kprobe监控tcp_v4_connect

最新推荐文章于 2024-04-20 14:06:55 发布
原创 最新推荐文章于 2024-04-20 14:06:55 发布 · 794 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #内核

该博客介绍了如何使用Linux内核探针(Kprobe)来跟踪`tcp_v4_connect`函数的执行,记录TCP连接的源IP、源端口、目的IP和目的端口等信息,并在函数执行前、后及发生故障时打印相关信息。通过模块参数设置要跟踪的函数,展示了内核模块的加载和卸载过程。 
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/init.h>
#include <linux/uaccess.h>
#include <linux/inet.h>
#include <net/inet_sock.h>
#include <linux/limits.h>

static char func_name[NAME_MAX] = "tcp_v4_connect";
module_param_string(func, func_name, NAME_MAX, 0644);
MODULE_PARM_DESC(func, "Function to kretprobe; this module will report the"
		               " function's execution time");

static struct kprobe kp = {
	.symbol_name	= func_name
};

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
	struct sockaddr_in *usin = (struct sockaddr_in *)(regs->si);
	struct inet_sock *inet = inet_sk((struct sock *)(regs->di));
	__be16 sport = inet->inet_sport;
	__be32 saddr = inet->inet_saddr;
	__be32 daddr = usin->sin_addr.s_addr;

	printk(KERN_INFO "command: %s, pid: %d, src ip: %u.%u.%u.%u, src port: %d, dest ip: %u.%u.%u.%u, dest port: %d
最低0.47元/天 解锁文章
tcp_v4_connect函数
数字人生
12-20 153
tcp_v4_connect 函数Linux 内核中的一个用于处理 TCP 协议的 IPv4 连接请求的函数。它负责在用户空间请求建立 TCP 连接时,在内核空间创建相应的 TCP 套接字,并执行必要的操作以开始三次握手过程。在实际运行时,该函数会执行以下主要步骤:1. **检查参数是否合法**:函数首先会检查提供的参数是否合法,包括目标 IP 地址和端口号是否正确。2. **分配并初始化套接字**:内核会为新的 TCP 连接分配一个新的套接字结构,并进行初始化。
Linux内核tcp_v4_connect函数深度解析
最新发布
数字人生
05-18 155
tcp_v4_connectLinux 内核中负责处理 IPv4 客户端 TCP 连接建立的核心函数。其主要任务包括参数验证、路由选择、端口分配、状态管理、安全机制初始化以及 SYN 报文的构造与发送。具体流程如下: 参数验证:检查地址长度和协议族合法性,确保传入的地址结构体符合 IPv4 格式。 路由选择:通过目标地址查找最佳路由,拒绝多播或广播地址的 TCP 连接。 端口绑定:动态分配或绑定本地端口,处理端口冲突。 状态管理:将套接字状态置为 TCP_SYN_SENT,表示已发送 SYN 报文,等
tcp_v4_connect函数分析
wangpengqi的专栏
07-25 3279
当创建了TCP协议套接字后,客户端再调用connect()函数请求建立TCP链接。该函数通过系统调用触发tcp_v4_connect函数的执行,产生一个包含SYN标志和一个32位的序号的连接请求包,并发送给服务器端。 这是TCP三次握手的第一步。 我们知道,两个不同主机间的进程要进行通信,他们所发送的数据包所经过的路径为: 应用层→传输层→网络层→网络介质层 所以tcp_v
tcp_v4_connect函数的解析
weixin_45485072的博客
09-13 1023
它的成员变量包括目标地址(daddr)、源地址(saddr)、输出接口索引(flowi4_oif)、TOS/流量类别(flowi4_tos)、作用域(flowi4_scope)、协议(flowi4_proto)、标志(flowi4_flags)和 SELinux 安全标识符(flowi4_secid)等。它的主要作用是处理关闭的连接,并在适当的时间回收连接资源。总的来说**,TCP 协议栈的 death_row 对象是用于管理关闭的 TCP 连接,并实现连接的安全释放和资源回收。
eBPF入门开发实践教程十三:统计 TCP 连接延时,并使用 libbpf 在用户态处理数据
云微的blog
06-03 1111
tcpconnlat这个工具能够跟踪内核中执行活动 TCP 连接的函数(如通过connect()系统调用),并测量并显示连接延时,即从发送 SYN 到收到响应包的时间。通过本篇 eBPF 入门实践教程,我们学习了如何使用 eBPF 来跟踪和统计 TCP 连接建立的延时。我们首先深入探讨了 eBPF 程序如何在内核态监听特定的内核函数,然后通过捕获这些函数的调用,从而得到连接建立的起始时间和结束时间,计算出延时。
kprobes/kretprobes 在 bcc 程序中的使用
金荣的个人技术博客
06-21 1944
1. kprobes/kretprobes 介绍 1.1 kprobes 介绍 kprobes 主要用来对内核进行调试追踪, 属于比较轻量级的机制,,本质上是在指定的探测点(比如函数的某行, 函数的入口地址和出口地址,,或者内核的指定地址处)插入一组处理程序.。内核执行到这组处理程序的时候就可以获取到当前正在执行的上下文信息, 比如当前的函数名, 函数处理的参数以及函数的返回值,,也可以获取到寄存器甚至全局数据结构的信息。 1.2 kretprobes 介绍 kretprobes 在 kprobes 的机制
socket 源码解析之创建
panxj856856的博客
02-25 1469
数据结构 /** * struct socket - general BSD socket * @state: socket state (%SS_CONNECTED, etc) * @flags: socket flags (%SOCK_ASYNC_NOSPACE, etc) * @ops: protocol specific socket operations * @...
使用 kprobe 观察 tcp 拥塞窗口的变化
weixin_38184628的博客
03-04 1805
tcp 中拥塞窗口用来拥塞控制。在发送侧,要发送数据的时候会基于拥塞窗口进行判断,当前这个包还能不能发送出去。tcp 发包函数tcp_write_xmit(),在这个函数中调用 tcp_cwnd_test() 来判断当前拥塞窗口让不让发包。从 tcp_cwnd_test() 函数能看出来,in_flight 是已经发送出去,但是还没有被确认的包,如果这个数大于拥塞窗口,那么就返回 0,不能发包了,因为没有确认的包太多了,再发送可能加重网络拥塞,所以就返回 0。
TCP/IP 监视器 monitor
09-26
TCP monitor增强版是一款监视网络状况(如流量、端口、连接网络的进程等)的软件
TCP socket上的connect
望星空
06-17 4867
mytcp_v4_connect是IPv4相关的一个tcp协议连接函数,在myinet_stream_connect中,检查到struct socket->state状态为SS_UNCONNECTED后,调用该函数。该函数首先调用myip_route_connect确定到连接对端的路由,根据路由查询的结果,填充inet_sock->saddr, inet_sock->rcv_saddr, inet
tcp/ip协议栈--socket API 之connect()
3-Number
09-29 1084
0x01 缘由      前面一些博文简单学习了服务端 socket()、bind()、listen()、accept()过程,当没有客户端连接服务端时,服务端进程阻塞在accept处,等待客户端连接。客户端连接服务端利用connect() API。此处学习。 0x02 API介绍       0x03 源码单步跟踪      在另一台服务器运行server端,在guest主机运行cli
TCP之系统调用connect()之二
九天小哥的专栏
12-23 1981
这篇笔记记录connect()系统调用的后半部分,即客户端收到SYN+ACK响应,然后回复ACK的部分。 1. 客户端收到SYN+ACK报文 发送SYN请求报文后,TCB的状态由TCP_CLOSE迁移到TCP_SYN_SENT,所以在收到接收响应后,将由tcp_rcv_state_process()处理。 1.1 tcp_rcv_state_process() /* * This functio...
linux网络协议栈——TCP连接
weixin_48405654的博客
04-20 1307
(1)创建socket。(2)调用connect连接服务端地址和端口。(1)创建socket,服务端需要创建一个 socket 对象,用于监听传入的连接请求。(2)bind()绑定本地的IP/Port二元组用以定位,将创建的 socket 绑定到一个具体的 IP 地址和端口上,便于客户端寻找。(3)listen监听,监听绑定的地址和端口。
内核中的TCP的追踪分析-9-TCP(IPV4)的socket连接-续1
Tianjun_zhou的专栏
04-19 1443
我们继续昨天的socket的连接过程,继续看tcp_v4_connect()函数余下的代码,昨天我们已经看了前边的一段,现在看后面 if (tcp_death_row.sysctl_tw_recycle &&      !tp->rx_opt.ts_recent_stamp && rt->rt_dst == daddr) {         struct inet_pee
Linux网络编程之connect创建
zhuyong006的博客
01-25 1659
在说connect调用之前,先简单看下 inet_aton,这个函数完成的是ip地址的转换,它是将一个IP地址转换为一个4字节的整数。ok,回到我们的connect函数,首先,connect是一个系统调用。如下: kernel\net\Socket.c SYSCALL_DEFINE3(connect, int, fd, struct sockaddr __user *, uservaddr,
linux内核中,tcp连接三次握手过程中的,tcp协议栈中的函数调用关系
张同光 (Tongguang Zhang):Hello everyone !
04-01 1617
linux内核中,tcp连接三次握手过程中的,tcp协议栈中的函数调用关系
网络篇之connect
weixin_46381158的博客
01-19 812
客户端与服务端建立连接时,发送的第一个包,内核中都有哪些处理,让我们一块看下吧
BPF_PROG_TYPE_KPROBE与BPF_PROG_TYPE_SYSCALL的作用有什么不同
04-01
BPF_PROG_TYPE_KPROBE和BPF_PROG_TYPE_SYSCALL都是eBPF程序类型,但它们的作用不同。 BPF_PROG_TYPE_KPROBE是用于内核探测点的eBPF程序类型。它可以被插入到内核函数的入口或出口处,以便监控和调试内核行为。...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值