Linux kernel eBPF:将UDP有效负载和源IP打印为十六进制
我是eBPF的新手,想学习如何做一些基本的事情。我的问题是如何为我的eBPF代码编写C代码,以便以十六进制打印(Linux kernel eBPF:将UDP有效负载和源IP打印为十六进制,linux-kernel,kernel,bpf,ebpf,Linux Kernel,Kernel,Bpf,Ebpf,我是eBPF的新手,想学习如何做一些基本的事情。我的问题是如何为我的eBPF代码编写C代码,以便以十六进制打印(bpf\u trace\u printk)获得的数据包的UPD有效负载。我试过了,但运气不好。这是我目前的代码: int-udppingpong(结构) { 空*数据=(空*)(长)skb->数据; 空*数据结束=(空*)(长)skb->数据结束; 结构ethhdr*eth=数据; 结构iphdr*ip; 结构udphdr*udpdata; 如果((空*)eth+sizeof(*eth
bpf\u trace\u printkint-udppingpong(结构)
{
空*数据=(空*)(长)skb->数据;
空*数据结束=(空*)(长)skb->数据结束;
结构ethhdr*eth=数据;
结构iphdr*ip;
结构udphdr*udpdata;
如果((空*)eth+sizeof(*eth)>数据结束){
返回TC_ACT_UNSPEC;
}
ip=数据+尺寸(*eth);
如果((无效*)ip+sizeof(*ip)>数据结束){
返回TC_ACT_UNSPEC;
}
udpdata=(无效*)ip+sizeof(*ip);
如果((void*)udpdata+sizeof(*udpdata)>数据结束){
返回TC_ACT_UNSPEC;
}
if(eth->h_proto!=htons(eth_P_IP)){
返回TC_ACT_UNSPEC;
}
如果(ip->协议!=IPPROTO_UDP){
返回TC_ACT_UNSPEC;
}
无符号整数有效载荷大小;
无符号字符*有效载荷;
有效载荷大小=ntohs(udpdata->len)-sizeof(*udpdata);
有效负载=(无符号字符*)udpdata+sizeof(*udpdata);
如果((无效*)有效载荷+有效载荷大小>数据结束){
返回TC_ACT_UNSPEC;
}
__be16端口=udpdata->dest;
__be16端口过滤器=htons(7878);
if(端口!=端口过滤器){
返回TC\u ACT\u OK;
}
__u32 src_ip=ip->SADD;
bpf_trace_printk(“proto=%d,src=%lu\n”,ip->protocol,src_ip);//-->这以十进制和网络格式(反向)显示,如何显示实际ip,如1.2.3.4?
bpf_trace_printk(“有效负载=%02x\n”,有效负载);//-->如何使用?我需要十六进制的它来比较接收到的内容
返回TC\u ACT\u OK;
}
谢谢。我强烈建议在用户空间中进行这种后期处理<代码>bpf_trace_printk并不适用于生产环境(请参阅它在系统日志中留下的大量警告)。使用
bpf\u trace\u printk要在用户空间中进行后期处理,您可以依赖
bpf_skb_输出perf_submit_skb()您可以在BPF端执行的操作:
- 以ip地址格式打印
相当容易。你可以跟着src_ip - 您不能打印完整的、可变长度的UDP有效负载,但可以通过将前N个字节传递给
来打印,如下所示bpf\u trace\u printk
\uu32*数据=有效载荷;
bpf_trace_printk(“有效负载=%x%x%x\n”,*数据,*(数据+1),*(数据+2));
bpf_trace_printk(“有效负载=%x%x%x\n”、*数据、*(数据+1)、*(数据+2))?看起来您需要取消引用这些指针,并且格式修饰符(%02x
中的02
)不受支持,因此禁止输出bpf\u trace\u printk()
@qole在这两个错误上是正确的。我更新了答案。面向未来读者的指针:中的bpf\u trace\u printk()
说明了支持的格式说明符和修饰符。