俞凡 DeepNoMind
俞凡 DeepNoMind

eBPF深度探索: 高效DNS监控实现

eBPF可以灵活扩展Linux内核机制,本文通过实现一个DNS监控工具为例,介绍了怎样开发实际的eBPF应用。原文: A Deep Dive into eBPF: Writing an Efficient DNS Monitoring

eBPF[1]是内核内置的虚拟机,在Linux内核内部提供了高层库、指令集以及执行环境,被用于诸多Linux内核子系统,特别是网络、跟踪、调试和安全领域。其功能即支持改变内核对数据包的处理,也允许对网络设备(如智能网卡)进行编程。

eBPF深度探索: 高效DNS监控实现_第1张图片 eBPF实现的用例。

已经有大量各种语言的关于eBPF的介绍文章[2],所以本文不会过多涉及eBPF的细节。尽管许多文章都提供了相当多的信息,但都没有回答最重要的问题: eBPF是如何处理数据包并监视从主机发送给用户的数据包的?本文将从头开始创建一个实际的应用程序,逐步丰富其功能,特别是监控DNS请求、响应及其过程,并提供所有这些过程的解释、评论以及源代码链接。因为想多举几个例子,而不仅仅只是单一问题的解决方案,因此有时候我们会稍微有点偏题。最终希望那些想要熟悉eBPF的人可以花更少的时间研究有用的材料,并更快的开始编程。

简介

假设主机可以发送合法的DNS请求,但发送这些请求的IP地址是未知的。在网络过滤器日志中,可以看到不断受到请求,但不清楚这是合法请求,还是信息已经泄露给了攻击者?如果发送数据的服务器所在的域是已知的,那就容易了。不幸的是,PTR已经过时,SecurityTrails显示这个IP要么什么都没有,要么有太多乱七八糟的东西。

我们可以执行*tcpdump*[3]命令,但是谁愿意一直盯着显示器呢?如果有多个服务器又怎么办呢?ELK技术栈里有*packetbeat*[4],这是一个可以吃掉服务器上所有处理器处理能力的怪物。*Osquery*[5]也是一个很好的工具,它非常了解网络连接,但不了解DNS查询,相关支持已经不再提供了。*Zeek*[6]是一个我在寻找如何跟踪DNS查询时了解到的工具,看起来还不错,但有两点让人感到困惑: 它不仅仅监视DNS,这意味着资源还将花在我不需要的工作上(也许尽管可以在设置中选择协议),它也不知道是哪个进程发送了请求。

我们将用Python并从最简单的部分开始编写代码,从而理解Python是如何与eBPF交互的。首先安装这些包:

#apt install python3-bpfcc bpfcc-tools libbpfcc linux-headers-$(uname -r)

这是在Ubuntu下的命令,但是如果想要深入内核,为其他发行版找到必要的包应该也不是问题。现在让我们开始吧:

#!/usr/bin/env python3
from bcc import BPF
FIRST_BPF = r"""
int first(void *ctx) {
  bpf_trace_printk("Hello world! execve() is calling\n");
  return 0;
}
"""
bpf = BPF(text=FIRST_BPF)
bpf.attach_kprobe(event=bpf.get_syscall_fnname("execve"), fn_name="first")
while True:
    try:
        (_, _, _, _, _, event_b) = bpf.trace_fields()
        events = event_b.decode('utf8')
        if 'Hello world' in events:
            print(events)
    except ValueError:
        continue
    except KeyboardInterrupt:
        break

注意: 在Ubuntu 20.04 LTS和18.04 LTS中,默认情况下允许无特权用户加载eBPF程序,但在最近的Ubuntu版本(21.10和22.04 LTS)中,出于安全考虑,默认禁用了这一功能。通过以下命令可以重启此能力:

$ sudo sysctl kernel.unprivileged_bpf_disabled=0

与所有hello-world示例一样,它没有做任何有用的事情,只是向我们介绍了基础知识。当主机上的任何程序调用execve()系统调用时,first()函数就会被执行。可以在另一个控制台上运行命令ls|cat|grep|clear或任何包含execve()的命令来触发,然后执行我们的代码。也可以在内核中发生的各种事件时调用eBPF程序,attach_kprobe()表示在调用特定内核函数时触发。但我们更习惯于处理系统调用,谁会知道对应函数的名字呢?因此,助手函数get_syscall_fnname()可以帮助我们将系统调用名转换为内核函数名。

eBPF中最简单的输出选项是函数bpf_trace_printk(),但这只是用于调试的输出。传递给这个函数的所有东西都可以通过 /sys/kernel/debug/tracing/trace_pipe 文件获得。为了避免在另一个控制台中读取这个文件,我们使用函数trace_fields(),它可以读取这个文件,并在程序中为我们提供其内容。

代码的其余部分比较明确,在一个能够被Ctrl-C中断的无限循环中,读取调试输出,如果出现"Hello world"字符串,就将其完整输出。

注意: bpf_trace_printk()可以实现类似printf()的格式化文本,但有重要限制: 不能超过3个参数,并且只有一个参数是%s

现在我们已经大致了解了如何使用eBPF,接下来我们开始构建一个实际的应用程序,监视所有DNS请求和响应,并记录谁问了什么以及收到了什么响应。

开始

我们从eBPF开始,处理数据包最简单的方法是将它们附加到网络套接字上。在本例中,每个包都将触发我们的程序。稍后我们将详细说明这是如何完成的,但现在我们需要在所有数据包中捕获端口为53的UDP包。要做到这一点,必须自己拆解包结构,并在C中分离所有嵌套的协议。cursor_advance宏可以在包的范围内移动光标(指针),返回其当前位置并移动到指定位置,从而帮助我们做到这一点:

#include 
#include 
#include 
int dns_matching(struct __sk_buff *skb) {
 u8 *cursor = 0;
// Checking the IP protocol::
 struct ethernet_t *ethernet = cursor_advance(cursorsizeof(*ethernet));
if (ethernet->type == ETH_P_IP) {
 …

proto.h文件中描述的结构ethernet_t:

struct ethernet_t {
  unsigned long long  dst:48;
  unsigned long long  src:48;
  unsigned int        type:16;
} BPF_PACKET_HEADER;

以太帧格式本身非常简单,包含6个字节(48位)的目地地址,相同大小的源地址,然后是两个字节(16位)的负载类型。

负载类型由一个等于0x0800的常量ETH_P_IP编码,定义在文件```if_ether.h```[7]中,确保下一层协议是IP(该代码以及其他可能的值都由IEEE[8]描述)。

我们继续检查IP内部是否是端口为53的UDP:

// Checking the UDP protocol:
struct ip_t *ip = cursor_advance(cursorsizeof(*ip));
if (ip->nextp == IPPROTO_UDP) {
    // Checking port 53:
    struct udp_t *udp = cursor_advance(cursorsizeof(*udp));
    if (udp->dport == 53) {
        // Request
        return -1;
    }
    if (udp->sport == 53) {
        // Respose
        return -1;
    }
}

ip_tudp_t仍然定义在proto.h中,但IPPROTO_UDP来自于```in.h```[9]。一般来说,这个例子并不完全正确。IP结构已经有点复杂了,它有可选字段,因此头部长度有可能不一样。正确做法是首先从头部获取其长度值,然后执行偏移,但我们才刚刚开始,不需要搞得太复杂。

这就很简单的找到了DNS包,接下来需要分析它的结构。为了简单起见,我们把包传递给用户空间(为此返回-1,而返回码0意味着不需要复制包)。

回到Python,我们首先仍然将程序附加到套接字上:

#!/usr/bin/env python3
import dnslib
import sys
from bcc import BPF
...
bpf = BPF(text=BPF_PROGRAM)
function_dns_matching = bpf.load_func("dns_matching", BPF.SOCKET_FILTER)
BPF.attach_raw_socket(function_dns_matching, '')

与上一个例子不同,现在程序不是在调用任何函数时被调用,而是被每个包调用。attach_raw_socket中的空参数意味着"所有网络接口",如果我们需要监控特定网络接口,那么就填入对应的名字。

将socket设置为阻塞模式:

import fcntl
import os
socket_fd = function_dns_matching.sock
fl = fcntl.fcntl(socket_fd, fcntl.F_GETFL)
fcntl.fcntl(socket_fd, fcntl.F_SETFL, fl & ~os.O_NONBLOCK)

剩下的就很简单了,使用类似的无限循环,从套接字读取数据,去掉所有头域,直接获得DNS包并解码。

完整代码如下:

#!/usr/bin/env python3

import dnslib
import fcntl
import os
import sys

from bcc import BPF

BPF_APP = r'''
#include 
#include 
#include 
int dns_matching(struct __sk_buff *skb) {
    u8 *cursor = 0;
     // Checking the IP protocol:
    struct ethernet_t *ethernet = cursor_advance(cursor, sizeof(*ethernet));
    if (ethernet->type == ETH_P_IP) {
         // Checking the UDP protocol:
        struct ip_t *ip = cursor_advance(cursor, sizeof(*ip));
        if (ip->nextp == IPPROTO_UDP) {
             // Check the port 53:
            struct udp_t *udp = cursor_advance(cursor, sizeof(*udp));
            if (udp->dport == 53 || udp->sport == 53) {
                return -1;
            }
        }
    }
    return 0;
}
'''


bpf = BPF(text=BPF_APP)
function_dns_matching = bpf.load_func("dns_matching", BPF.SOCKET_FILTER)
BPF.attach_raw_socket(function_dns_matching, '')

socket_fd = function_dns_matching.sock
fl = fcntl.fcntl(socket_fd, fcntl.F_GETFL)
fcntl.fcntl(socket_fd, fcntl.F_SETFL, fl & ~os.O_NONBLOCK)

while True:
    try:
        packet_str = os.read(socket_fd, 2048)
    except KeyboardInterrupt:
        sys.exit(0)

    packet_bytearray = bytearray(packet_str)

    ETH_HLEN = 14
    UDP_HLEN = 8

    # IP header length
    ip_header_length = packet_bytearray[ETH_HLEN]
    ip_header_length = ip_header_length & 0x0F
    ip_header_length = ip_header_length << 2

    # Starting the DNS packet
    payload_offset = ETH_HLEN + ip_header_length + UDP_HLEN

    payload = packet_bytearray[payload_offset:]

    dnsrec = dnslib.DNSRecord.parse(payload)

    # If it’s the response:
    if dnsrec.rr:
        print(f'Resp: {dnsrec.rr[0].rname} {dnslib.QTYPE.get(dnsrec.rr[0].rtype)} {", ".join([repr(dnsrec.rr[i].rdata) for i in range(0, len(dnsrec.rr))])}')
    # If it’s the request:
    else:
        print(f'Request: {dnsrec.questions[0].qname} {dnslib.QTYPE.get(dnsrec.questions[0].qtype)}')

该示例展示了哪些DNS请求/响应会通过我们的网络接口,但通过这种方式,我们还是不知道是什么进程在处理。也就是说,只有有限的信息,由于缺乏信息,我没有选择Zeek。

从数据包到进程

要获取关于eBPF中的进程信息,可以使用以下函数: bpf_get_current_pid_tgid()bpf_get_current_uid_gid()bpf_get_current_comm(char *buf, int size_of_buf)。当程序被绑定到对某个内核函数调用时(如第一个示例所示),就可以使用它们。UID/GID应该比较明确,但对于那些以前没有接触过内核操作细节的人来说,还是需要解释一下。在内核中被视为PID的东西在用户空间中显示为进程的thread ID。内核认为用户空间中的thread group ID是PID。类似的,bpf_get_current_comm()返回的不是通常的进程名(可以通过ps命令查看),而是线程名。

好吧,我们总归会拿到进程数据,那怎么将数据传递到用户空间?Table就是用于此目的,通过BPF_PERF_OUTPUT(event)创建,通过方法event.perf_submit(ctx, data, data_size)传递,并通过b.perf_buffer_poll()轮询接收。在此之后,只要数据可用,就会调用callback()函数,即b["event"].open_perf_buffer(callback)

下面将详细介绍这一机制,但现在,我们继续从理论上进行分析。我们既可以传输数据,也可以传输数据包本身。但要做到这一点,必须为传输的数据选择一个特定长度的变量。怎么选?直接回答是512字节,但并不正确。这一长度并没有考虑EDNS,而且我们还想正确跟踪基于TCP的DNS报文。因此我们不得不分配大量的预留空间,而更大的包将会被丢弃,大多数情况下,我们将分配比所需更多的内存。我不喜欢这种方法,幸运的是,还有另一个方法: perf_submit_skb()。除了数据外,它还从缓冲区传输指定字节的数据包。但需要注意,该方法仅适用于网络程序eBPF: 套接字,XDP。也就是说,我们无法获得有关进程的信息。

幸运的是,可以使用多个eBPF程序并互相交换数据!这也可以通过Table来实现。声明如下:

BPF_TABLE_PUBLIC("hash", key, val, name, max_elements);

这是为了使其对其他eBPF程序可用。在另一个程序中,通过如下代码访问:

BPF_TABLE("extern", key, val, name, max_elements);

因此,即使5元组(协议、源地址、源端口、目的地址和目的端口)都一样,也不会丢失数据包,键将是以下结构:

struct port_key {
     u8 proto;
     u32 saddr;
     u32 daddr;
     u16 sport;
     u16 dport;
 };

值是我们想知道的关于这个进程的所有信息:

struct port_val {
     u32 ifindex;
     u32 pid;
     u32 tgid;
     u32 uid;
     u32 gid;
     char comm[64];
 };

ifindex是网络设备,我们将在套接字上运行的另一个程序中填充这个值。在这里,我们用它来将整个结构转移到未来的用户空间。

总结: 当调用内核函数发送数据包时,存储涉及到的进程信息。当数据包出现在网络接口上时(不管是传出的还是传入),检查是否在目的地之间通过这样或那样的协议传输包的任何信息。如果有,就将其与包一起传递给Python,在那里完成其余工作。

好了,我们已经讨论程序的基本逻辑,接下来开始编程吧!

我的名字是进程

我们从获取相关进程的信息开始。```udp_sendmsg()```[10]```tcp_sendmsg()```[11]函数用于发送数据包,两者都将```sock```[12]结构作为第一个参数。在eBPF中有两种方法可以访问所研究函数的实参: 将其指定为函数的形参,或者使用宏PT_REGS_PARMx,其中x是实参号。下面将展示这两个选项,这是第一个程序,C_BPF_KPROBE:

// The structure that will be used as the key for 
// eBPF table 'proc_ports':
struct port_key {
    u8 proto;
    u32 saddr;
    u32 daddr;
    u16 sport;
    u16 dport;
};
// The structure that will be stored in the eBPF table 'proc_ports' 
// contains information about the process:
struct port_val {
    u32 ifindex;
    u32 pid;
    u32 tgid;
    u32 uid;
    u32 gid;
    char comm[64];
};
// Public (accessible from other eBPF programs) eBPF table in which 
// information about the process is written. 
// It's read when a packet appears on the socket:
BPF_TABLE_PUBLIC("hash", struct port_key, struct port_val, proc_ports, 20480);
// These are two ways to get access to the function arguments:
//int trace_udp_sendmsg(struct pt_regs *ctx) {
// struct sock *sk = (struct sock *)PT_REGS_PARM1(ctx);
int trace_udp_sendmsg(struct pt_regs *ctx, struct sock *sk) {
    u16 sport = sk->sk_num;
    u16 dport = sk->sk_dport;
  
    // Processing packets only on port 53.
    // 13568 = ntohs(53);
    if (sport == 13568 || dport == 13568) {
        // Preparing the data:
        u32 saddr = sk->sk_rcv_saddr;
        u32 daddr = sk->sk_daddr;
        u64 pid_tgid = bpf_get_current_pid_tgid();
        u64 uid_gid = bpf_get_current_uid_gid();
        // Forming the key structure.
        // These strange transformations will be explained below.
        struct port_key key = {.proto = 17};
        key.saddr = htonl(saddr);
        key.daddr = htonl(daddr);
        key.sport = sport;
        key.dport = htons(dport);
        // Forming a structure with the process properties:
        struct port_val val = {};
        val.pid = pid_tgid >> 32;
        val.tgid = (u32)pid_tgid;
        val.uid = (u32)uid_gid;
        val.gid = uid_gid >> 32;
        bpf_get_current_comm(val.comm, 64);
        //Writing the value into the eBPF table:
        proc_ports.update(&key, &val);
    }
    return 0;
}

使用tcp_sendmsg也完全一样,唯一的区别是,在结构port_key中,字段proto将等于6,这两个值(17和6)分别是UDP和TCP的协议号,可以在/etc/protocols文件中查看这些值。

两个bpf_get_current_*函数都返回64比特,因此我们分别获取高低32比特来提取数据。此外,对于PID/TGID,我们可以立即以常见的形式获取(例如,对于PID,写入字段的高32位,其中包含内核认为是TGID的内容)。

我们接下来看看关键数据结构的转换。在下一节中,我们将在程序中创建一个类似的结构。但我们不是从原子结构sock中获取数据,而是从eBPF的```__sk_buff```[13]中,数据的存储形式为:

__u32 remote_ip4; /* Stored in network byte order */
__u32 local_ip4; /* Stored in network byte order */
__u32 remote_port; /* Stored in network byte order */
__u32 local_port; /* stored in host byte order */
提取到用户空间

我们的第二个程序BPF_SOCK_TEXT将"挂起(hang)"在套接字上,为每个包检查对应进程的信息,并将其和包本身一起传输到用户空间:

// The structure that will be used as the key for
// eBPF table 'proc_ports':
struct port_key {
    u8 proto;
    u32 saddr;
    u32 daddr;
    u16 sport;
    u16 dport;
};
// The structure that will be stored in the eBPF table 'proc_ports',
// Contains information about the process:
struct port_val {
    u32 ifindex;
    u32 pid;
    u32 tgid;
    u32 uid;
    u32 gid;
    char comm[64];
};
// eBPF table from which information about the process is extracted.
// Filled when calling kernel functions udp_sendmsg()/tcp_sendmsg():
BPF_TABLE("extern", struct port_key, struct port_val, proc_ports, 20480);
// Table for transferring data to the user space:
BPF_PERF_OUTPUT(dns_events);
// Look for DNS packets among the data passing through the socket and 
// check if there is any information about the process:
int dns_matching(struct __sk_buff *skb) {
    u8 *cursor = 0;
// Checking the IP protocol:
struct ethernet_t *ethernet = cursor_advance(cursorsizeof(*ethernet));
     if (ethernet->type == ETH_P_IP) {
        struct ip_t *ip = cursor_advance(cursorsizeof(*ip));
        u8 proto;
        u16 sport;
        u16 dport;
        // Checking the transport layer protocol:
        if (ip->nextp == IPPROTO_UDP) {
            struct udp_t *udp = cursor_advance(cursorsizeof(*udp));
            proto = 17;
            // Getting the data about the ports:
            sport = udp->sport;
            dport = udp->dport;
        } else if (ip->nextp == IPPROTO_TCP) {
            struct tcp_t *tcp = cursor_advance(cursor, sizeof(*tcp));
            // We don't need packets where no data is transmitted:
            if (!tcp->flag_psh) {
                return 0;
            }
            proto = 6;
            // Getting the data about the ports:
            sport = tcp->src_port;
            dport = tcp->dst_port;
        } else {
            return 0;
        }
        // If it's a DNS query:
        if (dport == 53 || sport == 53) {
            // Form a key structure:
            struct port_key key = {};
            key.proto = proto;
            if (skb->ingress_ifindex == 0) {
                key.saddr = ip->src;
                key.daddr = ip->dst;
                key.sport = sport;
                key.dport = dport;
            } else {
                key.saddr = ip->dst;
                key.daddr = ip->src;
                key.sport = dport;
                key.dport = sport;
            }
            // By the key, look for a value in the eBPF table:
            struct port_val *p_val;
            p_val = proc_ports.lookup(&key);
            // If no value is found, then we have no information about the 
            // process and there is no point in continuing:
            if (!p_val) {
                return 0;
            }
            // Network device index:
            p_val->ifindex = skb->ifindex;
            // Transmit the structure with the process information along with 
            // skb->len bytes sent to the socket:
            dns_events.perf_submit_skb(skb, skb->len, p_val,
                                       sizeof(struct port_val));
            return 0;
        } //dport == 53 || sport == 53
    } //ethernet->type == ETH_P_IP
return 0;
}

该程序的启动方式与第一个示例相同。我们在数据包中移动指针,从不同级别的协议中收集信息。当前仍然不考虑IP头的实际长度,但还是添加了一些新的东西,对于TCP包,我们将检查其标志,过滤掉不携带数据的包(SYNACK等)。

但我们必须恢复键,从而从proc_ports表中获取数据。同时,必须区分流量的方向,毕竟,当我们在表中输入数据时,意味着我们是源。但是对于传入的数据包,源将是远程服务器。为了理解数据包的移动方向,我将ingress_ifindex标识为0用于标识输出流量。

提供服务

我们需要通过Python做三件事: 将程序加载到内核中,从内核中获取数据,并对其进行处理。

前两个任务很简单。此外,我们已经在第一个例子中考虑了使用eBPF的两种方法:

# BPF initialization:
bpf_kprobe = BPF(text=C_BPF_KPROBE)
bpf_sock = BPF(text=BPF_SOCK_TEXT)
# Send UDP:
bpf_kprobe.attach_kprobe(event="udp_sendmsg", fn_name="trace_udp_sendmsg")
# Send TCP:
bpf_kprobe.attach_kprobe(event="tcp_sendmsg", fn_name="trace_tcp_sendmsg")
# Socket:
function_dns_matching = bpf_sock.load_func("dns_matching", BPF.SOCKET_FILTER)
BPF.attach_raw_socket(function_dns_matching, '')

获取数据的代码甚至更短:

bpf_sock["dns_events"].open_perf_buffer(print_dns)
while True:
    try:
        bpf_sock.perf_buffer_poll()
    except KeyboardInterrupt:
        exit()

但数据处理将更加繁琐。尽管有现成模块,我们还是决定自己解析协议头。首先,我想自己弄清楚这是如何发生的(最后,尽管在当前情况下正确处理IP包头的长度没有意义,因为头域有额外选项的包将在eBPF中被丢弃),其次是减少对模块的依赖。然而,对于直接解析DNS,我仍然(到目前为止)使用现成模块,DNS结构比IP/TCP稍微复杂一些,需要另一个模块(ctypes)来处理C数据类型。

def print_dns(cpu, data, size):
    import ctypes as ct
    class SkbEvent(ct.Structure):
        _fields_ = [
            ("ifindex", ct.c_uint32),
            ("pid", ct.c_uint32),
            ("tgid", ct.c_uint32),
            ("uid", ct.c_uint32),
            ("gid", ct.c_uint32),
            ("comm", ct.c_char * 64),
            ("raw", ct.c_ubyte * (size - ct.sizeof(ct.c_uint32 * 5) - ct.sizeof(ct.c_char * 64)))
        ]
    # We get our 'port_val' structure and also the packet itself in the 'raw' field:
    sk = ct.cast(data, ct.POINTER(SkbEvent)).contents
    # Protocols:
    NET_PROTO = {6"TCP"17"UDP"}
    # eBPF operates on thread names.
    # Sometimes they coincide with process names, but often not.
    # So we try to get the process name by its PID:
    try:
        with open(f'/proc/{sk.pid}/comm''r'as proc_comm:
            proc_name = proc_comm.read().rstrip()
    except:
        proc_name = sk.comm.decode()
    # Get the name of the network interface by index:
    ifname = if_indextoname(sk.ifindex)
    # The length of the Ethernet frame header is 14 bytes:
    ip_packet = bytes(sk.raw[14:])
    # The length of the IP packet header is not fixed due to the arbitrary
    # number of parameters.
    # Of all the possible IP header we are only interested in 20 bytes:
    (length, _, _, _, _, proto, _, saddr, daddr) = unpack('!BBHLBBHLL', ip_packet[:20])
    # The direct length is written in the second half of the first byte (0b00001111 = 15):
    # len_iph = length & 15
    # Length is written in 32-bit words, convert it to bytes:
    # len_iph = len_iph * 4
    # Convert addresses from numbers into IPs, assembling it into octets:
    saddr = ".".join(map(str, [saddr >> 24 & 0xff, saddr >> 16 & 0xff, saddr >> 8 & 0xff, saddr & 0xff]))
    daddr = ".".join(map(map(str, [daddr >> 24 & 0xff, daddr >> 16 & 0xff, daddr >> 8 & 0xff, daddr & 0xff]))
    # If the transport layer protocol is UDP:
    if proto == 17:
        udp_packet = ip_packet[len_iph:]
        (sport, dport) = unpack('!HH', udp_packet[:4])
        # UDP datagram header length is 8 bytes:
        dns_packet = udp_packet[8:]
    # If the transport layer protocol is TCP:
    elif proto == 6:
        tcp_packet = ip_packet[len_iph:]
        # TCP packet header length is also not fixed due to the optional
        # options. Of the entire TCP header, we are only interested in the data up to the 13th
        # byte (header length):
        (sport, dport, _, length) = unpack('!HHQB', tcp_packet[:13])
        # The direct length is written in the first half (4 bits):
        len_tcph = length >> 4
        # Length is written in 32-bit words, converted to bytes:
        len_tcph = len_tcph * 4
        # That's the tricky part.
        # I don't know where I went wrong or why I need a 2 byte offset,
        # but it's necessary because the DNS packet doesn't start until after it:
        dns_packet = tcp_packet[len_tcph + 2:]
    # other protocols are not handled:
    else:
        return
    # DNS data decoding:
    dns_data = dnslib.DNSRecord.parse(dns_packet)
    # Resource record types:
    DNS_QTYPE = {1"A"28"AAAA"}
    # Query:
    If dns_data.header.qr == 0:
        # We are only interested in A (1) and AAAA (28) records:
        for q in dns_data.questions:
            If q.qtype == 1 or q.qtype == 28:
                print(f'COMM={proc_name} PID={sk.pid} TGID={sk.tgid} DEV={ifname} PROTO={NET_PROTO[proto]} SRC={saddr} DST={daddr} SPT={sport} DPT={dport} UID={sk.uid} GID={sk.gid} DNS_QR=0 DNS_NAME={q.qname} DNS_TYPE={DNS_QTYPE[q.qtype]}')
    # Response:
    elif dns_data.header.qr == 1:
        # We are only interested in A (1) and AAAA (28) records:
        For rr in dns_data.rr:
            If rr.rtype == 1 or rr.rtype == 28:
                print(f'COMM={proc_name} PID={sk.pid} TGID={sk.tgid} DEV={ifname} PROTO={NET_PROTO[proto]} SRC={saddr} DST={daddr} SPT={sport} DPT={dport} UID={sk.uid} GID={sk.gid} DNS_QR=1 DNS_NAME={rr.rname} DNS_TYPE={DNS_QTYPE[rr.rtype]} DNS_DATA={rr.rdata}')
    else:
        print('Invalid DNS query type.')
最后

启动应用程序Python代码,在另一个控制台中用```dig```[14]工具发起请求。

# dig @1.1.1.1 google.com +tcp

如果正确执行,程序输出应该是这样的:

# python3 final_code_eBPF_dns.py
The program is running. Press Ctrl-C to abort.
COMM=dig PID=10738 TGID=10739 DEV=ens18 PROTO=TCP SRC=192.168.44.3 DST=1.1.1.1 SPT=57915 DPT=53 UID=0 GID=0 DNS_QR=0 DNS_NAME=google.com. DNS_TYPE=A
COMM=dig PID=10738 TGID=10739 DEV=ens18 PROTO=TCP SRC=1.1.1.1 DST=192.168.44.3 SPT=53 DPT=57915 UID=0 GID=0 DNS_QR=1 DNS_NAME=google.com. DNS_TYPE=A DNS_DATA=142.251.12.101
COMM=dig PID=10738 TGID=10739 DEV=ens18 PROTO=TCP SRC=1.1.1.1 DST=192.168.44.3 SPT=53 DPT=57915 UID=0 GID=0 DNS_QR=1 DNS_NAME=google.com. DNS_TYPE=A DNS_DATA=142.251.12.113
COMM=dig PID=10738 TGID=10739 DEV=ens18 PROTO=TCP SRC=1.1.1.1 DST=192.168.44.3 SPT=53 DPT=57915 UID=0 GID=0 DNS_QR=1 DNS_NAME=google.com. DNS_TYPE=A DNS_DATA=142.251.12.102
COMM=dig PID=10738 TGID=10739 DEV=ens18 PROTO=TCP SRC=1.1.1.1 DST=192.168.44.3 SPT=53 DPT=57915 UID=0 GID=0 DNS_QR=1 DNS_NAME=google.com. DNS_TYPE=A DNS_DATA=142.251.12.139
COMM=dig PID=10738 TGID=10739 DEV=ens18 PROTO=TCP SRC=1.1.1.1 DST=192.168.44.3 SPT=53 DPT=57915 UID=0 GID=0 DNS_QR=1 DNS_NAME=google.com. DNS_TYPE=A DNS_DATA=142.251.12.100
COMM=dig PID=10738 TGID=10739 DEV=ens18 PROTO=TCP SRC=1.1.1.1 DST=192.168.44.3 SPT=53 DPT=57915 UID=0 GID=0 DNS_QR=1 DNS_NAME=google.com. DNS_TYPE=A DNS_DATA=142.251.12.138

到此为止,我们已经创建了一个有用的应用程序,可以显示系统中所有的DNS查询。希望上面的解释足够详细,这样如果你对编写eBPF程序感兴趣,可以更容易开始。这段代码已经帮助我更好的了解服务器上发生的事情,以下链接可以获取完整代码。

完整代码[15]

结论

这段代码还可以做得更好吗?当然可以!首先,应该增加对IPv6的支持。其次,不要再依赖IP头的固定长度,而是要对其进行解析。我拒绝使用Python库来处理数据包,不是没有原因的,在C语言中,仍然需要手动操作。第三,用C语言重写代码也很好,可以完全放弃Python,当然还要增加几行JSON输出的代码,这样在以后开发UI仪表盘时会更方便。这将导致第四点,对DNS数据包的手动分析。最后,最诱人的一点是停止查看端口(因为也许DNS数据包并不总是通过53端口),并尝试分析每个数据包,在其中寻找那些符合DNS格式的数据包,这将使我们即使在非标准的端口上也能检测到数据包。

你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。
微信公众号:DeepNoMind

参考资料

[1]

eBPF: https://docs.kernel.org/bpf/classic_vs_extended.html

 [2]

Awesome eBPF: https://github.com/zoidbergwill/awesome-ebpf

 [3]

tcpdump: https://www.tcpdump.org

 [4]

packetbeat: https://www.elastic.co/beats/packetbeat

 [5]

Osquery: https://osquery.io

 [6]

Zeek: https://zeek.org

 [7]

if_ether.h: https://kernel.googlesource.com/pub/scm/linux/kernel/git/nico/archive/+/d9cc76127bcc137e3214b9166c439e02d2060cda/include/linux/if_ether.h#32

 [8]

IEEE: https://standards-oui.ieee.org/ethertype/eth.txt

 [9]

in.h: https://github.com/torvalds/linux/blob/master/include/uapi/linux/in.h#L43

 [10]

udp_sendmsg(): https://github.com/torvalds/linux/blob/master/net/ipv4/udp.c#L1045

 [11]

tcp_sendmsg(): https://github.com/torvalds/linux/blob/master/net/ipv4/tcp.c#L1478

 [12]

sock: https://github.com/torvalds/linux/blob/master/include/net/sock.h#L352

 [13]

__sk_buff: https://github.com/iovisor/bcc/blob/master/src/cc/compat/linux/virtual_bpf.h#L5746

 [14]

dig: https://linux.die.net/man/1/dig

 [15]

final_code_eBPF_dns.py: https://gist.github.com/oghie/b4e3accf1f87afcb939f884723e2b462

 - END -

本文由 mdnice 多平台发布

你可能感兴趣的:(程序人生)

  • 程序人生——Java中基本类型使用建议 Perley620 #Java面试上岸专栏程序人生javapython
    目录引出Java中基本类型使用建议建议21:用偶判断,不用奇判断建议22:用整数类型处理货币建议23:不要让类型默默转换建议24:边界、边界、还是边界建议25:不要让四舍五入亏了一方建议26:提防包装类型的null值建议27:谨慎包装类型的大小比较建议28:优先使用整型池建议29:优先选择基本类型建议30:不要随便设置随机种子深入认识JVMJVM内存分配,类加载创建对象的4种方法总结垃圾回收GCJ
  • 程序人生——Java开发中通用的方法和准则,Java进阶知识汇总 Perley620 #Java面试上岸专栏程序人生java职场和发展
    目录引出Java开发中通用的方法和准则建议1:不要在常量和变量中出现易混淆的字母建议2:莫让常量蜕变成变量建议3:三元操作符的类型务必一致建议4:避免带有变长参数的方法重载建议5:别让null值和空值威胁到变长方法建议6:覆写变长方法也循规蹈矩建议7:警惕自增的陷阱建议8:不要让旧语法困扰你建议9:少用静态导入建议10:不要在本类中覆盖静态导入的变量和方法建议11:养成良好的习惯,显式声明UID建
  • 程序人生-Hello’s P2P zuo_zy 文档资料
    计算机系统大作业题目程序人生-Hello’sP2P专业计算学部学号120L022413班级2003008学生左曾元指导教师吴锐计算机科学与技术学院2022年5月摘要本文分析hello程序从C文件转变为可执行文件的过程,介绍了hello程序在Linux系统下的生命周期。对预处理、编译、汇编、链接的过程进行了分析,并讨论了hello的进程管理、存储管理以及IO管理,介绍了汇编指令、机器代码、重定位、动
  • 程序人生-Hello’s P2P jjzbkn linux
    摘要Hello,一个十分简单的程序,可以说是几乎全世界的程序员编写的第一个程序,我们一行一行地对着教程缓慢地输入Hello的几行代码,点击运行,惊喜地看到屏幕中输出的“Hello,World!”,然后就迅速地爱上了其他程序,却又不再回头,哪怕再多观望它一眼。然而,可以这么说,在这个简单的Hello中,囊括一个程序运行的所有过程,蕴含着无数计算机科学家的思想精华。从它的诞生再到它的逝去,它经历了每一
  • 【程序人生】上海,想说爱你不容易 蛮三刀酱
    1.还记得18年秋天,我研究生第二年,在繁忙的金九银十校招季里,我最常对别人说的一句话就是,尽管上海工作机会多,可我不想去上海工作。“为什么不愿意选择上海呢?”,通常HR会在面试时候反问我。“也没有什么特别的理由,就是感觉,在那里生活压力蛮大的。”我话里也带着些许真诚,和无知。当时的我对上海很熟悉吗?显然不熟。我二十几年的人生中,去上海旅游的次数不是特别多,最重要的是,我根本没有在上海长时间生活过
  • python中使用BeautifulSoup模块爬取中彩网福彩3D的开奖数据 烟雨风渡 网络爬虫网络爬虫BeautifulSouppython中彩网
    在上一篇博客中,介绍了网络爬虫的基本流程,然后以“使用BeautifulSoup爬取盗版小说网站”的例子对上述流程加以实现。最近看到微信公众号“程序人生”中的一篇文章:点击打开网页,在这篇文章中作者爬取了中彩网福彩3D的开奖数据并对其进行了简单分析。打开福彩3D开奖数据所在的网页,谷歌浏览器F12+F5可以看到这个网站的结构很简单,很适合初学者练手,所以写了这篇博客。建议读者自己先尝试实现本篇博客
  • csapp 大作业 Pht_ywy
    计算机系统大作业题目程序人生-Hello’sP2P专业计算机类学  号1180100406班  级1903006学生袁文宇   指导教师史先俊  计算机科学与技术学院2021年5月摘要本文重点关注hello.c从c语言程序到可执行目标文件hello的转换过程,及可执行目标文件hello作为进程运行的过程。本文旨在通过了解hello进程的诞生,以及从诞生到执行结束后被回收的全过程,分析理解计算机系统
  • 程序人生-Hello’s P2P -七月份- p2p程序人生网络协议
    计算机系统大作业题目程序人生-Hello’sP2P专业计算机科学与技术学号2021113352班级2103101学生乔宇凡指导教师刘宏伟计算机科学与技术学院2022年5月摘要本文对hello程序的整个生命周期进行了系统的分析,一开始是hello.c源程序,之后运行C预处理器(cpp)将其进行预处理生成hello.i文件,运行C编译器(ccl)将其进行翻译生成汇编语言文件hello.s,然后运行汇编
  • 哈工大程序人生 m0_63437715 c语言
    摘要每一位程序员都对hello熟悉不已,hello是我们走向又爱又恨的计算机专业的开始。hello并不是像那几行代码那样简单,究其根本,它要经过预处理,编译,汇编,链接等一系列步骤才能成为一个可执行文件。真正运行这个程序又要应用程序,操作系统,硬件系统的紧密联系。本文将重走hello一生,感受计算机的魅力。关键词:hello;预处理;编译;汇编;链接;进程;目录第1章概述.............
  • 哈尔滨工业大学程序人生-Hello’s P2P sanqian0 p2p程序人生网络
    计算机系统大作业题目程序人生-Hello’sP2P专业计算机科学与技术学号2021111050班级2103101学生吕泽楷指导教师刘宏伟计算机科学与技术学院2022年11月摘要HelloWorld是每个程序员接触的第一个程序,本文观察hello.c文件在Linux系统中的生命周期,从预处理编译开始,观察其如何一步步生成hello可执行文件,从计算机底层解释了存储、分配、I/O过程、子程序的创建和回
  • CSAPP大作业程序人生 kbforever8 ubuntulinux
    计算机系统大作业题目程序人生-Hello’sP2P专业计算学部学号班级学生指导教师吴锐计算机科学与技术学院2022年5月摘要本文通过分析一个简单地hello程序,通过分析其预处理,编译,汇编,链接,进程,内存管理,I/O管理几大模块,即分析了hello的从编译到执行结束输出的过程,又将CSAPP所学的内容串联了起来关键词:预处理;编译;汇编;链接;进程;内存管理;I/O管理(摘要0分,缺失-1分,
  • GPT每日面试题—如何理解事件循环 CreatorRay 面试前端ChatGPT前端javascriptchatgpt面试
    充分利用ChatGPT的优势,帮助我们快速准备前端面试。Q:如果在前端面试中,有人问你如何理解事件循环,怎么回答最好?A:在前端面试中,对于事件循环(EventLoop)的理解是一个重要的面试点。以下是一个较为全面的回答,可以帮助你展示对事件循环的理解:公众号:Code程序人生,个人网站:https://creatorblog.cn回答示例:事件循环是浏览器或Node.js执行JavaScript
  • GPT每日面试题—如何理解闭包 CreatorRay 面试ChatGPT前端chatgpt面试前端javascript
    充分利用ChatGPT的优势,帮助我们快速准备前端面试。今日问题:如何理解闭包?Q:如果在前端面试中,被问到如何理解闭包,怎么回答比较好?A:当面试官问到如何理解闭包时,你可以通过以下详细全面的回答来展示你的理解:公众号:Code程序人生,个人网站:https://creatorblog.cn1.定义:闭包是指在函数内部创建的函数可以访问其外部函数的作用域,即使外部函数已经执行完毕,内部函数仍然可
  • 程序人生:是不是Jenkins大神,看这几个技巧就够 测试界的飘柔 软件测试职场经验ITjenkins程序人生运维职场和发展自动化测试
    01Performance插件兼容性问题自由风格项目中,有使用Performance插件收集构建产物,但是截至到目前最新版本(Jenkinsv2.298,Performance:v3.19),此插件和Jenkins都存在有兼容性问题,会导致项目配置页面table,div错位,而导致无法保存配置,这个问题已经存在了好长时间了(至少半年),插件作者一直没有修复,目前在项目中要想使用这个插件,有以下三种
  • 程序人生:如何提效,如何管理时间 Java程序员笔记
    平时常听到“天呐,这周就这么过去了,我啥都没干”“今天我啥都没做”这种焦虑时间过得快、没时间学习的话语,分享一些个人的见解花时间补基础,读文档作为程序猿,debug是我们的日常操作,debug即费时间又费脑力精神力,但是你是否发现很多问题归根到底是因为基础不扎实或者文档没有看透。基础是技术的支撑,花时间打好基础而不是一味追各种新技术。一旦基础扎实,学习各种新技术分分钟搞定,因为新的技术,究其根本都
  • 程序人生系列1-2021年通过私活累积收益1.5w 只是甲 程序人生程序员接单私活留学生课程作业
    博主在B站更新了接私活的视频,感兴趣的可以移步到我的B站:博主私活记录一.个人介绍  2011年毕业,计算机专业科班出身,10年及以上金融信贷、通信行业数据库运维管理、数据仓库及大数据相关工作经验,持有OracleOCP和LinuxRHCE认证证书。  毕业第一份工作很幸运的成为了一个OracleDBA,刚毕业就开始维护TB级的数据。在知道自身实力不足的情况下,报名培训机构,相继考了OracleO
  • 生产发版前准备【经验分享给萌新程序员】 ss_Tina 经验分享其他
    #【中秋征文】程序人生,中秋共享#经验分享自从当了码农,已经不知道有多少个日日夜夜熬夜到凌晨三四点了。不知道大家有没有想过,生产上线发布新版本到凌晨三、四点都有可能是哪些原因呢?下面我将分享下自己以前跟进生产版本发布的经验,经验丰富的老前辈们肯定都比我清楚(可忽略此篇文章~哈哈~)。这篇文章可能更适合萌新程序员体质。争取不熬夜工作(只能熬夜玩乐,不能熬夜工作~)目录经验分享一、网络权限申请涉及网络
  • React Hooks大全—useContext CreatorRay 面试react前端react.js前端javascript
    在本文中,我们将重点介绍useContext这个Hook,它可以让你在函数组件中轻松地访问ReactContext,从而实现跨组件的状态共享。我们将从基本使用,实现原理,最佳实践,以及一些常见的问题和解决方案来探讨useContext的用法和优势。我们还将给出一些必要的代码示例,帮助你更好地理解和应用useContext。基本使用公众号:Code程序人生,个人网站:https://creatorb
  • 互联网为何变得如此这般 CreatorRay 互联网程序人生经济互联网程序员程序人生经济
    2023年是难过的一年,在经济下行周期内,作为互联网打工人,很明显感觉到时过境迁、物是人非,互联网行业究竟为何变得如何这般?前言公众号:Code程序人生,个人网站:https://creatorblog.cn先自我介绍一下,我是一名00后前端程序员,在北京工作,全职工作经验一年半左右,全网2.5w+粉丝,博文访问量500w+。互联网行业在最近两年发生了巨变,我的感受很深刻。2021年还在实习的时候
  • React Hooks大全—useCallback CreatorRay react前端面试javascript前端react.js
    在本文中,我们将重点介绍一个React常用的内置Hook,即useCallback。useCallback可以让我们缓存函数,避免因为函数引用的变化而导致不必要的子组件重渲染。我们讲解它的基本使用、实现原理、与useMemo的区别、最佳实践等。基本使用公众号:Code程序人生,个人网站:https://creatorblog.cnuseCallback是一个ReactHook,所以我们只能在函数式
  • React Hooks大全—useRef CreatorRay react前端面试react.jsjavascript前端
    本文将重点介绍useRef这个Hook,它可以让你在组件的整个生命周期中访问一个可变的引用对象。useRef的主要用途是直接访问DOM子元素,但这并不是它的唯一用途。useRef也可以用来保存一个在不同渲染中不变的可变值,例如在使用一些非React的外部库时很有用。本文将介绍useRef的基本使用,实现原理,最佳实践和一些常见的问题。公众号:Code程序人生,个人网站:https://creato
  • 程序人生-Hello’s P2P Baigker 程序人生
    摘要本文介绍了在Linux操作系统下hello的整个生命周期。借助gcc,objdump等工具,对hello的预处理、编译、汇编、链接等过程进行分析。并对程序hello运行过程中的动态链接库调用、内存管理、系统级I/O等进行介绍。关键词:预处理;编译;汇编;链接;进程;内存管理;IO;目录第1章概述-4-1.1Hello简介-4-1.2环境与工具-4-1.3中间结果-5-1.4本章小结-5-第2章
  • 优化Java开发:快速排查难点和Bug、高效沟通与业务的方法! 在Java开发中,遇到难点和出现Bug是家常便饭。如何快速排查这些问题,提高开发效率,是每个Java开发者都需要掌握的技能 王大师王文峰 Java基础到框架javabug开发语言
    本人详解作者:王文峰,参加过CSDN2020年度博客之星,《Java王大师王天师》公众号:JAVA开发王大师,专注于天道酬勤的Java开发问题中国国学、传统文化和代码爱好者的程序人生,期待你的关注和支持!本人外号:神秘小峯山峯转载说明:务必注明来源(注明:作者:王文峰哦)优化Java开发:快速排查难点和Bug、高效沟通与业务的方法!在Java开发中,遇到难点和出现Bug是家常便饭。如何快速排查这些
  • 【程序人生】研二,来北京100天了,记录一下 农民真快落 程序人生程序人生Chiselfft数字icfpga开发
    文章目录中科院牛马的100天工作总结①OFDM系统搭建与建模②数字IC设计流程及相关工具调研③芯片通信架构调研——片上网络计算机、芯片的魅力何在?7月23日坐飞机从连云港来到北京大兴机场,辗转地铁到中关村,收拾一下分配的破烂宿舍,在暑假提前开始了我的研二生活。今天开题报告改不动了,干脆记录下最近的生活,权当放松一下。一看日期10月31日,刚好一百天。北京大兴机场中科院牛马的100天工作总结这一百天
  • 【程序人生】研二上快结束了~整理最近的思路 农民真快落 程序人生片上网络程序人生
    看一下自己的《每日科研进展》群聊,把最近做的事情和后面要做的事情整理一下思路。1月1日到1月7日在整理NoCRouter执行流程和Chisel环境Setup流程:NoCRouter执行流程Chisel安装流程总结:先安装jdk,配置环境变量安装sbt,不用配置环境变量安装idea社区版离线安装scala的idea插件配置sbt换源利用template工程验证helloworld,注意:6.1配置自
  • 设计模式 简单工厂,策略模式,几种基本原则,Unity基础 所恋皆洛尘 学习笔记c#设计模式
    学习笔记感受设计演变过程中蕴含的大智慧,体会乐于怒的程序人生中值得回味的一幕幕。设计模式来自于建筑领域,作为软件工程的一个分支,是在软件工程实践过程中,程序员们总结出的良好的编程方法。第一种模式简单工厂模式图片来源,点这里上面是简单工厂的UML图我简单介绍一下首先是一个主类,下面有3个子类(可以是多个)继承它每个子类都是一个方法,都独自封装成类把它们的共性写入基类(也就是父类)写成抽象或者写成虚函
  • 【程序人生】马斯克:我一直有种存在的危机感 OpenChat ChatGPT程序人生人工智能程序人生技术简史AIGC大模型
    01我一直有种存在的危机感小时候,人们常会问我,长大要做什么,我其实也不知道。后来我想,搞发明应该会很酷吧,因为科幻小说家亚瑟·克拉克(《2001太空漫游》作者)曾说过:任何足够先进的科技,都与魔法无异。想想看,三百年前的人类,如果看到今天我们可以飞行、可以远距沟通、可以使用网路、可以马上找到世界各地的资讯,他们一定会说,这是魔法。要是我能够发明出很先进的科技,不就像是在变魔法吗?我一直有种存在的
  • 2022-06-03怎么查询公网IP 南陵笑笑生
    怎么查询公网IP别扒拉我代码于2022-01-1410:45:34发布13853收藏1文章标签:tcp/ip服务器网络协议程序人生版权如果我们连接的是公司或者学校的局域网,查询公网的IP方法有:①:在浏览器上输入http://ip.cn。②:在浏览器上打开http://ip138.com,这是一个国内的外网地址;③:同样通过浏览器访问http://ifconfig.me,国外的外网地址;Needa
  • 33 ES6中的类和对象 CurryCoder
    技术交流QQ群:1027579432,欢迎你的加入!欢迎关注我的微信公众号:CurryCoder的程序人生1.面向对象面向对象的思维特点:a.抽取(抽象)对象共有的属性和行为组织(封装)成一个类(模板);b.对类进行实例化,获取类的对象;面向对象编程考虑的是有哪些对象,按照面向对象的思维特点,不断的创建对象,使用对象,指挥对象做事情。2.对象现实生活中,万物皆对象,对象是一个具体的事物,看得见摸得
  • 程序人生:突围金三银四面试季!附学习笔记+面试整理+进阶书籍 6年老Java 程序员java后端面试
    前言又到一年金九银十之际。Java作为目前用户最多,使用范围最广的软件开发技术之一。Java的技术体系主要由支撑Java程序运行的虚拟机,提供各开发领域接口支持的Java,Java编程语言及许多第三方Jvav框架构成。其中,以Java的虚拟器为今天的着重点以下是我整理收藏的一些JVM大厂面试经典问题与相应答案,希望可以给看文的朋友一些帮助由于篇幅过长,请耐心往下看,文末提供小编收藏已久的JVM面试
  • jdk tomcat 环境变量配置 Array_06 javajdktomcat
    Win7 下如何配置java环境变量 1。准备jdk包,win7系统,tomcat安装包(均上网下载即可) 2。进行对jdk的安装,尽量为默认路径(但要记住啊!!以防以后配置用。。。) 3。分别配置高级环境变量。   电脑-->右击属性-->高级环境变量-->环境变量。 分别配置 : path    &nbs
  • Spring调SDK包报java.lang.NoSuchFieldError错误 bijian1013 javaspring
            在工作中调另一个系统的SDK包,出现如下java.lang.NoSuchFieldError错误。 org.springframework.web.util.NestedServletException: Handler processing failed; nested exception is java.l
  • LeetCode[位运算] - #136 数组中的单一数 Cwind java题解位运算LeetCodeAlgorithm
    原题链接:#136 Single Number 要求: 给定一个整型数组,其中除了一个元素之外,每个元素都出现两次。找出这个元素 注意:算法的时间复杂度应为O(n),最好不使用额外的内存空间 难度:中等 分析: 题目限定了线性的时间复杂度,同时不使用额外的空间,即要求只遍历数组一遍得出结果。由于异或运算 n XOR n = 0, n XOR 0 = n,故将数组中的每个元素进
  • qq登陆界面开发 15700786134 qq
    今天我们来开发一个qq登陆界面,首先写一个界面程序,一个界面首先是一个Frame对象,即是一个窗体。然后在这个窗体上放置其他组件。代码如下: public class First {         public void initul(){        jf=ne
  • Linux的程序包管理器RPM 被触发 linux
    在早期我们使用源代码的方式来安装软件时,都需要先把源程序代码编译成可执行的二进制安装程序,然后进行安装。这就意味着每次安装软件都需要经过预处理-->编译-->汇编-->链接-->生成安装文件--> 安装,这个复杂而艰辛的过程。为简化安装步骤,便于广大用户的安装部署程序,程序提供商就在特定的系统上面编译好相关程序的安装文件并进行打包,提供给大家下载,我们只需要根据自己的
  • socket通信遇到EOFException 肆无忌惮_ EOFException
    java.io.EOFException at java.io.ObjectInputStream$PeekInputStream.readFully(ObjectInputStream.java:2281) at java.io.ObjectInputStream$BlockDataInputStream.readShort(ObjectInputStream.java:
  • 基于spring的web项目定时操作 知了ing javaWeb
    废话不多说,直接上代码,很简单 配置一下项目启动就行 1,web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="h
  • 树形结构的数据库表Schema设计 矮蛋蛋 schema
    原文地址: http://blog.csdn.net/MONKEY_D_MENG/article/details/6647488     程序设计过程中,我们常常用树形结构来表征某些数据的关联关系,如企业上下级部门、栏目结构、商品分类等等,通常而言,这些树状结构需要借助于数据库完成持久化。然而目前的各种基于关系的数据库,都是以二维表的形式记录存储数据信息,
  • maven将jar包和源码一起打包到本地仓库 alleni123 maven
    http://stackoverflow.com/questions/4031987/how-to-upload-sources-to-local-maven-repository <project> ... <build> <plugins> <plugin> <groupI
  • java IO操作 与 File 获取文件或文件夹的大小,可读,等属性!!! 百合不是茶
    类 File File是指文件和目录路径名的抽象表示形式。 1,何为文件: 标准文件(txt doc mp3...) 目录文件(文件夹) 虚拟内存文件   2,File类中有可以创建文件的 createNewFile()方法,在创建新文件的时候需要try{} catch(){}因为可能会抛出异常;也有可以判断文件是否是一个标准文件的方法isFile();这些防抖都
  • Spring注入有继承关系的类(2) bijian1013 javaspring
    被注入类的父类有相应的属性,Spring可以直接注入相应的属性,如下所例:1.AClass类 package com.bijian.spring.test4; public class AClass { private String a; private String b; public String getA() { retu
  • 30岁转型期你能否成为成功人士 bijian1013 成长励志
            很多人由于年轻时走了弯路,到了30岁一事无成,这样的例子大有人在。但同样也有一些人,整个职业生涯都发展得很优秀,到了30岁已经成为职场的精英阶层。由于做猎头的原因,我们接触很多30岁左右的经理人,发现他们在职业发展道路上往往有很多致命的问题。在30岁之前,他们的职业生涯表现很优秀,但从30岁到40岁这一段,很多人
  • 【Velocity四】Velocity与Java互操作 bit1129 velocity
    Velocity出现的目的用于简化基于MVC的web应用开发,用于替代JSP标签技术,那么Velocity如何访问Java代码.本篇继续以Velocity三http://bit1129.iteye.com/blog/2106142中的例子为基础,      POJO    package com.tom.servlets; public
  • 【Hive十一】Hive数据倾斜优化 bit1129 hive
    什么是Hive数据倾斜问题   操作:join,group by,count distinct 现象:任务进度长时间维持在99%(或100%),查看任务监控页面,发现只有少量(1个或几个)reduce子任务未完成;查看未完成的子任务,可以看到本地读写数据量积累非常大,通常超过10GB可以认定为发生数据倾斜。 原因:key分布不均匀 倾斜度衡量:平均记录数超过50w且
  • 在nginx中集成lua脚本:添加自定义Http头,封IP等 ronin47 nginx lua csrf
    Lua是一个可以嵌入到Nginx配置文件中的动态脚本语言,从而可以在Nginx请求处理的任何阶段执行各种Lua代码。刚开始我们只是用Lua 把请求路由到后端服务器,但是它对我们架构的作用超出了我们的预期。下面就讲讲我们所做的工作。 强制搜索引擎只索引mixlr.com Google把子域名当作完全独立的网站,我们不希望爬虫抓取子域名的页面,降低我们的Page rank。 location /{
  • java-3.求子数组的最大和 bylijinnan java
    package beautyOfCoding; public class MaxSubArraySum { /** * 3.求子数组的最大和 题目描述: 输入一个整形数组,数组里有正数也有负数。 数组中连续的一个或多个整数组成一个子数组,每个子数组都有一个和。 求所有子数组的和的最大值。要求时间复杂度为O(n)。 例如输入的数组为1, -2, 3, 10, -4,
  • Netty源码学习-FileRegion bylijinnan javanetty
    今天看org.jboss.netty.example.http.file.HttpStaticFileServerHandler.java 可以直接往channel里面写入一个FileRegion对象,而不需要相应的encoder: //pipeline(没有诸如“FileRegionEncoder”的handler): public ChannelPipeline ge
  • 使用ZeroClipboard解决跨浏览器复制到剪贴板的问题 cngolon 跨浏览器复制到粘贴板Zero Clipboard
    Zero Clipboard的实现原理 Zero Clipboard 利用透明的Flash让其漂浮在复制按钮之上,这样其实点击的不是按钮而是 Flash ,这样将需要的内容传入Flash,再通过Flash的复制功能把传入的内容复制到剪贴板。 Zero Clipboard的安装方法 首先需要下载 Zero Clipboard的压缩包,解压后把文件夹中两个文件:ZeroClipboard.js
  • 单例模式 cuishikuan 单例模式
    第一种(懒汉,线程不安全): public class Singleton {   2     private static Singleton instance;   3     pri
  • spring+websocket的使用 dalan_123
    一、spring配置文件 <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"    xmlns:xsi="http://www.w3.or
  • 细节问题:ZEROFILL的用法范围。 dcj3sjt126com mysql
    1、zerofill把月份中的一位数字比如1,2,3等加前导0 mysql> CREATE TABLE t1 (year YEAR(4), month INT(2) UNSIGNED ZEROFILL,    -> day
  • Android开发10——Activity的跳转与传值 dcj3sjt126com Android开发
    Activity跳转与传值,主要是通过Intent类,Intent的作用是激活组件和附带数据。   一、Activity跳转 方法一Intent intent = new Intent(A.this, B.class); startActivity(intent)   方法二Intent intent = new Intent();intent.setCla
  • jdbc 得到表结构、主键 eksliang jdbc 得到表结构、主键
    转自博客:http://blog.csdn.net/ocean1010/article/details/7266042 假设有个con DatabaseMetaData dbmd = con.getMetaData(); rs = dbmd.getColumns(con.getCatalog(), schema, tableName, null); rs.getSt
  • Android 应用程序开关GPS gqdy365 android
    要在应用程序中操作GPS开关需要权限: <uses-permission android:name="android.permission.WRITE_SECURE_SETTINGS" /> 但在配置文件中添加此权限之后会报错,无法再eclipse里面正常编译,怎么办? 1、方法一:将项目放到Android源码中编译; 2、方法二:网上有人说cl
  • Windows上调试MapReduce zhiquanliu mapreduce
    1.下载hadoop2x-eclipse-plugin https://github.com/winghc/hadoop2x-eclipse-plugin.git 把 hadoop2.6.0-eclipse-plugin.jar 放到eclipse plugin 目录中。 2.下载 hadoop2.6_x64_.zip http://dl.iteye.com/topics/download/d2b
  • 如何看待一些知名博客推广软文的行为? justjavac 博客
    本文来自我在知乎上的一个回答:http://www.zhihu.com/question/23431810/answer/24588621 互联网上的两种典型心态: 当初求种像条狗,如今撸完嫌人丑 当初搜贴像条犬,如今读完嫌人软 你为啥感觉不舒服呢? 难道非得要作者把自己的劳动成果免费给你用,你才舒服? 就如同 Google 关闭了 Gooled Reader,那是
  • sql优化总结 macroli sql
    为了是自己对sql优化有更好的原则性,在这里做一下总结,个人原则如有不对请多多指教。谢谢!   要知道一个简单的sql语句执行效率,就要有查看方式,一遍更好的进行优化。   一、简单的统计语句执行时间 declare @d datetime ---定义一个datetime的变量set @d=getdate() ---获取查询语句开始前的时间select user_id
  • Linux Oracle中常遇到的一些问题及命令总结 超声波 oraclelinux
    1.linux更改主机名   (1)#hostname oracledb    临时修改主机名 (2) vi /etc/sysconfig/network   修改hostname (3) vi /etc/hosts        修改IP对应的主机名   2.linux重启oracle实例及监听的各种方法 (注意操作的顺序应该是先监听,后数据库实例) &nbs
  • hive函数大全及使用示例 superlxw1234 hadoophive函数
      具体说明及示例参 见附件文档。     文档目录:   目录 一、关系运算: 4 1. 等值比较: = 4 2. 不等值比较: <> 4 3. 小于比较: < 4 4. 小于等于比较: <= 4 5. 大于比较: > 5 6. 大于等于比较: >= 5 7. 空值判断: IS NULL 5
  • Spring 4.2新特性-使用@Order调整配置类加载顺序 wiselyman spring 4
    4.1 @Order Spring 4.2 利用@Order控制配置类的加载顺序 4.2 演示 两个演示bean package com.wisely.spring4_2.order; public class Demo1Service { } package com.wisely.spring4_2.order; public class
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他