文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >无法正确地从ebpf k探头读取论证。

无法正确地从ebpf k探头读取论证。
EN

Stack Overflow用户
提问于 2021-11-04 16:31:22
回答 1查看 289关注 0票数 2

我编写了一个简单的ebpf程序(使用libbpf),在其中我钩住了sendto syscall。

libbpf版本:

代码语言:javascript
复制
SEC("kprobe/sendto")
int BPF_KPROBE(entry_sendto, int sockfd, char* buf, size_t len)
{
    bpf_printk("libbpf - entry_sendto - 0 %p", ctx);
    bpf_printk("libbpf - entry_sendto - 1 %p", PT_REGS_PARM1(ctx));
    bpf_printk("libbpf - entry_sendto - 2 %p", PT_REGS_PARM2(ctx));
    bpf_printk("libbpf - entry_sendto - 3 %p", PT_REGS_PARM3(ctx));
    bpf_printk("libbpf - entry_sendto - 1 %d", (int)PT_REGS_PARM1(ctx));
    bpf_printk("libbpf - entry_sendto - 2 %s", (char *)PT_REGS_PARM2(ctx));
    bpf_printk("libbpf - entry_sendto - 3 %d", (int)PT_REGS_PARM3(ctx));
    bpf_printk("libbpf - entry_sendto params - 1 %d", sockfd);
    bpf_printk("libbpf - entry_sendto params - 2 %s", buf);
    bpf_printk("libbpf - entry_sendto params - 3 %d", len);
    return 0;
}

bcc版本:

代码语言:javascript
复制
int syscall__probe_entry_sendto(struct pt_regs* ctx, int sockfd, char* buf, size_t len, int flags,
                                const struct sockaddr* dest_addr, size_t addrlen) {
    bpf_trace_printk("bcc - entry_sendto - 0 %p", ctx);
    bpf_trace_printk("bcc - entry_sendto - 1 %p", PT_REGS_PARM1(ctx));
    bpf_trace_printk("bcc - entry_sendto - 2 %p", PT_REGS_PARM2(ctx));
    bpf_trace_printk("bcc - entry_sendto - 3 %p", PT_REGS_PARM3(ctx));
    bpf_trace_printk("bcc - entry_sendto - 1 %d", (int)PT_REGS_PARM1(ctx));
    bpf_trace_printk("bcc - entry_sendto - 2 %s", (char *)PT_REGS_PARM2(ctx));
    bpf_trace_printk("bcc - entry_sendto - 3 %d", (int)PT_REGS_PARM3(ctx));
    bpf_trace_printk("bcc - entry_sendto params - 1 %d", sockfd);
    bpf_trace_printk("bcc - entry_sendto params - 2 %s", buf);
    bpf_trace_printk("bcc - entry_sendto params - 3 %d", len);
    return 0;
}

我运行了一个简单的curl请求来检查钩子,得到了以下内容:

代码语言:javascript
复制
curl-49713   [002] d... 15631.753730: bpf_trace_printk: libbpf - entry_sendto - 0 00000000eca092cd
curl-49713   [002] d... 15631.753731: bpf_trace_printk: libbpf - entry_sendto - 1 00000000bfcdc9b6
curl-49713   [002] d... 15631.753731: bpf_trace_printk: libbpf - entry_sendto - 2 0000000000000000
curl-49713   [002] d... 15631.753731: bpf_trace_printk: libbpf - entry_sendto - 3 ffffffffffffffff
curl-49713   [002] d... 15631.753732: bpf_trace_printk: libbpf - entry_sendto - 1 67403608
curl-49713   [002] d... 15631.753733: bpf_trace_printk: libbpf - entry_sendto - 2 
curl-49713   [002] d... 15631.753734: bpf_trace_printk: libbpf - entry_sendto - 3 -1
curl-49713   [002] d... 15631.753735: bpf_trace_printk: libbpf - entry_sendto params - 1 67403608
curl-49713   [002] d... 15631.753736: bpf_trace_printk: libbpf - entry_sendto params - 2 
curl-49713   [002] d... 15631.753736: bpf_trace_printk: libbpf - entry_sendto params - 3 -1
curl-49713   [002] d... 15631.753737: bpf_trace_printk: bcc - entry_sendto - 0 00000000eca092cd
curl-49713   [002] d... 15631.753737: bpf_trace_printk: bcc - entry_sendto - 1 00000000bfcdc9b6
curl-49713   [002] d... 15631.753738: bpf_trace_printk: bcc - entry_sendto - 2 0000000000000000
curl-49713   [002] d... 15631.753738: bpf_trace_printk: bcc - entry_sendto - 3 ffffffffffffffff
curl-49713   [002] d... 15631.753738: bpf_trace_printk: bcc - entry_sendto - 1 67403608
curl-49713   [002] d... 15631.753739: bpf_trace_printk: bcc - entry_sendto - 2 
curl-49713   [002] d... 15631.753739: bpf_trace_printk: bcc - entry_sendto - 3 -1
curl-49713   [002] d... 15631.753740: bpf_trace_printk: bcc - entry_sendto params - 1 6
curl-49713   [002] d... 15631.753740: bpf_trace_printk: bcc - entry_sendto params - 2 8000
curl-49713   [002] d... 15631.753740: bpf_trace_printk: bcc - entry_sendto params - 3 1

我不明白如何读取libbpf中sendto系统的参数。ctx结构在BCC钩子和libbpf钩子之间是相同的(至少按地址排列)。

你看到我做错什么了吗?我错过什么了吗?任何帮助都将不胜感激!

linux-kernel
system-calls
bpf
ebpf
bcc-bpf
EN

回答 1

Stack Overflow用户

发布于 2022-06-05 14:16:15

如果您的内核启用了CONFIG_ARCH_HAS_SYSCALL_WRAPPER,那么ctx将被包装两次。而bcc专门处理函数args:https://github.com/iovisor/bcc/commit/2da34267fcae4485f4e05a17521214749f6f0edd

票数 1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/69842674

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档