论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[15186] 2020-03-28_如何使用BPF将SSH会话转换为结构化事件
文档创建者:
s7ckTeam
浏览次数:
2
最后更新:
2025-01-18
IOT
2 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-03-28_如何使用BPF将SSH会话转换为结构化事件
如
何
使
用
B
P
F
将
S
S
H
会
话
转
换
为
结
构
化
事
件
A
l
p
h
a
_
h
4
c
k
F
r
e
e
B
u
f
2
0
2
0
-
0
3
-
2
8
写
在
前
面
的
话
写
在
前
面
的
话
T
e
l
e
p
o
r
t
4
.
2
引
入
了
一
个
名
叫
增
强
型
会
话
记
录
(
引
入
了
一
个
名
叫
增
强
型
会
话
记
录
(
E
n
h
a
n
c
e
d
S
e
s
s
i
o
n
R
e
c
o
r
d
i
n
g
)
的
新
功
能
,
该
功
能
可
以
接
收
一
个
非
结
构
化
的
)
的
新
功
能
,
该
功
能
可
以
接
收
一
个
非
结
构
化
的
S
S
H
会
话
,
并
输
出
结
构
化
事
件
的
数
据
流
。
这
是
会
话
,
并
输
出
结
构
化
事
件
的
数
据
流
。
这
是
T
e
l
e
p
o
r
t
的
一
次
的
一
次
进
步
,
因
为
它
使
用
了
新
技
术
(
进
步
,
因
为
它
使
用
了
新
技
术
(
e
B
P
F
,
或
现
在
可
以
简
称
为
,
或
现
在
可
以
简
称
为
B
P
F
)
来
弥
补
)
来
弥
补
T
e
l
e
p
o
r
t
审
计
能
力
的
一
些
不
足
。
接
下
来
,
我
们
将
给
大
家
介
绍
这
个
新
功
能
,
并
讨
论
其
中
的
一
些
技
术
细
节
。
审
计
能
力
的
一
些
不
足
。
接
下
来
,
我
们
将
给
大
家
介
绍
这
个
新
功
能
,
并
讨
论
其
中
的
一
些
技
术
细
节
。
背
景
介
绍
背
景
介
绍
T
e
l
e
p
o
r
t
在
最
早
的
版
本
中
就
引
入
了
会
话
记
录
功
能
,
会
话
记
录
可
以
捕
捉
用
户
在
终
端
中
的
打
印
信
息
,
并
可
在
之
后
的
安
全
审
计
过
程
中
以
视
频
的
方
式
提
供
回
放
记
录
。
这
个
功
能
的
优
势
就
在
于
,
这
些
记
录
很
容
易
查
看
和
理
解
,
并
且
可
以
提
供
用
户
在
会
话
建
立
期
间
的
相
关
活
动
以
及
上
下
文
,
这
对
于
安
全
审
计
活
动
来
说
是
非
常
有
价
值
的
。
当
然
,
它
的
不
足
之
处
就
在
于
,
用
户
可
以
通
过
多
种
方
式
来
绕
过
会
话
记
录
。
1
、
混
淆
处
理
-
比
如
说
下
列
命
令
:
当
该
命
令
解
码
后
即
为
“
c
u
r
l
h
t
t
p
:
/
/
w
w
w
.
e
x
a
m
p
l
e
.
c
o
m
”
,
但
是
S
S
H
会
话
记
录
中
并
不
会
包
含
c
u
r
l
命
令
。
2
、
S
h
e
l
l
脚
本
-
如
果
用
户
上
传
并
执
行
了
一
个
脚
本
,
那
么
脚
本
中
的
命
令
将
无
法
被
会
话
记
录
捕
捉
到
,
而
是
直
接
将
脚
本
文
件
输
出
。
3
、
终
端
控
制
-
终
端
支
持
各
种
控
制
命
令
,
最
常
用
的
应
该
是
s
u
d
o
了
,
禁
用
终
端
的
e
c
h
o
将
允
许
我
们
在
运
行
命
令
的
同
时
不
会
被
S
S
H
会
话
记
录
捕
捉
到
。
技
术
实
现
技
术
实
现
为
了
解
决
这
个
问
题
,
T
e
l
e
p
o
r
t
需
要
一
种
方
法
来
在
会
话
持
续
的
过
程
中
将
非
结
构
化
的
S
S
H
会
话
转
换
为
结
构
化
的
事
件
流
。
那
么
这
种
结
构
化
事
件
流
中
应
该
包
含
什
么
呢
?
我
们
对
多
种
方
法
进
行
了
研
究
,
我
们
研
究
的
内
容
从
诸
如
r
e
g
e
x
模
式
匹
配
之
类
的
特
殊
方
法
到
更
复
杂
的
尝
试
,
比
如
自
己
解
析
原
始
S
S
H
会
话
。
我
们
还
研
究
了
L
i
n
u
x
提
供
的
各
种
A
P
I
和
系
统
,
如
A
u
d
i
t
、
f
a
n
o
t
i
f
y
和
B
P
F
。
在
选
择
使
用
哪
种
技
术
来
构
建
时
,
我
们
有
以
下
几
个
关
键
的
标
准
:
在
选
择
使
用
哪
种
技
术
来
构
建
时
,
我
们
有
以
下
几
个
关
键
的
标
准
:
1
、
减
小
误
报
,
理
想
情
况
下
为
0
。
如
果
你
的
系
统
误
报
率
非
常
高
,
那
么
你
对
警
报
的
关
注
度
可
能
会
因
此
而
减
少
,
这
将
导
致
关
键
问
题
被
忽
略
。
2
、
减
少
由
监
控
所
引
起
的
任
何
性
能
影
响
,
理
想
情
况
下
为
0
,
这
也
能
减
轻
向
用
户
添
加
额
外
资
源
的
负
担
。
这
些
特
定
的
方
法
都
会
存
在
误
报
的
问
题
。
我
们
在
解
析
和
解
释
组
成
S
S
H
会
话
的
字
节
流
时
,
无
法
在
不
引
起
错
误
警
告
的
情
况
下
保
证
数
据
的
准
确
率
。
而
且
由
于
性
能
方
面
的
原
因
,
我
们
排
除
了
L
i
n
u
x
A
u
d
i
t
。
B
P
F
是
什
么
?
是
什
么
?
B
r
e
n
d
a
n
G
r
e
g
g
,
是
B
P
F
程
序
的
开
发
人
员
,
他
经
常
将
B
P
F
描
述
为
一
种
“
新
型
软
件
”
。
B
P
F
允
许
用
户
空
间
程
序
以
安
全
和
高
效
的
方
式
在
内
核
的
某
些
位
置
设
置
钩
子
并
发
出
事
件
。
安
全
和
性
能
意
味
着
什
么
?
在
这
种
情
况
下
,
“
安
全
”
意
味
着
B
P
F
程
序
不
能
陷
入
无
限
循
环
中
,
导
致
系
统
崩
溃
。
B
P
F
程
序
不
太
可
能
像
内
核
模
块
那
样
使
整
个
操
作
系
统
崩
溃
。
B
P
F
程
序
也
有
性
能
,
如
果
不
能
足
够
快
地
使
用
事
件
,
则
会
删
除
事
件
,
而
不
是
拖
累
整
个
系
统
的
性
能
。
T
e
l
e
p
o
r
t
如
何
使
用
如
何
使
用
B
P
F
T
e
l
e
p
o
r
t
当
前
使
用
了
三
个
B
P
F
程
序
:
e
x
e
c
s
n
o
o
p
用
于
捕
捉
程
序
执
行
,
o
p
e
n
s
n
o
o
p
用
来
捕
捉
程
序
所
打
开
的
文
件
,
t
c
p
c
o
n
n
e
c
t
用
来
捕
捉
程
序
建
立
的
T
C
P
链
接
。
为
了
更
好
地
了
解
这
三
个
B
P
F
程
序
的
功
能
,
大
家
看
看
我
们
在
运
行
“
m
a
n
l
s
”
命
令
时
,
e
x
e
c
s
n
o
o
p
捕
捉
到
的
内
容
:
现
在
你
也
许
已
经
了
解
了
B
P
F
程
序
的
功
能
了
,
简
单
的
“
m
a
n
”
命
令
,
原
来
后
面
有
这
么
多
其
他
的
程
序
在
执
行
。
T
e
l
e
p
o
r
t
已
将
这
三
个
程
序
的
代
码
嵌
入
在
了
自
己
的
库
中
,
当
我
们
启
用
了
增
强
型
会
话
记
录
功
能
之
后
,
它
便
会
执
行
这
些
程
序
。
e
c
h
o
Y
3
V
y
b
C
B
o
d
H
R
w
O
i
8
v
d
3
d
3
L
m
V
4
Y
W
1
w
b
G
U
u
Y
2
9
t
C
g
=
=
|
b
a
s
e
6
4
–
d
e
c
o
d
e
|
s
h
#
.
/
e
x
e
c
s
n
o
o
p
T
r
a
c
i
n
g
e
x
e
c
(
)
s
.
C
t
r
l
-
C
t
o
e
n
d
.
P
I
D
P
P
I
D
A
R
G
S
2
0
1
3
9
2
0
1
3
5
m
a
w
k
-
W
i
n
t
e
r
a
c
t
i
v
e
-
v
o
=
1
-
v
o
p
t
_
n
a
m
e
=
0
-
v
n
a
m
e
=
[
.
.
.
]
2
0
1
4
0
2
0
1
3
8
c
a
t
-
v
t
r
a
c
e
_
p
i
p
e
2
0
1
7
1
1
6
7
4
3
m
a
n
l
s
2
0
1
7
8
2
0
1
7
1
p
r
e
c
o
n
v
-
e
U
T
F
-
8
2
0
1
8
1
2
0
1
7
1
p
a
g
e
r
-
s
2
0
1
8
0
2
0
1
7
1
n
r
o
f
f
-
m
a
n
d
o
c
-
r
L
L
=
1
7
3
n
-
r
L
T
=
1
7
3
n
-
T
u
t
f
8
2
0
1
7
9
2
0
1
7
1
t
b
l
2
0
1
8
4
2
0
1
8
3
l
o
c
a
l
e
c
h
a
r
m
a
p
2
0
1
8
5
2
0
1
8
0
g
r
o
f
f
-
m
t
t
y
-
c
h
a
r
-
T
u
t
f
8
-
m
a
n
d
o
c
-
r
L
L
=
1
7
3
n
-
r
L
T
=
1
7
3
n
2
0
1
8
6
2
0
1
8
5
t
r
o
f
f
-
m
t
t
y
-
c
h
a
r
-
m
a
n
d
o
c
-
r
L
L
=
1
7
3
n
-
r
L
T
=
1
7
3
n
-
T
u
t
f
8
2
0
1
8
7
2
0
1
8
5
g
r
o
t
t
y
就
其
本
身
而
言
,
这
些
程
序
都
是
用
于
调
试
和
跟
踪
的
优
秀
工
具
,
因
为
它
们
可
以
告
诉
我
们
整
个
系
统
在
执
行
哪
些
操
作
。
事
实
上
,
这
就
是
我
们
最
开
始
选
择
这
些
工
具
的
目
的
:
我
们
使
用
它
们
来
调
试
T
e
l
e
p
o
r
t
遇
到
的
一
些
问
题
,
而
这
些
问
题
可
能
会
导
致
它
在
某
些
场
景
中
耗
尽
文
件
描
述
符
。
但
是
,
我
们
使
用
T
e
l
e
p
o
r
t
的
目
的
各
有
不
同
,
我
们
有
时
需
要
将
程
序
执
行
与
S
S
H
会
话
以
及
标
识
符
关
联
起
来
。
为
了
将
程
序
执
行
与
特
定
的
S
S
H
会
话
关
联
起
来
,
我
们
选
择
使
用
c
g
r
o
u
p
(
c
g
r
o
u
p
v
2
)
。
当
T
e
l
e
p
o
r
t
启
动
S
S
H
会
话
时
,
它
首
先
会
重
新
启
动
并
将
自
己
放
置
在
c
g
r
o
u
p
中
。
这
将
允
许
程
序
对
当
前
进
程
以
及
T
e
l
e
p
o
r
t
将
要
启
动
的
所
有
进
程
进
行
跟
踪
,
并
分
配
唯
一
标
识
I
D
。
T
e
l
e
p
o
r
t
所
运
行
的
B
P
F
程
序
还
可
以
发
出
执
行
它
们
的
程
序
的
c
g
r
o
u
p
I
D
,
这
允
许
我
们
将
事
件
与
特
定
的
S
S
H
会
话
和
标
识
关
联
起
来
。
切
入
主
题
切
入
主
题
了
解
了
关
于
B
P
F
的
相
关
内
容
之
后
,
你
也
可
以
将
增
强
型
会
话
记
录
功
能
引
入
你
自
己
的
程
序
之
中
,
脚
本
代
码
已
托
管
至
G
i
t
H
u
b
:
h
t
t
p
s
:
/
/
g
i
s
t
.
g
i
t
h
u
b
.
c
o
m
/
r
u
s
s
j
o
n
e
s
/
0
1
f
e
0
e
5
f
0
b
f
b
a
b
f
7
3
f
*
*
*
b
9
3
f
4
d
1
1
9
e
d
。
首
先
启
动
U
b
u
n
t
u
1
9
.
0
4
或
R
H
E
L
/
C
e
n
t
O
S
8
V
M
并
运
行
上
面
链
接
提
供
的
脚
本
。
该
脚
本
只
会
安
装
内
核
头
和
b
c
c
-
t
o
o
l
s
,
这
些
都
是
增
强
型
会
话
记
录
运
行
的
前
提
条
件
。
除
此
之
外
,
它
还
会
安
装
j
q
,
这
样
更
有
助
于
可
视
化
查
看
结
构
化
事
件
流
。
安
装
命
令
如
下
:
安
装
命
令
如
下
:
或
如
需
启
用
T
e
l
e
p
o
r
t
中
的
增
强
型
会
话
记
录
功
能
,
请
将
下
列
内
容
添
加
至
配
置
文
件
中
:
当
你
以
本
文
说
明
的
方
式
在
终
端
中
执
行
“
c
u
r
l
h
t
t
p
:
/
/
w
w
w
.
g
r
a
v
i
t
a
t
i
o
n
a
l
.
c
o
m
”
时
,
你
将
会
看
到
下
列
输
出
内
容
:
此
时
,
我
们
可
以
看
到
用
户
将
以
两
种
方
式
运
行
c
u
r
l
程
序
。
第
一
种
就
是
程
序
执
行
本
身
,
第
二
种
方
法
就
是
程
序
的
行
为
,
c
u
r
l
将
会
发
送
一
个
网
络
请
求
。
当
然
了
,
你
也
可
以
尝
试
运
行
其
他
内
容
,
比
如
说
经
过
混
淆
处
理
的
命
令
等
等
,
你
同
样
可
以
在
日
志
中
查
看
到
执
行
结
果
。
执
行
演
示
执
行
演
示
下
面
演
示
的
是
增
强
型
会
话
记
录
如
何
将
一
个
非
结
构
化
的
S
S
H
会
话
转
换
成
了
一
个
结
构
化
事
件
流
:
*
参
考
来
源
:
参
考
来
源
:
g
r
a
v
i
t
a
t
i
o
n
a
l
,
,
F
B
小
编
小
编
A
l
p
h
a
_
h
4
c
k
编
译
,
转
载
请
注
明
来
自
编
译
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
y
u
m
i
n
s
t
a
l
l
-
y
k
e
r
n
e
l
-
h
e
a
d
e
r
s
b
c
c
-
t
o
o
l
s
a
p
t
i
n
s
t
a
l
l
-
y
l
i
n
u
x
-
h
e
a
d
e
r
s
-
$
(
u
n
a
m
e
-
r
)
b
p
f
c
c
-
t
o
o
l
s
s
s
h
_
s
e
r
v
i
c
e
:
e
n
h
a
n
c
e
d
_
r
e
c
o
r
d
i
n
g
:
e
n
a
b
l
e
d
:
y
e
s
{
"
a
r
g
v
"
:
[
"
h
t
t
p
:
/
/
w
w
w
.
g
r
a
v
i
t
a
t
i
o
n
a
l
.
c
o
m
"
]
,
"
c
g
r
o
u
p
_
i
d
"
:
4
2
9
4
9
6
7
3
5
5
,
"
c
o
d
e
"
:
"
T
4
0
0
0
I
"
,
"
e
i
"
:
1
5
,
"
e
v
e
n
t
"
:
"
s
e
s
s
i
o
n
.
c
o
m
m
a
n
d
"
,
"
l
o
g
i
n
"
精
彩
推
荐
精
彩
推
荐
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT