熊喵君的博客

Thinking will not overcome fear but action will.

Linux 内核之旅(十六):内核视角下的IO读写(一)

基础知识 && 数据结构 && IO基础概念

0x00 前言 IO过程的性能开销 1、网络包接收流程中的性能损失 应用程序通过系统调用(如recv/read等)从用户态转为内核态的开销以及系统调用返回时从内核态转为用户态的开销 网络数据从内核空间通过CPU拷贝到用户空间的开销 内核线程ksoftirqd响应软中断的开销 CPU响应硬中断的开销 DMA拷贝网络数据包到内存中的开销 2、网络包发送流程中...

Posted by pandaychen on July 3, 2025

Linux 内核之旅(十五):管道的实现

有名/匿名管道实现原理:内核视角下的数据流转

0x00 前言 这篇文章来源于对一个问题的思考:Linux中两个进程通过有名(mkfifo)或者匿名(pipe)管道进行通信时,在这两个进程的内核VFS视图中,数据是如何流转的?代码基于 v4.11.6 版本 前置基础: 数据结构与算法回顾(四):环形内存缓冲区 ringbuffer 管道 管道应用场景: zero copy 进程间通信,又分匿名(pipe)与有名...

Posted by pandaychen on July 1, 2025

bpftrace 常用code收集

0x00 前言 本文的bpftrace工具版本:bpftrace v0.19.1 bpftrace语法 bpftrace语法(类似awk),{前的部分相当于awk中的condition,{}中的部分相当于awk的action,不过bpftrace执行actions的条件是触发probe名称指定的事件 probe的格式为namespace:function_name,如tracepo...

Posted by pandaychen on June 22, 2025

Linux 内核之旅(十三):epoll

epoll机制在内核的运行原理

0x00 前言 Linux的IO 多路复用机制(I/O Multiplexing)是一种通过单个线程或进程同时管理多个 I/O 通道(如网络套接字、文件描述符)的机制,用来解决大量并发文件描述符fd场景下,如何快速发现哪些fd触发了事件(读/写)。为了解决遍历fds导致的性能浪费,内核提供了select、poll、epoll这几类机制,本文就以内核的角度来拆解下epoll机制的实现 ...

Posted by pandaychen on May 22, 2025

EBPF 内核态代码学习(三):network stack tracing

tcpstate、tcprtt、tcpconnlat等工具实现分析

0x00 前言 本文学习下基于ebpf技术的网络(协议栈)追踪,主要基于bcc-v0.35.0,内核版本(非注明)参考5.4.241 tcpstates:用于记录 TCP 连接的状态变化,tcpstates主要依赖于 eBPF 的 Tracepoints 来捕获 TCP 连接的状态变化,从而跟踪 TCP 连接在每个状态下的停留时间 tcprtt:用于记录 TCP 的往返时间(RT...

Posted by pandaychen on May 9, 2025

Linux 安全对抗收集(rootkit篇)

rootkit 介绍及攻防原理(持续更新)

0x00 前言 本文对rootkit进行一些原理上的整理 0x01 rootkit基础概念 rootkit是一种恶意程序,能够隐藏自身及相关活动(如模块、进程、文件、网络连接等),用以规避安全检测工具。一般分为用户态、内核态rootkit两种: 用户态rootkit:运行在用户空间,通过劫持库函数或注入进程实现隐藏 内核态rootkit:运行在内核空间,修改内核数据...

Posted by pandaychen on May 6, 2025

Kubernetes JOB && CRONJOB 实现分析

0x00 前言 CronJob 管理基于时间的 Job,即: 在给定时间点只运行一次 周期性地在给定时间点运行。创建周期性运行的 Job,例如:数据库备份、发送邮件 参考使用文档 举个例子,如下的CRONJOB模版: apiVersion: batch/v1 kind: CronJob metadata: name: my-hello-job spec: sche...

Posted by pandaychen on April 30, 2025

Linux 内核之旅(十二):内核视角下的三次握手

0x00 前言 本文从内核视角来跟踪下客户端与服务端的三次握手的流程,代码基于 v4.11.6 版本 上图是经典的TCP切换状态机,不过内核v4.11.6 TCP三次握手的状态有些许改变,服务端新增了一个TCP_NEW_SYN_RECV状态 TCP状态切换:三次握手 client:TCP_SYN_SENT server:TCP_NEW_SYN_RECV clien...

Posted by pandaychen on April 25, 2025

Linux 内核之旅(十四):Linux内核的页表体系

0x00 前言 前文介绍过内核的虚拟内存管理的基础知识,本文继续学习下Linux内核下的页表机制 Linux 内核之旅(三):虚拟内存管理(上) 虚拟内存是 CPU 和内核使用的一个障眼法,让进程误以为自己独占了全部的内存空间(对进程而言,它们各自看到的虚拟内存空间地址范围都是一样的)。如此内核为每个进程营造出一片独立的虚拟地址空间,使得进程与进程之间相互隔离,解决了多进程...

Posted by pandaychen on April 25, 2025

Linux 内核之旅(十一):追踪 open 系统调用

VFS

0x00 前言 本文代码基于 v4.11.6 版本 Linux一切皆文件,如常规文件、目录、目录中的.和..、以及软/硬连接、socket、管道等,这些都属于文件 用户进程在能够读 / 写一个文件之前必须要先 open 这个文件。对文件的读 / 写从概念上说是一种进程与文件系统之间的一种有连接通信,所谓打开文件实质上就是在进程与文件之间建立起链接。在文件系统的处理中,每当一个进程重...

Posted by pandaychen on April 2, 2025

FEATURED TAGS
Latex gRPC 负载均衡 OpenSSH Authentication Consul Etcd Kubernetes 性能优化 Python 分布式锁 WebConsole 后台开发 Golang OpenSource Nginx Vault 网络安全 Perl 分布式理论 Raft 正则表达式 Redis 分布式 限流 go-redis 微服务 反向代理 ReverseProxy Cache 缓存 连接池 OpenTracing GOMAXPROCS GoMicro 微服务框架 日志 zap Pool Kratos Hystrix 熔断 并发 Pipeline 证书 Prometheus Metrics PromQL Breaker 定时器 Timer Timeout Kafka Xorm MySQL Fasthttp bytebufferpool 任务队列 队列 异步队列 GOIM Pprof errgroup consistent-hash Zinx 网络框架 设计模式 HTTP Gateway Queue Docker 网关 Statefulset NFS Machinery Teleport Zero Trust Oxy 存储 Confd 热更新 OAuth SAML OpenID Openssl AES 微服务网关 IM KMS 安全 数据结构 hashtable Sort Asynq 基数树 Radix Crontab 热重启 系统编程 sarama Go-Zero RDP VNC 协程池 UDP hashmap 网络编程 自适应技术 环形队列 Ring Buffer Circular Buffer InnoDB timewheel GroupCache Jaeger GOSSIP CAP Bash websocket 事务 GC TLS singleflight 闭包 Helm network iptables MITM HTTPS Tap Tun 路由 wireguard gvisor Git NAT 协议栈 Envoy FRP DPI gopacket Cgroup Namespace DNS eBPF GoZero Gost Clash Tracee gopsutil Linux HIDS ELKEID XDP TC Systemd netlink Kernel BCC rootkit bpftrace AI
ABOUT ME

✉️ ringbuffer@126.com

FRIENDS