mirror of
https://github.com/eunomia-bpf/bpf-developer-tutorial.git
synced 2026-02-11 22:25:13 +08:00
106 lines
4.0 KiB
Markdown
106 lines
4.0 KiB
Markdown
# eBPF 入门开发实践指南五:使用 uprobe 捕获 bash 的 readline 函数调用
|
||
|
||
eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具,它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。
|
||
|
||
本文是 eBPF 入门开发实践指南的第五篇,主要介绍如何使用 uprobe 捕获 bash 的 readline 函数调用。
|
||
|
||
## 使用 uprobe 捕获 bash 的 readline 函数调用
|
||
|
||
uprobe 是一种用于捕获用户空间函数调用的 eBPF 的探针,我们可以通过它来捕获用户空间程序调用的系统函数。
|
||
|
||
例如,我们可以使用 uprobe 来捕获 bash 的 readline 函数调用,从而获取用户在 bash 中输入的命令行。示例代码如下:
|
||
|
||
```c
|
||
/* SPDX-License-Identifier: GPL-2.0 */
|
||
/* Copyright (c) 2021 Facebook */
|
||
#include <vmlinux.h>
|
||
#include <bpf/bpf_helpers.h>
|
||
#include <bpf/bpf_tracing.h>
|
||
#include "bashreadline.h"
|
||
|
||
#define TASK_COMM_LEN 16
|
||
#define MAX_LINE_SIZE 80
|
||
|
||
/* Format of u[ret]probe section definition supporting auto-attach:
|
||
* u[ret]probe/binary:function[+offset]
|
||
*
|
||
* binary can be an absolute/relative path or a filename; the latter is resolved to a
|
||
* full binary path via bpf_program__attach_uprobe_opts.
|
||
*
|
||
* Specifying uprobe+ ensures we carry out strict matching; either "uprobe" must be
|
||
* specified (and auto-attach is not possible) or the above format is specified for
|
||
* auto-attach.
|
||
*/
|
||
SEC("uprobe//bin/bash:readline")
|
||
int BPF_KRETPROBE(printret, const void *ret) {
|
||
char str[MAX_LINE_SIZE];
|
||
char comm[TASK_COMM_LEN];
|
||
u32 pid;
|
||
|
||
if (!ret)
|
||
return 0;
|
||
|
||
bpf_get_current_comm(&comm, sizeof(comm));
|
||
|
||
pid = bpf_get_current_pid_tgid() >> 32;
|
||
bpf_probe_read_user_str(str, sizeof(str), ret);
|
||
|
||
bpf_printk("PID %d (%s) read: %s ", pid, comm, str);
|
||
|
||
return 0;
|
||
};
|
||
|
||
char LICENSE[] SEC("license") = "GPL";
|
||
```
|
||
|
||
这段代码的作用是在 bash 的 readline 函数返回时执行指定的 BPF_KRETPROBE 函数,即 printret 函数。
|
||
|
||
在 printret 函数中,我们首先获取了调用 readline 函数的进程的进程名称和进程 ID,然后通过 bpf_probe_read_user_str 函数读取了用户输入的命令行字符串,最后通过 bpf_printk 函数打印出进程 ID、进程名称和输入的命令行字符串。
|
||
|
||
除此之外,我们还需要通过 SEC 宏来定义 uprobe 探针,并使用 BPF_KRETPROBE 宏来定义探针函数。
|
||
|
||
在 SEC 宏中,我们需要指定 uprobe 的类型、要捕获的二进制文件的路径和要捕获的函数名称。例如,上面的代码中的 SEC 宏的定义如下:
|
||
|
||
```c
|
||
SEC("uprobe//bin/bash:readline")
|
||
```
|
||
|
||
这表示我们要捕获的是 /bin/bash 二进制文件中的 readline 函数。
|
||
|
||
接下来,我们需要使用 BPF_KRETPROBE 宏来定义探针函数,例如:
|
||
|
||
```c
|
||
BPF_KRETPROBE(printret, const void *ret)
|
||
```
|
||
|
||
这里的 printret 是探针函数的名称,const void *ret 是探针函数的参数,它代表被捕获的函数的返回值。
|
||
|
||
编译运行上述代码:
|
||
|
||
|
||
```console
|
||
$ ecc bashreadline.bpf.c bashreadline.h
|
||
Compiling bpf object...
|
||
Packing ebpf object and config into package.json...
|
||
$ sudo ecli package.json
|
||
Runing eBPF program...
|
||
```
|
||
|
||
运行这段程序后,可以通过查看 /sys/kernel/debug/tracing/trace_pipe 文件来查看 eBPF 程序的输出:
|
||
|
||
```console
|
||
$ sudo cat /sys/kernel/debug/tracing/trace_pipe
|
||
PID 12345 (bash) read: ls -l
|
||
PID 12345 (bash) read: date
|
||
PID 12345 (bash) read: echo "Hello eBPF!"
|
||
```
|
||
|
||
可以看到,我们成功的捕获了 bash 的 readline 函数调用,并获取了用户在 bash 中输入的命令行。
|
||
|
||
请注意,在上述代码中,我们使用了 SEC 宏来定义了一个 uprobe 探针,它指定了要捕获的用户空间程序 (bin/bash) 和要捕获的函数 (readline)。
|
||
|
||
此外,我们还使用了 BPF_KRETPROBE 宏来定义了一个用于处理 readline 函数返回值的回调函数 (printret)。该函数可以获取到 readline 函数的返回值,并将其打印到内核日志中。
|
||
|
||
通过这样的方式,我们就可以使用 eBPF 来捕获 bash 的 readline 函数调用,并获取用户在 bash 中输入的命令行.
|
||
|