[发明专利]一种Linux套接字监听事件监控方法及装置

说明书

本申请实施例提供了一种Linux套接字监听事件监控方法及装置，通过加载监听Kprobe跟踪点至Linux系统的sys_listen函数和/或_sys_listen函数入口处；以在Linux系统调用执行到所述sys_listen函数和/或所述_sys_listen函数入口处时，触发所述监听Kprobe跟踪点采集传入所述sys_listen函数和/或所述_sys_listen函数内的监听事件数据；然后基于所述监听事件数据创建监听事件，能够解决目前存在的套接字监听事件监控方法存在着监控范围小、耗费资源大、支持内核版本低等问题，实现了在较小的资源消耗情况下，能够对所有套接字监听事件进行监控，并且能够适用于低版本Linux内核。

技术领域

本申请各实施例属计算机技术领域，尤其涉及一种Linux套接字监听事件监控方法及装置。

背景技术

套接字(Socket)就是对网络中不同主机上的应用进程之间进行双向通信的端点的抽象。一个套接字就是网络上进程通信的一端，提供了应用层进程利用网络协议交换数据的机制。套接字上联应用进程，下联网络协议栈，是应用程序通过网络协议进行通信的接口，是应用程序与网络协议栈进行交互的接口。

对于服务器编程中最重要的一步等待并接受客户的连接，即需要进行套接字监听，现有的套接字监听事件监控方法存在着监控范围小、耗费资源大、支持Linux内核版本低等问题。

发明内容

本实施例提供了一种Linux套接字监听事件监控方法及装置，能够解决现有的套接字监听事件监控方法存在着监控范围小、耗费系统资源大、支持内核版本低等问题。

第一方面，本实施例提供了一种Linux套接字监听事件监控方法，包括：

加载监听Kprobe跟踪点至Linux系统的sys_listen函数和/或_sys_listen函数入口处；

在Linux系统调用执行到所述sys_listen函数和/或所述_sys_listen函数入口处时，触发所述监听Kprobe跟踪点采集传入所述sys_listen函数和/或所述_sys_listen函数内的监听事件数据；

基于所述监听事件数据创建监听事件。

在一些实施例中，所述监听事件数据包括套接字文件描述符、进程描述符、事件时间戳及后备队列长度中的至少一项。

在一些实施例中，所述Linux套接字监听事件监控方法，还包括：加载地址Kprobe跟踪点至Linux系统的inet_listen函数入口处；在Linux系统调用执行到所述inet_listen函数入口处时，触发所述地址Kprobe跟踪点采集传入所述inet_listen函数内的网络层数据；对所述网络层数据进行过滤，得到目标套接字地址；将所述目标套接字地址填充至所述监听事件内，得到地址监听事件。

在一些实施例中，所述网络层数据包括套接字地址族、套接字状态、及套接字地址，所述目标套接字地址包括目标ipv4套接字地址和目标ipv6套接字地址；所述对所述网络层数据进行过滤，得到目标套接字地址，包括：设置状态过滤条件及地址族过滤条件；基于所述状态过滤条件从所述套接字状态中过滤出被动打开状态套接字；基于所述地址族过滤条件从所述被动打开状态套接字数据中过滤出目标ipv4套接字地址和/或目标ipv6套接字地址，得到所述目标套接字地址。

在一些实施例中，所述Linux套接字监听事件监控方法，还包括：加载状态Kprobe跟踪点至Linux系统的sys_listen函数和/或_sys_listen函数出口处；在Linux系统调用执行到所述sys_listen函数和/或所述_sys_listen函数出口处时，触发所述状态Kprobe跟踪点采集执行所述sys_listen函数和/或所述_sys_listen函数后的返回值；将所述返回值填充至所述地址监听事件内，得到状态监听事件。

在一些实施例中，所述Linux套接字监听事件监控方法，还包括：将所述事件时间戳设置为所述状态监听事件的时间戳，得到套接字监听事件。