No dia 27 de fevereiro, Nuno Martins fez uma apresentação sobre monitoramento de rede.
Captura de tráfego de Rede de um processo com base no PCap, utilizando a instrumentação dinâmica do núcleo do Linux (KProbes)

On 27th February, Nuno Martins gave a presentation about Network Monitoring by PID.
Network monitoring of processes in Linux, using Linux dynamic Kernel instrumentation (KProbes)

Com o aumento do tráfego de rede, monitorizar as interacções que um processo realiza com a interface de rede, não é simples e tem problemas de desempenho.Foi desenvolvido um módulo do núcleo do Linux, que monitoriza as chamadas ao sistema de rede de um processo alvo, que as regista no repositório criado para o efeito. Com os dados da monitorização, sempre que um pacote atravessa a interface de rede, o repositório é consultado para decidir a captura do pacote. A comunicação do utilizador com o módulo no núcleo efectua-se através de ficheiros, criados no sistema de ficheiros virtual DebugFS. Assim desde que o módulo esteja em execução no núcleo e, exista um programa que utilize as funcionalidades de monitorização de rede do núcleo, por exemplo o TCPDump, este pode utilizar o novo mecanismo de monitorização sem alteração do código do processo monitor.

Monitoring network interactions of one process accessing the network is not always simple and it has some performance issues. A Linux Kernel Module was developed, which uses dynamic instrumentation and monitors the target user process for interactions and registers the information to a repository.When packets pass through the network interface the repository is queried to decide if the packet should be captured for further analysis. To control this monitoring mechanism an interface was developed which can be modified through files in the virtual filesystem, DebugFS. To use this monitoring mechanism it is necessary to have the Linux Kernel Module loaded and have a user process running that performs the network monitoring (such as TCPDump). This monitoring process can use this mechanism without changing its own source code.

Slideshare presentation:

publicado por johngt às 13:55