我是eBPF的新手,想学习如何做一些基本的事情。我的问题是如何在C代码中编写我的eBPF代码,以便在HEX中打印(bpf_trace_printk)获得的数据包的UPD有效载荷。我试过了,但运气不好。下面是我当前的代码:
int udppingpong(struct __sk_buff *skb)
{
void *data = (void *)(long)skb->data;
void *data_end = (void *)(long)skb->data_end;
struct ethhdr *eth = data;
struct iphdr *ip;
struct udphdr *udpdata;
if ((void *)eth + sizeof(*eth) > data_end) {
return TC_ACT_UNSPEC;
}
ip = data + sizeof(*eth);
if ((void *)ip + sizeof(*ip) > data_end) {
return TC_ACT_UNSPEC;
}
udpdata = (void *)ip + sizeof(*ip);
if ((void *)udpdata + sizeof(*udpdata) > data_end) {
return TC_ACT_UNSPEC;
}
if (eth->h_proto != htons(ETH_P_IP)) {
return TC_ACT_UNSPEC;
}
if (ip->protocol != IPPROTO_UDP) {
return TC_ACT_UNSPEC;
}
unsigned int payload_size;
unsigned char *payload;
payload_size = ntohs(udpdata->len) - sizeof(*udpdata);
payload = (unsigned char *)udpdata + sizeof(*udpdata);
if ((void *)payload + payload_size > data_end) {
return TC_ACT_UNSPEC;
}
__be16 port = udpdata->dest;
__be16 portToFilter = htons(7878);
if (port != portToFilter) {
return TC_ACT_OK;
}
__u32 src_ip = ip->saddr;
bpf_trace_printk("proto= %d, src= %lun", ip->protocol, src_ip); // --> This shows in decimal and network format (reversed), how to show actual IP like 1.2.3.4?
bpf_trace_printk("payload= %02xn", payload); // --> HOW? I need it in hex to compare what is received
return TC_ACT_OK;
}
特别注意带有痕迹的最后一行。你能帮我如何打印十六进制格式的UDP有效载荷以及源IP吗?
谢谢。
我强烈建议在userspace中进行这种后处理。;无论如何,bpf_trace_printk并不适用于生产环境(参见它在syslog日志中留下的大警告)。用bpf_trace_printk打印UDP有效载荷也将是困难和低效的。
到用户空间后处理,您可以依赖bpf_skb_output,或者它在bcc中的高级对应perf_submit_skb()。这将允许您将数据包传递给用户空间,然后用户空间可以显示其UDP有效载荷。
您可以在bcc存储库中找到教程和示例。
在BPF端可以做什么:
- 以IP地址格式打印
src_ip相当容易。你可以关注这个StackOverflow的答案。 - 你不能打印完整的,可变长度的UDP有效载荷,但是你可以通过将它们传递给
bpf_trace_printk来打印前N个字节,如下所示。
__u32 *data = payload;
bpf_trace_printk("payload= %x %x %xn", *data, *(data+1), *(data+2));