的 eBPF 工具案例。在学习 eBPF 的过程中,我们受到了 tutorial_bcc_python_developer 的许多启发和帮助,但从 2022 年的角度出发,使用 libbpf 开发 eBPF 的应用是目前相对更
eBPF系列:开发流程
tangzhangyin的专栏
09-23 695
eBPF开发基础
eBPF 入门开发实践指南四:在 eBPF捕获进程打开文件的系统调用集合使用全局变量过滤进程 pid
云微的blog
01-23 1424
本文介绍了如何使用 eBPF 程序来捕获进程打开文件的系统调用。在 eBPF 程序中,我们可以通过定义 tracepoint__syscalls__sys_enter_open 和 tracepoint__syscalls__sys_enter_openat 函数并使用 SEC 宏把它们附加到 sys_enter_open 和 sys_enter_openat 两个 tracepoint 来捕获进程打开文件的系统调用
libbpf-bootstrap开发指南:第一个tracepoint 监测demo - minimal
阿呆的隐秘角落
07-15 1316
做全网最好的libbpf-bootstrap 开发指南
ftrace中没有syscall信息问题的分析
chensong_2000的博客
02-24 1118
1,ftrace中syscallevents的实现 ftrace是内核的一个重要分析供给,在分析内核代码运行路径和时间问题上有着其他工具不可比拟的优势,比如对于系统调用,我们在分析cyclictest测试日志的时候,可以看到这样的信息: cyclicte-305307....09479.661181:sys_enter:NR115(1,1,ffffbbfae420,0,0,ffffbbfaecd0)//系统进入了nanosleep调用,信息包括时...
libbpf开发指南:获取与给定 BPF 程序关联的 ELF section 名称
阿呆的隐秘角落
07-06 442
返回一个表示 ELF section 名称的字符串。
使用ebpf 监控mysqld 内核
qq_32783703的博客
01-24 2122
我们使用ebpf 监控mysql的话有两个思路去做这件事情1、kprobe -> hook 掉tcp_sendmsg 和 tcp_recvmsg 一类的内核函数去分析网络协议2、uprobe -> hook 掉 mysqld 的api函数,然后在此基础上进行统计。
trace系列3 - trace event学习笔记
HZero
11-04 4847
0.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明trace event的原理。 1. TRACE_EVENT宏 第一次定义(include/linux/tracepoint.h) #define TRACE_EVENT(name, proto, args, struct, assign, print) \
Eunomia:ebpf 程序的分发和使用像网页和 web 服务一样自然
云微的blog
08-18 1035
Eunomia 想要探索一条全新的路线:在本地编译或者远程服务器编译之后,使用 http RESTful API 直接进行 ebpf 字节码的分发,在生产环境最小仅需 4 MB 的运行时,约 100ms 的时间和微不足道的内存、CPU 占用即可实现 ebpf 代码动态分发、热加载、热更新,不受内核版本限制,不需要在生产环境中安装底层库(如 LLVM、python 等)、搭建环境即可启动;......
Linux中基于eBPF的恶意利用与检测机制
美团技术团队
04-07 5962
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范?前言现状分析海外资料国内资料eBPF技术恶意利用的攻击原理Linux网络层...
eunomia-bpf:eBPF 程序的开发和部署尽可能简单
云微的blog
09-07 865
传统来说, eBPF开发方式主要有 BCC、libbpf 等方式。要完成一个 BPF 二进制程序的开发,需要搭建开发编译环境,要关注目标系统的内核版本情况,需要掌握从 BPF 内核态到用户态程序的编写,以及如何加载、绑定至对应的 HOOK 点等待事件触发,最后再对输出的日志及数据进行处理。我们希望有这样一种 eBPF 的编译和运行工具链,就像其他很多语言一样:大多数用户只需要关注bpf.c程序本身的编写,不需要写任何其他的什么 Python, Clang 之类的用户态辅助代码框架;
操作系统大赛:基于 eBPF 的容器监控工具 Eunomia 初赛报告(系统设计、ebpf 探针设计)
云微的blog
07-07 677
项目仓库:https://github.com/yunwei37/Eunomia系统架构关于详细的系统架构设计和模块划分,请参考 系统设计文档tracker_manager负责启动和停止 ebpf 探针,并且和 ebpf 探针通信(每个 tracer 是一个线程);我们主要有五个ebpf探针:container_manager负责观察 container 的启动和停止,保存每个 container 的相关信息:(cgroup,namespace),同时负责 container id, container n
使用 ChatGPT ,通过自然语言编写 eBPF 程序和追踪 Linux 系统
云微的blog
02-24 3044
eBPF 是一项革命性的技术,起源于 Linux 内核,可以在操作系统的内核中运行沙盒程序。它被用来安全和有效地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。今天,eBPF被广泛用于各类场景:在现代数据中心和云原生环境中,可以提供高性能的网络包处理和负载均衡;以非常低的资源开销,做到对多种细粒度指标的可观测性,帮助应用程序开发人员跟踪应用程序,为性能故障排除提供洞察力;保障应用程序和容器运行时的安全执行,等等。
bfp map 使用
最新发布
02-08
### BPF Map使用方法及示例 #### 什么是BPF Map? BPF Maps 是一种用于存储数据结构的数据容器,允许内核空间和用户空间之间共享数据。Maps 支持多种类型的操作,如创建、查找、更新和删除键值对[^1]。 #### 创建 BPF Map 为了在程序中使用 BPF Map,首先需要定义并初始化该映射。下面是一个简单的例子来展示如何创建一个哈希类型的 BPF Map: ```c #include <linux/bpf.h> #include <bpf/bpf.h> struct bpf_map_def SEC("maps") example_hash_map = { .type = BPF_MAP_TYPE_HASH, .key_size = sizeof(int), .value_size = sizeof(long), .max_entries = 1024, }; ``` 这段代码片段展示了如何声明一个名为 `example_hash_map` 的哈希表型 BPF Map,在这里指定了键大小为整数长度 (`sizeof(int)`), 值大小为长整形(`sizeof(long)`) 并设定了最大条目数量为 1024 条记录。 #### 向 BPF Map 中写入数据 一旦成功创建了一个 BPF Map,则可以通过调用特定函数向其中插入新的键值对。以下是 Python 绑定 libbpf 库的一个简单实例: ```python import ctypes as ct from bcc import BPF # 加载 eBPF 程序源码... with open('program.c', 'r') as f: program_source = f.read() b = BPF(text=program_source) # 获取到我们之前定义好的 hash 表对象 hash_table = b.get_table("example_hash_map") # 插入一条新纪录 (假设 key 和 value 都是 int 类型) key = ct.c_int(1) value = ct.c_long(42) hash_table[key] = value ``` 此段脚本说明了怎样利用 Python 结合 BCC 工具链操作已存在的 BPF Hash Table 进行元素的增删改查等基本功能。 #### 查询 BPF Map 数据 查询已经存放在 BPF Map 内的信息同样重要。可以采用如下方式读取指定 Key 对应 Value : ```python try: fetched_value = hash_table[ct.c_int(1)] print(f"Fetched value is {fetched_value.value}") except KeyError: print("Key not found.") ``` 上述代码尝试获取键为 1 所对应的值,并打印出来;如果找不到对应项则捕获异常并给出提示信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值