Skip to end of metadata
Go to start of metadata

Zabbix版本:3.0.19

有人询问Zabbix端口监控的原理是什么?是通过netstat -an还是Telnet或者TCP的方式?下面简单分析一下。

想了解Zabbix端口监控,就是分析net.tcp.port这个键值的实现原理。net.tcp.port所在的文件是zabbix-3.0.19\src\libs\zbxsysinfo\common\common.c

非常熟悉的ZBX_METRICparameters_xxxx[] =格式,具体分析请参见Zabbix源码分析 --agent.ping

net.tcp.port对应的NET_TCP_PORT函数所在的文件是zabbix-3.0.19\src\libs\zbxsysinfo\common\net.c

NET_TCP_PORT函数中最主要的就是调用tcp_expect函数,tcp_expect函数的实现就在NET_TCP_PORT函数的上方。

tcp_expect函数中又调用了zbx_tcp_connect函数,由此我们已基本确认Zabbix端口监控是通过TCP方式实现的。

再往下深挖一些。zbx_tcp_connect函数所在的文件是zabbix-3.0.19\src\libs\zbxcomms\comms.c

zbx_tcp_connect函数中又调用了zbx_socket_create函数,此函数也在comms.c中

在zbx_socket_create函数中有servaddr_in.sin_port = htons(port);等几行代码,写过C socket编程的,对此比较熟悉。

再往下,在此函数接近结束处又调用了zbx_socket_connect函数,此函数也在comms.c中

在zbx_socket_connect函数中可以看到,无论是Windows还是非Windows,都是调用socket函数connect(),终于脱离了zbx的函数封装,到此代码追踪和分析结束。

结论:确认Zabbix端口监控是通过TCP方式实现的。

不过Windows的实现代码接近70行,而非Windows的实现代码只有5行,心里有点嘀咕,不知道是否会存在漏洞之类的问题?希望这方面的大神予以指教。

Zabbix对功能函数进行了大量二次封装,再加上迭代调用,导致我们这些初学者刚开始看会很挠头,但只要稍微耐心一点,还是可以分析清楚的。