1. 全栈程序员必看首页

eBPF BCC 实现UNIX socket抓包「建议收藏」

全栈程序员-站长 未分类 阅读 5

eBPF BCC 实现UNIX socket抓包「建议收藏」在之前,我写了一个《eBPFbpftrace实现个UNIXsocket抓包试试》,但是很受限啊,不能完整打印包数据信息,今天又写了一个BCC的,感觉没问题了。不多说,直接上代码:#!/usr/bin/python#@lint-avoid-python-3-compatibility-imports##undumpDumpUNIXsocketpackets.#ForLinux,usesBCC,eBPF.Embedded

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

在之前,我写了一个《eBPF bpftrace 实现个UNIX socket抓包试试》,但是很受限啊,不能完整打印包数据信息,今天又写了一个BCC的,感觉没问题了。

不多说,直接上代码:

#!/usr/bin/python
# @lint-avoid-python-3-compatibility-imports
# 
# undump        Dump UNIX socket packets.
#               For Linux, uses BCC, eBPF. Embedded C.
# USAGE: undump [-h] [-t] [-p PID]
#
# This uses dynamic tracing of kernel functions, and will need to be updated
# to match kernel changes.
#
# Copyright (c) 2021 Rong Tao.
# Licensed under the GPL License, Version 2.0
#
# 27-Aug-2021   Rong Tao   Created this.
#
from __future__ import print_function
from bcc import BPF
from bcc.containers import filter_by_containers
from bcc.utils import printb
import argparse
from socket import inet_ntop, ntohs, AF_INET, AF_INET6
from struct import pack
from time import sleep
from datetime import datetime
import sys

# arguments
examples = """examples:
    ./undump           # trace/dump all UNIX packets
    ./undump -t        # include timestamps
    ./undump -p 181    # only trace/dump PID 181
"""
parser = argparse.ArgumentParser(
    description="Dump UNIX socket packets",
    formatter_class=argparse.RawDescriptionHelpFormatter,
    epilog=examples)
    
parser.add_argument("-t", "--timestamp", 
        action="store_true", help="include timestamp on output")
parser.add_argument("-p", "--pid",
        help="trace this PID only")
args = parser.parse_args()

# define BPF program
bpf_text = """
#include <uapi/linux/ptrace.h>
#include <net/sock.h>
#include <bcc/proto.h>
#include <linux/aio.h>
#include <linux/socket.h>
#include <linux/net.h>
#include <linux/fs.h>
#include <linux/mount.h>
#include <linux/module.h>
#include <net/sock.h>
#include <net/af_unix.h>


// separate data structs for ipv4 and ipv6
struct stream_data_t {
    u64 ts_us;
    u32 pid;
    u32 uid;
    u32 sock_state;
    u32 sock_type;  //type of socket[STREAM|DRGMA]
    u64 sock_flags;
    char task[TASK_COMM_LEN];
    char *unix_sock_path;
    int msg_namelen;
};
BPF_PERF_OUTPUT(stream_recvmsg_events);

#define MAX_PKT 512
struct recv_data_t {
    u32 recv_len;
    u8  pkt[MAX_PKT];
};

// single element per-cpu array to hold the current event off the stack
BPF_PERCPU_ARRAY(unix_data, struct recv_data_t,1);

BPF_PERF_OUTPUT(unix_recv_events);


//static int unix_stream_recvmsg(struct socket *sock, struct msghdr *msg,
//			       size_t size, int flags)
int trace_stream_entry(struct pt_regs *ctx)
{
    int ret = PT_REGS_RC(ctx);
    
    u64 pid_tgid = bpf_get_current_pid_tgid();
    u32 pid = pid_tgid >> 32;
    u32 tid = pid_tgid;

    FILTER_PID

    struct stream_data_t data4 = {.pid = pid,};
    data4.uid = bpf_get_current_uid_gid();
    data4.ts_us = bpf_ktime_get_ns() / 1000;

    struct socket *sock = (struct socket *)PT_REGS_PARM1(ctx);   
    struct msghdr *msg = (struct msghdr *)PT_REGS_PARM2(ctx);    

    data4.sock_state = sock->state;
    data4.sock_type = sock->type;
    data4.sock_flags = sock->flags;

    data4.msg_namelen = msg->msg_namelen;
    
    bpf_get_current_comm(&data4.task, sizeof(data4.task));
    
    struct unix_sock *unsock = (struct unix_sock *)sock->sk;
    data4.unix_sock_path = (char *)unsock->path.dentry->d_name.name;
    
    stream_recvmsg_events.perf_submit(ctx, &data4, sizeof(data4));

    
    return 0;
};


int trace_unix_stream_read_actor(struct pt_regs *ctx)
{
    u32 zero = 0;
    int ret = PT_REGS_RC(ctx);
    u64 pid_tgid = bpf_get_current_pid_tgid();
    u32 pid = pid_tgid >> 32;
    u32 tid = pid_tgid;

    FILTER_PID

	struct sk_buff *skb = (struct sk_buff *)PT_REGS_PARM1(ctx);

    struct recv_data_t *data = unix_data.lookup(&zero);
    if (!data) 
        return 0;

    unsigned int data_len = skb->len;
    if(data_len > MAX_PKT)
        return 0;
        
    void *iodata = (void *)skb->data;
    data->recv_len = data_len;
    
    bpf_probe_read(data->pkt, data_len, iodata);
    unix_recv_events.perf_submit(ctx, data, data_len+sizeof(u32));
    
    return 0;
}

"""

if args.pid:
    bpf_text = bpf_text.replace('FILTER_PID',
        'if (pid != %s) { return 0; }' % args.pid)

bpf_text = bpf_text.replace('FILTER_PID', '')
    


# process event
def print_stream_event(cpu, data, size):
    event = b["stream_recvmsg_events"].event(data)
    global start_ts
    if args.timestamp:
        if start_ts == 0:
            start_ts = event.ts_us
        printb(b"%-9.3f" % ((float(event.ts_us) - start_ts) / 1000000), nl="")
    printb(b"%-6s %-12s" % (event.pid, event.task))

# process event
def print_recv_pkg(cpu, data, size):
    event = b["unix_recv_events"].event(data)
    print("----------------", end="")
    for i in range(0, event.recv_len):
        print("%02x " % event.pkt[i], end="")
        sys.stdout.flush()
        if (i+1)%16 == 0:
            print("")
            print("----------------", end="")
    print("\n----------------recv %d bytes" % event.recv_len)
    

# initialize BPF
b = BPF(text=bpf_text)
b.attach_kprobe(event="unix_stream_recvmsg", fn_name="trace_stream_entry")
b.attach_kprobe(event="unix_stream_read_actor", fn_name="trace_unix_stream_read_actor")


print("Tracing UNIX socket packets ... Hit Ctrl-C to end")

# header
if args.timestamp:
    print("%-9s" % ("TIME(s)"), end="")


print("%-6s %-12s" % ("PID", "COMM"), end="")
print()


print()
start_ts = 0

# read events
b["stream_recvmsg_events"].open_perf_buffer(print_stream_event)
b["unix_recv_events"].open_perf_buffer(print_recv_pkg)

while True:
    try:
        b.perf_buffer_poll()
    except KeyboardInterrupt:
        exit()

help信息

[root@localhost study]# ./undump.py -h
usage: undump.py [-h] [-t] [-p PID]

Dump UNIX socket packets

optional arguments:
  -h, --help         show this help message and exit
  -t, --timestamp    include timestamp on output
  -p PID, --pid PID  trace this PID only

examples:
    ./undump           # trace/dump all UNIX packets
    ./undump -t        # include timestamps
    ./undump -p 181    # only trace/dump PID 181

效果:

eBPF BCC 实现UNIX socket抓包「建议收藏」

abcdef前面的字段是我的消息头

 

struct MsgHdr {
    int src;
    int dst;
    int id;
    char data[];
}__attribute__((packed));

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/191175.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • memwatch使用[通俗易懂]

    memwatch使用[通俗易懂]

    memwatch使用[通俗易懂]一、简介memwatch可以跟踪程序中的内存泄漏和错误,能检测双重释放(double-free)、错误释放(erroneousfree)、没有释放的内存(unfreedmemory)、溢出(Overflow)、下溢(Underflow)等。下载地址:http://www.linkdata.se/sourcecode/memwatch/解压后,得到源码memwa

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月13日
    21
  • java-非访问修饰符

    java-非访问修饰符

    java-非访问修饰符

    全栈程序员-站长的头像 全栈程序员-站长
    2021年9月29日
    38
  • nginx前端跨域_nginx实现跨域

    nginx前端跨域_nginx实现跨域

    nginx前端跨域_nginx实现跨域做前端开发的时候,使用nginx代理,如果我们当前的域名与请求接口的域名不在同一个域名下时,会有跨域问题打开nginx.conf文件打开Finder-前往-前往文件夹/usr/local/etc/nginx一般默认在这个目录下打开nginx.conf之后,增加一个location如下:location/test{prox…

    全栈程序员-站长的头像 全栈程序员-站长
    2025年6月3日
    3
  • Python爬取热搜数据之炫酷可视化[通俗易懂]

    Python爬取热搜数据之炫酷可视化[通俗易懂]

    Python爬取热搜数据之炫酷可视化[通俗易懂]可视化展示看完记得点个赞哟微博炫酷可视化音乐组合版来了!项目介绍背景现阶段、抖音、快手、哗哩哗哩、微信公众号已经成为不少年轻人必备的“生活神器”。在21世纪的今天,你又是如何获取外界的信息资源的?相信很多小伙伴应该属于下面这一种类型的:事情要想知道快,抖音平台马上拍;微博热搜刷一刷,聚焦热点不愁卖;闲来发呆怎么办,B站抖音快手来;要是深夜无聊备,微信文章踩一踩;哈哈哈,小小的活跃一下气氛在这个万物互联的时代,已不再是那个“从前慢,车马慢….

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月20日
    50
  • decode encode区别_python decode和encode

    decode encode区别_python decode和encode

    decode encode区别_python decode和encode#-*-coding:utf-8importsys”’*首先要搞清楚,字符串在Python内部的表示是unicode编码,因此,在做编码转换时,通常需要以unicode作为中间编码,即先将其他编码的字符串解码(decode)成unicode,再从unicode编码(encode)成另一种编码。decode的作用是将其他编码的字符串转换成unicode编码,如str1.decode(‘gb231…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年10月7日
    3
  • <span role="heading" aria-level="2">XLSTransformer生成excel一个简单的演示示例文件

    XLSTransformer生成excel一个简单的演示示例文件

    XLSTransformer生成excel一个简单的演示示例文件项目结构图:在这些项目中使用jar。可以http://www.findjar.com/index.x下载ExcelUtil类源代码:packageutil;importjava.io.IOExce

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月2日
    30

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号