LWN: 对BPF tracing进行类型检测

最新推荐文章于 2023-07-02 16:37:30 发布
最新推荐文章于 2023-07-02 16:37:30 发布
阅读量485 收藏 1
点赞数
原文链接:https://lwn.net/Articles/803258/
版权

点击上方蓝色“Linux News搬运工”关注我们~

Type checking for BPF tracing

By Jonathan Corbet
October 28, 2019

原文来自:https://lwn.net/Articles/803258/

译者注:

  1. LWN评论中有一位SystemTap的忠实拥簇在抱怨新的这些tracing工具都不能很好的支持user space tracing。

  2. 一位评论者说:所以kernel真的在做一个自己专有的编程语言了?Cyberax回复说:“是的没错,只要加上无限循环的支持,就能跟javascript相媲美了”。。。

BPF在内核里的虚拟机(The BPF in-kernel virtual machine)给内核中其他很多功能模块带来了不少新功能,尤其是对于tracing模块来说。BPF program运行在kernel里,因此需要采取多种措施来确保别导致系统运行中出错,因此BPF verifier会检查每个BPF program的方方面面来确保可以信赖它在kernel运行,不过这里仍有一个漏洞。最近Alexei Starovoitov提出了一组名为“变革bpf tracing”的patch,希望能补上漏洞,消除一类广泛使用的BPF program中的潜在问题。

BPF在tracing应用程序中有密集的使用,目的是从kernel中取得有价值的信息,并且在kernel space来进行data aggregation(数据聚合)。主要有两种变种:如果在kernel里我们关注的位置本身已经有了一个tracepoint,那么可以直接把BPF program挂在这个位置;另外一种情况,就是需要把kprobe放在kernel中任意的位置(仍有例外)用来触发BPF program。在这两种情况下,目前的BPF verifier都对传递给BPF program的数据具体是什么所知甚少。

那么我们考虑这么一种情况,假如有一个trace_kfree_skb tracepoint放在了net_tx_action()中,当这个tracepoint触发的时候,会有两个指针传递给被触发的处理函数(例如BPF program),一个指针是sk_buff结构,放置着所关心的网络数据包,另一个指针指向正在释放这个数据包的函数。这两个指针具体是什么类型的,这个信息并没有得到传递,BPF program只能看到是两个64-bit unsigned int类型的数字。要想访问kernel的对应数据,就先要把整型数字转成相应类型的指针,然后利用bpf_probe_read()之类的helper函数来把指针指向的数据读取出来。可能需要多次调用bpf_probe_read()来把数据结构内部的感兴趣数据读取出来,供tracing program使用。

这里有个问题,BPF program可以把这两个数字直接转换成任意类型,并不一定真是这两个指针的真正类型。如果转错了,BPF program就可能访问了不该访问的东西。最坏情况下,有可能访问到一个memory-mapped I/O区域,导致硬件损坏。通常不认为这是一个安全风险(security issue),因为tracing需要由特权用户才能发起,不过这是一个安全问题(safety issue),这种问题就是BPF verifier希望解决的问题。

自从kernel支持把BPF program挂载在tracepoint和kprobe的第一天起,这个问题就存在了。同时,BPF开发者一直在调查另一个完全不同的问题:BPF program的二进制格式缺乏兼容性。这些program会在kernel里面访问各种数据结构,但是这些结构的位置、格式、内容会随着kernel的config的改变而改变,也会随着底层架构的区别而有不同。可能在某个kernel里面我们关心的数据在结构中的第8个byte,而另一个kernel里面变成了偏移8个byte的位置。如果没有办法能识别出这些偏移的话,BPF使用者只能针对每个不同的目标系统来重新编译BPF program。

因此大家都希望能做到“compile once run everywhere”(只编译一次,就能在任何情况下运行)。在过去几年经过很多努力之后,利用创建一类新的紧凑的、机器可读的内核数据结构描述信息,得到了解决。这个描述信息名为“BPF type format”(BTF),由kernel自己提供,会被user-space的支持库来调用,在加载BPF program程序二进制代码之前预先做一些调整,从而解决了绝大多数的binary portability(二进制兼容性)问题。不过人们发现BTF信息还可以有其他用处。

具体来说,可以用BTF信息来标注tracepoint,注明传给处理函数的数据的类型。这样就能让verifier利用这些信息确保BPF program运行时是在按照正确的数据类型进行访问。并且也能让C handler program能直接利用指针来访问数据。在编译生成BPF program并加载进入kernel的时候,verifier就能在有访问相关数据的时候直接替换成bpf_probe_read()调用,当然也会经过类型检查来确保安全。

最终,BPF tracepoint handler program就能更加安全了,更加不容易写出bug。至于是否能称之为“变革性”的改动,这个值得商榷,不过肯定也算是重大改进了。

不过,可以确定的是,kprobe handler关联的数据访问无法从中受益。因为kprobe可以设置在正在运行的kernel中的任意位置,并且在触发的时候,也会获得访问处理器寄存器内容的权限。目前来说,verifier还是没法知道这些寄存器里面放得是什么内容,因此没法做检查来保护之。也就是说,如果没法修改kernel在感兴趣的地方加上tracepoint,那么所用的BPF program就仍然没法进行类型检查,只能维持现状了。

不论如何,至少有了不少改善了,能够让现有的tracing代码更加安全。目前已经放入bpf-next tree了,除非有些什么最后时刻报出来的问题,否则的话应该能进入5.5 kernel了。

全文完

LWN文章遵循CC BY-SA 4.0许可协议。

极度欢迎将文章分享到朋友圈 
热烈欢迎转载以及基于现有协议修改再创作~

长按下面二维码关注:Linux News搬运工,希望每周的深度文章以及开源社区的各种新近言论,能够让大家满意~

LinuxNews搬运工
关注
SPDK的BPF Tracing
weixin_60043341的博客
08-23 219
例如,可以输出某个函数每次被调用时的参数,计算某个代码路径被执行的次数,甚至可以创建并显示一组数据的直方图。scripts/bpf/send_msg.bt脚本通过uprobe关键字定义了两个动态探针,分别为send_msg和for_each_channel,将每个函数的调用次数存在映射。这两个变量都提供了更便捷的方法,在不同的应用程序中可使用相同的脚本。BPF追踪由一组bpftrace程序、定义在SPDK库的USDT探针和几个脚本组成,这些脚本能够简化BPF追踪,和常规的SPDK追踪代码结合使用。
linux cpu gonvor,LWN:Linux 5.1使用TEO governor来代替cpuidle menu governor
weixin_29331115的博客
05-13 490
Improving idle behavior in tickless systemsDecember 28, 2018, This article was contributed by Marta RybczyńskaCPU处理器在实际执行代码的时候,很多时间其实是没有什么事情要做的,会在等待device和timer的中断。此时可以切换到idle mode,关掉内部大部分电路,停掉不再用的clo...
Linux BPF/bcc for Oracle Tracing
weixin_30576859的博客
03-19 116
Luca Canalion26 May 2016 Topic:In this post you will find a short discussion and pointers to the code of a few sample scripts that I have written using Linux BPF/bcc and uprobesfor Oracl...
Datenlord |用BPF实现用户态tracing
DatenLord的博客
07-12 364
作者 | 王璞BPF是最近Linux内核领域热门的技术。传统的BPF指的是命令用于过滤网络包的工具,现在BPF已经得到极大的扩展,不再是Berkeley Packet Filter的缩写对应的简单的网络包过滤工具。 从Kernel 4.9之后,BPF已经成为一个完善的内核扩展工具,BPF在内核里运行一个sandbox,用于执行BPF的字节码(bytecode), 在执行BPF程序前,BPF的检查器会对BPF程序的字节码进行安全检查(比如,指针要先判断不为空后再访问,代码里不能有循环,等等),以保证BPF程序
libbpf 开发指南:获取bpf_object 关联的 BTF(BPF Type Format)信息与文件描述符
阿呆的隐秘角落
07-02 506
做最好的bpf教程
BPF学习笔记(七)-- 静态跟踪点tracepoint
frankzfz的专栏
01-01 632
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint,使用git show 4d220ed 显示下面的信息。》中第4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。通过上面的查看,是在内核4.18之后的内核删除了。上面的程序在bpf_prog_load的函数中添加一个添加一个tracepoint点。
bpf tracepoint脚本
qq_23868387的博客
12-28 201
【代码】bpf tracepoint脚本。
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions receiver=xxx@gmail.com password=xxx server=smtp.gmail.com port=587 ...
lwn2email
02-21
该脚本在某种程度上取决于LWN的格式,如果进行更改,该脚本可能会中断。 但是,自从我在2013年编写它以来,它只破裂了一次。欢迎提出改进格式的请求。 快速开始 依赖关系:Python 3和lxml模块( sudo apt install ...
https://lwn.net/Articles/813350/
最新发布
06-12
对不起,由于链接指向的是Linux Weekly News(LWN)的文章,我无法直接查看或解析网页内容。不过,通常情况下,LWN这类技术网站会报道Linux相关的新闻和技术文章,可能涉及的主题包括内核更新、新工具发布、编程实践...
LWN: Kubernetes利用BPF来增强测试以及安全防护
Linux News搬运工
06-21 419
点击上方蓝色字关注我们~BPF for security—and chaos—in KubernetesJune 10, 2019This article was con...
ebpf中的bpf_probe_read_kernel和pt_regs
qq_44927248的博客
10-21 2103
对ebpf中的pt_regs以及相关函数作一定解释
BPF类型格式BTF
攻城狮
12-21 2347
@[TOC](BPF) 这是包含BPF(Berkeley Packet Filter)功能的文档,重点放在扩展的BPF版本(eBPF)上。 该内核方面的文档仍在开发中。 (出于历史原因)主要文本文档在Linux套接字过滤(又称为Berkeley数据包过滤器(BPF))中进行了描述。 该文档描述了经典BPF和扩展BPF指令集。 Cilium项目还维护着一个BPF和XDP参考指南,该指南对BPF体系结构有很深的技术深度。 bpf syscall的主要信息可在bpf(2)的手册页中找到。 BPF类型格式(BTF)
【eBPF】使用bcc构建tracepoint程序
weixin_43144516的博客
07-13 830
前言 Tracepoint Programs是一类典型的eBPF程序。 《Linux Observability with BPF》一书中这样介绍Tracepoint Programs: This type of program allows you to attach BPF programs to the tracepoint handler provided by the kernel. Tracepoint programs are defined with the type BPF_PROG_T
BPF程序类型
金荣的个人技术博客
03-09 1140
1 前言 根据BPF程序的主要目的,可以将其分为两类。一类是跟踪,一类是网络。 1.1 跟踪 跟踪类程序可以提供系统行为和系统硬件的直接信息。它们可以访问特定内存区域,从运行进程中提取执行跟踪信息。还可以直接访问为每个特定进程分配的资源,包括文件描述符、CPU和内存。 1.2 网络 网络类程序可以检测和控制系统的网络流量。它们可以对网络接口的数据包进行过滤,甚至可以完全拒绝数据包。可以将BPF程序附加到网络驱动程序接受数据包的网络事件上,也可以将BPF程序附加到数据包传递给用户空间的网络事件上。 2. BP
BPF介绍
Phantasm的博客
04-23 2063
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to zhihao.tao@outlook.com 文章目录1. 概述1.1 发展1.2 优势1.3 限制1.4 基于eBPF.
LWN:利用BPF来检查kernel数据结构内容!
Linux News搬运工
05-13 642
关注了就能看到更多这么棒的文章哦~Dumping kernel data structures with BPFByJonathan CorbetApril 27, 2020原文来自:...
LWN: Spectre 漏洞利用了BPF
Linux News搬运工
07-13 465
关注了就能看到更多这么棒的文章哦~Spectre revisits BPFBy Jonathan CorbetJune 24, 2021DeepL assisted translation...
【kernel exploit】BPF漏洞挖掘与CVE-2020-27194 整数溢出漏洞
panhewu9919的博客
06-11 708
影响版本:5.8.x 内核分支,v5.8.15 以及更低的版本。该分支的发行版:Fedora 33 、Ubuntu 20.10。 编译选项:CONFIG_BPF_SYSCALL。 漏洞描述:eBPF验证程序中进行or操作时,scalar32_min_max_or()函数将64位的值赋值到32位的变量上,导致整数截断,进而错误计算了寄存器的范围,从而绕过bpf的检查,导致越界读写。 补丁:patch scalar32_min_max_or()函数中对32位和64位的情况分开处理,防止整数截断。 测试版本:Li
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值