研究如何使用IPCDump在Linux上跟踪进程间通信

原创 已于 2024-01-10 18:43:25 修改 · 166 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2023-08-27 10:00:00 首次发布
IPCDump是一款开源工具,用于Linux系统中跟踪进程间通信(IPC),支持多种通信机制,如管道、FIFO、Unix套接字等。它利用BPF和gobpf技术,有助于研究人员和开发者理解和调试多进程应用。本文介绍了其功能、使用方法和所需环境。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E7ZXIPzo-1693067042751)(https://image.3001.net/images/20210428/1619610514_60894b924d39bd1c62819.png!small)]

IPCDump

IPCDump这款工具可以帮助广大研究人员在Linux操作系统上跟踪进程间通信(IPC)。该工具覆盖了大多数常见的IPC机制,比如说管道、FIFO、Unix套接字、基于环回的网络和伪终端等等。

该工具有助于研究和调试多进程引用程序,而且还可以帮助了解操作系统通信过程中不同组件之间的关联。IPCDump可以跟踪此通信的元数据和内容,它特别适合在短生命周期的进程之间跟踪IPC,而这种任务对于传统的调试工具来说比较困难,如strace或gdb。它还有一些基本的过滤功能,可以帮助你筛选大量的事件。IPCDump收集的大部分信息来自放置在内核中关键函数的kprobes和跟踪点上的BPF钩子。为此,IPCDump使用了gobpf,它可以为bcc框架提供Golang绑定功能。

功能介绍

  • 支持管道和FIFO;
  • 回环IPC;
  • 信号(常规和实时);
  • Unix流和数据图表;
  • 基于伪终端的IPC;
  • 基于进程PID或进程名的事件过滤器;
  • 可读性高或JSON格式的输出数据;

工具要求&使用

  • Golang >= 1.15.6

已测试平台和内核

软件版本

|

Ubuntu 18.04 LTS

|

Ubuntu 20.04 LTS

—|—|—

4.15.0

|

已测试

|

未测试

5.4.0

|

未测试

|

已测试

5.8.0

|

未测试

|

已测试

工具构建

依赖组件

首先,我们需要安装Golang:

snap install go --classic

接下来,在操作系统上安装好BCC即可。

构建IPCDump

git clone https://github.com/guardicore/IPCDump

cd IPCDump/cmd/ipcdump

go build

工具使用

./ipcdump -h

Usage of ./ipcdump:

  -B uint

        max number of bytes to dump per event, or 0 for complete event (may be large). meaningful only if -x is specified.

  -D value

        filter by destination comm (can be specified more than once)

  -L    do not output lost event information

  -P value

        filter by comm (either source or destination, can be specified more than once)

  -S value

        filter by source comm (can be specified more than once)

  -c uint

        exit after <count> events

  -d value

        filter by destination pid (can be specified more than once)

  -f string

        <text|json> output format (default is text) (default "text")

  -p value

        filter by pid (either source or destination, can be specified more than once)

  -s value

        filter by source pid (can be specified more than once)

  -t value

        filter by type (can be specified more than once).

        possible values: a|all  k|signal  u|unix  ud|unix-dgram  us|unix-stream  t|pty  lo|loopback  lt|loopback-tcp  lu|loopback-udp  p|pipe

  -x    dump IPC bytes where relevant (rather than just event details).

One-liner

以Root权限运行:

# 导出目标系统中所有的IPC

./ipcdump

 

# 导出任意两个进程间的通信信号

./ipcdump -t kill

 

# 导出跟PID 1337相关的所有回环TCP连接

./ipcdump -t loopback-tcp -p 1337

 

# 导出Unix套接字IPC元数据和内容

./ipcdump -t unix -x -S Xorg

 

# 导出JSON格式的管道I/O元数据和前64字节的数据内容

./ipcdump -t pipe -x -B 64 -f json

项目地址

IPCDump: https://github.com/guardicore/IPCDump

参考资料

  • https://www.guardicore.com/labs/ipcdump-guardicores-new-open-source-tool-for-linux-ipc-inspection/
  • https://github.com/iovisor/gobpf
  • https://github.com/iovisor/bcc
  • https://golang.org/dl/
  • https://github.com/iovisor/bcc/blob/master/INSTALL.md

or-linux-ipc-inspection/

  • https://github.com/iovisor/gobpf
  • https://github.com/iovisor/bcc
  • https://golang.org/dl/
  • https://github.com/iovisor/bcc/blob/master/INSTALL.md

接下来我将给各位同学划分一张学习计划表!

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。

IPCDump
03-06
ipcdump ipcdump是用于在Linux跟踪进程间通信(IPC)的工具。 它涵盖了大多数常见的IPC机制-管道,fifos,信号,unix套接字,基于环回的网络和伪终端。 它是调试多进程应用程序的有用工具,也是了解系统中不同运动部件如何相互通信的一种简单方法。 ipcdump可以跟踪此通信的元数据和内容,并且特别适合在短期进程之间进行IPC跟踪,而使用传统的调试工具(如strace或gdb)可能很难在短暂的进程之间进行IPC跟踪。 它还具有一些基本的过滤功能,可帮助您筛选大量事件。 ipcdump收集的大多数信息都来自放置在kprobes和内核关键功能上的跟踪点上的BPF挂钩,尽管它也填充了/ proc文件系统中的某些记账内容。 为此,ipcdump大量使用 ,它为提供了golang绑定。 要求和用法 golang> = 1.15.6 经过测试的操作系统和内核 Ubuntu 18
IPCDump 项目常见问题解决方案
gitblog_00040的博客
01-23 360
IPCDump 项目常见问题解决方案 1. 项目基础介绍 IPCDump 是一个用于追踪 Linux 系统上进程间通信 (IPC) 的工具。它支持大多数常见的 IPC 机制,包括管道、FIFOs、信号、Unix 套接字、基于环回的网络以及伪终端。这个工具对于调试多进程应用程序非常有用,也可以帮助开发者理解系统中不同组件之间的通信方式。IPCDump 能够追踪通信的元数据和内容,特别适合追踪短生命周...
探秘Linux进程间通信ipcdump 工具
gitblog_00100的博客
05-26 460
探秘Linux进程间通信ipcdump 工具 ipcdump是一个强大的开源工具,专门用于追踪Linux系统中的进程间通信(IPC)。这个工具涵盖了管道、FIFO、信号、Unix套接字、回环网络和伪终端等多种常见的IPC机制。无论是调试多进程应用程序还是理解系统中各个组件之间的交互方式,ipcdump都能为你提供极大的帮助。 项目介绍 ipcdump的设计理念是让复杂的IPC跟踪变得简单。它利用...
深入探索Linux进程间通信ipcdump开源工具推荐
gitblog_00324的博客
09-11 794
深入探索Linux进程间通信ipcdump开源工具推荐 项目介绍 在Linux系统中,进程间通信(IPC)是多进程应用的核心机制之一。然而,理解和调试这些复杂的通信过程往往是一项挑战。为了解决这一问题,Guardicore实验室推出了开源工具——ipcdumpipcdump是一款用于追踪Linux系统中进程间通信的工具,支持多种常见的IPC机制,包括管道、FIFO、信号、Unix套接字、环回网...
LInux内核IPC通信 - 信号
生活需要深度
02-08 854
recalc_sigpending_tsk(t) 和 recalc_sigpending(): 第一个函数检查是 *t 进程描述符表示的进程有挂起信号(t->pending->signa),还是进程所属的线程组有挂起的信号(t->signal->shared_pending->signal),然后把 t->thread_info->flags 的 TIF_SIGPENDING 标志置位。处理程序终止时,setup_frame() 或 setup_rt_frame() 放在用户态堆栈中的返回代码被执行。
Go语言之禅 | Gopher Daily (2021.05.06) ʕ◔ϖ◔ʔ
TonyBai
05-06 317
每日一谚:Go is about being a language that focuses on code being readable.Go技术生态Go语言之禅 - https://m...
ipcdumpLinux进程间通信跟踪工具
资源摘要信息:"ipcdumpLinux环境下一款用于跟踪进程间通信(IPC)的工具。它的功能涵盖多种常见的IPC机制,包括管道(pipes)、命名管道(FIFOs)、信号(signals)、UNIX套接字(UNIX sockets)、基于环回的网络...
IPC$连接常见问答
十年磨一剑,霜刃未曾试!
07-25 2407
IPC$连接常见问答 十五 ipc$入侵问答精选 1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗? 答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。 2.你看下面的情况是为什么,可以连接但不能复制 net use \\***.***.***.***\ipc$ "密码" /user:"用户名" 命令成功 copy icmd.
IPC基础概念介绍
qq_20967339的博客
08-06 1589
&amp;amp;quot;*&amp;amp;quot; 本章内总总结笔记: 主要介绍 Serializable 、 Parcelable 、 Binder 。 **Serializable接口** 1. Serializable 是Java提供的一个序列化接口(空接口),为对象提供标准的序列化和反序列化操作。 2. 只需要一个类去实现 Serializable 接口并声明一个 serialVersionUID 即可实现序列化。 3. 如果不手动指定 serialVersionUID 的值
AlmaLinux9配置本地镜像仓库
weixin_50877409的博客
12-04 101
本文介绍了在AlmaLinux 9.7系统中配置本地yum仓库的步骤:1)创建挂载目录并挂载ISO镜像;2)备份原有repo文件并创建local.repo配置文件;3)设置本地仓库路径为/media/cdrom/AppStream;4)清除并重建yum缓存;5)最后通过成功安装telnet包验证了本地仓库配置的正确性。整个过程实现了不依赖网络使用本地ISO镜像作为软件源的目的。
99-在Linux上安装Anaconda
12-03 197
【代码】99-在Linux上安装Anaconda。
Linux 进程状态与进程管理命令
qq_52537313的博客
12-04 706
Linux 系统中,是程序的运行实例,是操作系统资源分配和调度的基本单位。进程从创建到终止会经历多种状态,通过进程管理命令可以查看、监控和控制这些状态。本教程将结合核心命令,全方位讲解进程状态及管理方法。
Linux 中替换某个目录下所有文件中的特定字符串
liweiweili126的博客
12-02 673
Linux 中替换某个目录下所有文件中的特定字符串,核心是用 findsed组合,支持灵活扩展(如备份原文件、过滤文件类型、排除目录等)。
Linux设备管理:从内核驱动到用户空间的完整架构解析
X
12-03 776
A[物理硬件插入/移除] --> B[内核驱动探测]B --> C{Linux统一设备模型 LDM}C --> D[在/sysfs创建对象]C --> E[发送uevent事件]D --> F[用户空间工具<br>lspci, lsusb等]E --> G[UDEV守护进程]G --> H[扫描规则库 /etc/udev/rules.d/]H --> I[匹配并执行规则]I --> J1[创建设备节点 /dev/]I --> J2[设置权限与所有权]I --> J3[执行自定义脚本]
Linux物理内存管理-引导内存分配器
tang_vincent的博客
12-05 405
本文深入分析了Linux早期物理内存管理框架memblock的原理与实现。memblock作为引导内存分配器,在伙伴系统初始化前负责物理内存管理,通过memory数组记录总物理内存,reserved数组记录预留内存。文章详细解读了memblock的数据结构、初始化流程、关键接口(memblock_add/reserve/alloc/free等)实现,以及最终将内存释放到伙伴系统的过程。通过设备树解析获取物理内存范围,并对内核代码段、预留内存等特殊区域进行处理,memblock为内核启动阶段提供了可靠的内存管
Linux---<unistd.h>类Unix系统编程核心头文件
MzKyle的博客
12-04 603
<unistd.h>是Unix/Linux系统编程的核心头文件,提供底层系统调用接口。它封装了文件操作、进程管理等基础功能,是开发系统级程序的必备依赖。该头文件包含关键宏定义(如文件描述符STDIN_FILENO)、权限检查常量(R_OK/W_OK)以及文件操作函数(access/chmod/read/write等)。通过文件描述符机制,开发者可直接与内核交互,实现高效I/O操作。典型应用包括权限管理、文件重定向(dup2)和原始I/O读写。所有类Unix系统原生支持,但Windows需通过兼容
CobaltStrike横向渗透之Https Beacon实战2(跳板机Linux
最新发布
mooyuan的网络安全博客
12-05 467
本文介绍了通过CobaltStrike实现Linux跳板机内网横向渗透的完整过程。攻击者首先创建两个HTTPS监听器(10088和22222端口),生成连接跳板机内网IP的HTTPSBeacon程序22222.exe。该程序通过跳板机上传至内网主机执行后,会主动连接跳板机的22222端口。跳板机通过配置iptables规则,将22222端口的HTTPS流量转发至攻击机的10088端口,最终建立攻击机→跳板机→内网主机的HTTPS C2通道。
linux 系统NTP】ntpd | chrony 时钟同步
weixin_49929829的博客
12-01 536
Linux系统NTP时钟同步的ntpd与chrony同步方式
linux常规(shell脚本)-启动java程序-实现快捷git拉取,maven打包,nohup发布(无dockerfile版)
pingzhuyan的博客
12-04 690
三个自动化部署脚本,用于简化内网服务器上的项目发布流程: stop.sh - 独立运行的停止服务脚本,可优雅终止指定Java进程,支持强制关闭功能 restart.sh - 提供两种版本:依赖stop.sh的版本和独立运行版本,实现服务重启功能 issue.sh - 集成式发布脚本(需依赖前两个脚本),实现代码拉取、Maven编译打包和自动重启的一键式操作 所有脚本均包含详细的日志记录、错误处理和状态提示功能,通过颜色区分不同级别的信息输出。使用时需根据实际环境修改配置项中的路径参数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值