zbx版本:3.0.19
有人询问zbx端口监控的原理是什么,是通过netstat -an还是Telnet或者TCP的方式?下面简单分析一下。
想了解zbx端口监控,就是分析net.tcp.port这个键值的实现原理。net.tcp.port所在的文件是zabbix-3.0.19\src\libs\zbxsysinfo\common\common.c
非常熟悉的ZBX_METRIC parameters_xxxx[] =格式,具体分析请参见zbx源码分析 -- agent.ping
net.tcp.port对应的NET_TCP_PORT函数所在的文件是zabbix-3.0.19\src\libs\zbxsysinfo\common\net.c
NET_TCP_PORT函数中最主要的就是调用tcp_expect函数,tcp_expect函数的实现就在NET_TCP_PORT函数的上方。
tcp_expect函数中又调用了zbx_tcp_connect函数,由此我们已基本确认zbx端口监控是通过TCP方式实现的。
再往下深挖一些。zbx_tcp_connect函数所在的文件是zabbix-3.0.19\src\libs\zbxcomms\comms.c
zbx_tcp_connect函数中又调用了zbx_socket_create函数,此函数也在comms.c中
在zbx_socket_create函数中有servaddr_in.sin_port = htons(port);等几行代码,写过C socket编程的,对此比较熟悉。
再往下,在此函数接近结束处又调用了zbx_socket_connect函数,此函数也在comms.c中
在zbx_socket_connect函数中可以看到,无论是Windows还是非Windows,都是调用socket函数connect(),终于脱离了zbx的函数封装,到此代码追踪和分析结束。
结论:确认zbx端口监控是通过TCP方式实现的。
不过Windows的实现代码接近70行,而非Windows的实现代码只有5行,心里有点嘀咕,不知道是否会存在漏洞之类的问题?希望这方面的大神予以指教。
zbx对功能函数进行了大量二次封装,再加上迭代调用,导致我们这些初学者刚开始看会很挠头,但只要稍微耐心一点,还是可以分析清楚的。
网友评论