前言

eBPF是一项革命性的技术,可以在Linux内核中运行沙盒程序,而无需重新编译内核或加载内核模块。它能够在许多内核 hook 点安全地执行字节码,主要应用在云原生网络、安全、跟踪监控等方面。

eBPF 基金会 (https://ebpf.io) 是一个为 eBPF 技术而创建的非盈利性组织,隶属于 Linux 基金会,其意在推动 eBPF 更好地发展,使其得到更加广泛的运用。

下面我将介绍如何在Rust中开发基于eBPF技术的应用示例。(该示例教程主要面向具备Rust开发基础的同学)

(一)环境准备

一台VM或Linux系统主机

推荐系统:Ubuntu20.04

内存:4G以上

Rust开发工具链:v1.56~

(二)安装llvm13(编译bpf字节码需要)

apt-get update

apt-get -y install wget build-essential software-properties-common lsb-release libelf-dev linux-headers-generic pkg-config

wget https://apt.llvm.org/llvm.sh

chmod +x llvm.sh

./llvm.sh 13

rm -f ./llvm.sh
//检验是否安装成功,输出版本号表示安装成功

llvm-config-13 --version | grep 13

(三)安装 cargo-bpf脚手架

cargo install cargo-bpf --no-default-features --features=llvm13

(四)应用示例

#1、创建用户空间代码目录

cargo new bpfdemo

cd bpfdemo

#2、创建bpf代码目录

cargo bpf new probes

ls

>>Cargo.lock  Cargo.toml  probes  src

#3、编写一个openmonitor bpf程序 输出系统打开的文件

cd probes

cargo bpf add openmonitor

cd src

ls

>>lib.rs  openmonitor

cd openmonitor

nano main.rs

完整openmonitor/main.rs代码如下:

#![no_std]

#![no_main]

use probes::openmonitor::*;

use redbpf_probes::kprobe::prelude::*;

program!(0xFFFFFFFE, "GPL");

#[map]

static mut OPEN_PATHS: PerfMap<OpenPath> = PerfMap::with_max_entries(1024);

#[kprobe]

fn do_sys_open(regs: Registers) {

    let mut path = OpenPath::default();

    unsafe {

        let filename = regs.parm2() as *const u8;

        if bpf_probe_read_user_str(

            path.filename.as_mut_ptr() as *mut _,

            path.filename.len() as u32,

            filename as *const _,

        ) <= 0

        {

            bpf_trace_printk(b"error on bpf_probe_read_user_str\0");

            return;

        }

        OPEN_PATHS.insert(regs.ctx, &path);

    }

}

完整openmonitor/mod.rs代码如下

pub const PATHLEN: usize = 256;

#[repr(C)]

#[derive(Debug, Clone)]

pub struct OpenPath {

    pub filename: [u8; PATHLEN],

}

impl Default for OpenPath {

    fn default() -> OpenPath {

        OpenPath {

            filename: [0; PATHLEN],

        }

    }

}
#4.在probes目录下编译bpf程序,生成openmonitor.elf文件

cargo bpf build --target-dir=../target

ls ../target/bpf/programs/openmonitor/openmonitor.elf

#5.在用户空间代码中使用bpf程序,获取系统打开文件

cd ../src

nano main.rs

完整bpfdemo/src/main.rs代码如下

use futures::stream::StreamExt;

use std::{ffi::CStr, ptr};

use tracing::Level;

use tracing_subscriber::FmtSubscriber;

use redbpf::load::Loader;

use probes::openmonitor::OpenPath;

fn probe_code() -> &'static [u8] {

    include_bytes!(concat!(

        env!("CARGO_MANIFEST_DIR"),

        "/target/bpf/programs/openmonitor/openmonitor.elf"

    ))

}

#[tokio::main(flavor = "current_thread")]

async fn main() {

    let subscriber = FmtSubscriber::builder()

        .with_max_level(Level::WARN)

        .finish();

    tracing::subscriber::set_global_default(subscriber).unwrap();

    let mut loaded = Loader::load(probe_code()).expect("error on Loader::load");

    let probe = loaded

        .kprobe_mut("do_sys_open")

        .expect("error on Loaded::kprobe_mut");

    probe

        .attach_kprobe("do_sys_open", 0)

        .expect("error on KProbe::attach_kprobe");

    probe

        .attach_kprobe("do_sys_openat2", 0)

        .expect("error on KProbe::attach_kprobe");

    while let Some((map_name, events)) = loaded.events.next().await {

        if map_name == "OPEN_PATHS" {

            for event in events {

                let open_path = unsafe { ptr::read(event.as_ptr() as *const OpenPath) };

                unsafe {

                    let cfilename = CStr::from_ptr(open_path.filename.as_ptr() as *const _);

                    println!("{}", cfilename.to_string_lossy());

                };

            }

        }

    }

}
#6.在bpfdemo目录下编译运行

cargo build

cargo run

#将会输出系统实时打开的文件

>>

/proc/driver/nvidia/params

/dev/nvidia0

/proc/driver/nvidia/params

/dev/nvidia0

/proc/driver/nvidia/params

/dev/nvidia0

/etc/localtime

/lib/x86_64-linux-gnu/libcuda.so.1

/lib/x86_64-linux-gnu/libm.so.6

/etc/netconfig

/sys/fs/cgroup/unified/system.slice/systemd-udevd.service/cgroup.procs

/sys/fs/cgroup/unified/system.slice/systemd-udevd.service/cgroup.threads

/proc/3084/cmdline

/proc/3729/cmdline

/proc/3994/cmdline

/proc/8823/cmdline

/proc/2231364/cmdline

/proc/2431788/cmdline

/proc/2560949/cmdline

/sys/class/hwmon

/sys/class/hwmon/hwmon6

/sys/class/hwmon/hwmon4

/sys/class/hwmon/hwmon2

/sys/class/hwmon/hwmon0

/sys/class/hwmon/hwmon7

/sys/class/hwmon/hwmon5

完毕!

Rust如何开发eBPF应用(一)?的更多相关文章

  1. Rust Aya 编写 eBPF 程序

    本文地址:https://www.ebpf.top/post/ebpf_rust_aya 1. 前言 Linux 内核 6.1 版本中有一个非常引人注意的变化:引入了对 Rust 编程语言的支持.Ru ...

  2. Rust语言开发

    Rust开发 第一个程序 fn main() { println!("Hello, world!"); // 带!号的都是宏 并不是函数 } fn main() { let nam ...

  3. 专访Rust——由Mozilla开发的系统编程语言(目标人群就是那些纠结的C++程序员,甚至也是他们自己)

    Rust是由Mozilla开发的专门用来编写高性能应用程序的系统编程语言.以下是对Rust的创始人——Graydon Hoare的采访. Graydon Hoare,自称为职业编程语言工程师,从200 ...

  4. Rust语言

    Rust语言 https://doc.rust-lang.org/stable/book/ http://www.phperz.com/article/15/0717/141560.html Rust ...

  5. InfoQ中文站特供稿件:Rust编程语言的核心部件

    本文为InfoQ中文站特供稿件.首发地址为: http://www.infoq.com/cn/articles/rust-core-components .如需转载.请与InfoQ中文站联系. 原文发 ...

  6. Rust语言——无虚拟机、无垃圾收集器、无运行时、无空指针/野指针/内存越界/缓冲区溢出/段错误、无数据竞争

    2006年,编程语言工程师Graydon Hoare利用业余时间启动了Rust语言项目.该项目充分借鉴了C/C++/Java/Python等语言的经验,试图在保持良好性能的同时,克服以往编程语言所存在 ...

  7. 我持续推动Rust语言支持Windows XP系统

    前言 Rust好像长期以来不支持Windows XP系统.有不少用户发帖提议官方支持XP,基本上都被Rust官方开发人员明白的拒绝了.他们的对话大致上是以这种形式開始和结束的(当中乙方代表官方及其拥趸 ...

  8. SQLite为何要用C语言来开发?

    SQLite 选择 C 语言的理由是?为什么不选择 Go 或者 Rust? C 语言是最好的 SQLite 在 2000 年 5 月 29 日发布,并一直使用 C 语言实现.C 语言一直是实现 SQL ...

  9. eBPF Tracing 入门教程与实例

    原文链接 Learn eBPF Tracing: Tutorial and Examples译者 弃余 在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关 ...

随机推荐

  1. .NET中XML序列化和反序列化常用类和用来控制XML序列化的属性总结(XmlSerializer,XmlTypeAttribute,XmlElementAttribute,XmlAttributeAttribute,XmlArrayAttribute...)

    序列化和反序列化是指什么? 序列化(seriallization): 将对象转化为便于传输的数据格式, 常见的序列化格式:二进制格式,字节数组,json字符串,xml字符串.反序列化(deserial ...

  2. 使用过 Redis 做异步队列么,你是怎么用的?

    答:一般使用 list 结构作为队列,rpush 生产消息,lpop 消费消息.当 lpop 没有 消息的时候,要适当 sleep 一会再重试. 如果对方追问可不可以不用 sleep 呢? list ...

  3. Java 中你怎样唤醒一个阻塞的线程?

    在 Java 发展史上曾经使用 suspend().resume()方法对于线程进行阻塞唤醒,但 随之出现很多问题,比较典型的还是死锁问题. 解决方案可以使用以对象为目标的阻塞,即利用 Object ...

  4. SDS-redis动态字符串

    与C语言类似,redis自己创建了简单动态字符串SDS(Simple Dynamic String)即简单动态字符串,创建字符串类型的键值对,SDS表示字符串值,键值对的值为字符串对象 SDS用途可以 ...

  5. 设置IE的自动导包器

    一丶打开IE设置: 快捷键:Ctrl+Alt+S 二丶将Add unambiguous imports on the fly 选中即可: 三丶设置好后别忘了"OK":

  6. MM32F0020 UART1硬件自动波特率的使用

    目录: 1.MM32F0020简介 2.UART自动波特率校准应用场景 3.MM32F0020 UART自动波特率校准原理简介 4.MM32F0020 UART1 NVIC硬件自动波特率配置以及初始化 ...

  7. 【C++】智能指针详解

    转自:https://blog.csdn.net/flowing_wind/article/details/81301001 参考资料:<C++ Primer中文版 第五版>我们知道除了静 ...

  8. 在微信小程序中绘制图表(part2)

    本期大纲 1.确定纵坐标的范围并绘制 2.根据真实数据绘制折线 相关阅读:在微信小程序中绘制图表(part1)在微信小程序中绘制图表(part3) 关注我的 github 项目 查看完整代码. 确定纵 ...

  9. python-验证6174猜想

    [题目描述]1955年,卡普耶卡(D.R.Kaprekar)对4位数字进行了研究,发现一个规律:对任意各位数字不相同的4位数,使用各位数字能组成的最大数减去能组成的最小数,对得到的差重复这个操作,最终 ...

  10. sql server学习总结一

    一,数据库的三级模式结构 1.    模式 模式又称逻辑模式或者概念模式,是数据库中全体数据的逻辑结构和特征的描述,一个数据库只有一个模式,模式处于三级结构的中间层. 2.    外模式 外模式又称用 ...