장치 내 핑 요청의 소스를 어떻게 찾나요?

Question

ftrace가 커널에 구성되어 있고 루트 액세스 권한이 있다고 가정하면 커널 추적 기능을 사용할 수 있습니다.

bpftrace와 같은 최신 도구를 사용할 수 있지만 임베디드 장치에는 필요한 종속성을 설치하는 데 필요한 공간이 부족한 경우가 많습니다. 이 솔루션은 수년 동안 사용되어 온 ftrace를 사용합니다. 이는 단지 원시 파일을 사용하는 것이며 이러한 단계 중 일부를 자동화할 수 있는 도구가 있습니다.

debugfs가 아직 설치되지 않은 경우 설치합니다.

[ -e /sys/kernel/debug/tracing/README ] || mount -t debugfs debugfs /sys/kernel/debug

추적 비활성화, 기능 추적을 위한 보고 설정, 모니터링할 기능 설정

 cd /sys/kernel/debug/tracing
 echo 0 > tracing_on
 echo function > current_tracer
 echo ping_init_sock > set_ftrace_filter
 echo sock_sendmsg >> set_ftrace_filter # Optional, omit if ping_init_sock gives results

추적 활성화

 echo 1 > tracing_on

ping이벤트가 발생할 때 까지 기다린 후 trace파일 내용을 확인하세요.

cat trace
# tracer: function
#
# entries-in-buffer/entries-written: 56/56   #P:1
#
#                              _-----=> irqs-off
#                             / _----=> need-resched
#                            | / _---=> hardirq/softirq
#                            || / _--=> preempt-depth
#                            ||| /     delay
#           TASK-PID   CPU#  ||||    TIMESTAMP  FUNCTION
#              | |       |   ||||       |         |
            ping-3085  [000] .... 8035797.349326: ping_init_sock <-inet_create
            ping-3085  [000] .... 8035797.349352: ping_init_sock <-inet6_create
            ping-3085  [000] .... 8035797.349739: sock_sendmsg <-___sys_sendmsg
            ping-3085  [000] .... 8035797.349764: sock_sendmsg <-___sys_sendmsg
            ping-3085  [000] .... 8035797.365248: sock_sendmsg <-__sys_sendto
            ping-3085  [000] .... 8035797.365486: sock_sendmsg <-__sys_sendto
            ping-3085  [000] .... 8035797.379917: sock_sendmsg <-__sys_sendto
            ping-3085  [000] .... 8035797.387487: sock_sendmsg <-__sys_sendto

이는 PID 3085가 핑을 보내고 있음을 나타냅니다. 운이 좋다면 ping을 수행하는 프로세스가 계속 실행 중이므로 출력에서 찾을 수 있습니다 ps. 그렇지 않은 경우 인식 가능한 이름을 사용하는 것이 좋습니다.

둘 다 실패하면 아마도https://github.com/brendangregg/perf-tools/blob/master/deprecated/execsnoop-proc도울 수있다.

Answer 1