ebpf 研究之原始套接字数据包过滤

最新推荐文章于 2024-04-30 10:38:52 发布
最新推荐文章于 2024-04-30 10:38:52 发布
阅读量1.8k 收藏 7
点赞数 5
分类专栏: bpf Linux 文章标签: ebpf 原始套接字过滤 bpf 系统调动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/112393252
版权
Linux 同时被 2 个专栏收录
142 篇文章 13 订阅
订阅专栏
bpf
7 篇文章 5 订阅
订阅专栏

原始套接字数据包过滤

ebpf 支持原始套接字过滤功能,本文参考 《Linux 内核观测技术 BPF》第 6 章的示例进行描述,并深挖隐藏在 epbf 程序背后的一些技术细节。

ebpf 程序示例代码

bfp_program 源码如下:

#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <linux/in.h>
#include <linux/ip.h>
#include <linux/string.h>
#include <linux/tcp.h>
#include <linux/types.h>
#include <linux/udp.h>

#ifndef offsetof
#define offsetof(TYPE, MEMBER) ((size_t) & ((TYPE *)0)->MEMBER)
#endif

#define SEC(NAME) __attribute__((section(NAME), used)) 

struct bpf_map_def {
  unsigned int type;
  unsigned int key_size;
  unsigned int value_size;
  unsigned int max_entries;
  unsigned int map_flags;
};

static int (*bpf_map_update_elem)(struct bpf_map_def *map, void *key,
                                  void *value, __u64 flags) = (void *)
    BPF_FUNC_map_update_elem;
static void *(*bpf_map_lookup_elem)(struct bpf_map_def *map, void *key) =
    (void *)BPF_FUNC_map_lookup_elem;

unsigned long long load_byte(void *skb,
                             unsigned long long off) asm("llvm.bpf.load.byte");

struct bpf_map_def SEC("maps") countmap = {
    .type = BPF_MAP_TYPE_ARRAY,
    .key_size = sizeof(int),
    .value_size = sizeof(int),
    .max_entries = 256,
};

SEC("socket")
int socket_prog(struct __sk_buff *skb) {
  int proto = load_byte(skb, ETH_HLEN + offsetof(struct iphdr, protocol));
  int one = 1;
  int *el = bpf_map_lookup_elem(&countmap, &proto);
  if (el) {
    (*el)++;
  } else {
    el = &one;
  }
  bpf_map_update_elem(&countmap, &proto, el, BPF_ANY);
  return 0;
}

上述程序中,SEC(“socket”) 标识了原始套接字过滤类型,这一类型在加载 bpf 程序的时候会被使用以设定 prog_typeBPF_PROG_TYPE_SOCKET_FILTER 类型。

socket_prog 是 bpf 程序的核心逻辑,它首先加载报文 ip 头部中的协议字段,根据协议字段的值在 bpf map 中检索,已经存在时,就对旧值加 1 并更新,不存在则赋初值为 1,然后在 bpf_map_update_elem 中建立新的项目。

ebpf 程序自定义加载代码

使用如下程序加载上面的 bpf 程序并附加到一个网络接口中,根据我的网络接口情况,我修改了原书代码,修改后的代码如下:

#include <arpa/inet.h>
#include <assert.h>
#include <bpf/bpf.h>
#include <bpf/bpf_load.h>
#include <bpf/sock_example.h>
#include <errno.h>
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <stddef.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <unistd.h>

char bpf_log_buf[BPF_LOG_BUF_SIZE];

int main(int argc, char **argv) {
  int sock = -1, i, key;
  int tcp_cnt, udp_cnt, icmp_cnt;

  char filename[256];
  snprintf(filename, sizeof(filename), "%s", argv[1]);

  if (load_bpf_file(filename)) {
    printf("%s", bpf_log_buf);
    return 1;
  }

  sock = open_raw_sock("wlp0s20f3");

  if (setsockopt(sock, SOL_SOCKET, SO_ATTACH_BPF, prog_fd,
                 sizeof(prog_fd[0]))) {
    printf("setsockopt %s\n", strerror(errno));
    return 0;
  }

  for (i = 0; i < 1000; i++) {
    key = IPPROTO_TCP;
    assert(bpf_map_lookup_elem(map_fd[0], &key, &tcp_cnt) == 0);

    key = IPPROTO_UDP;
    assert(bpf_map_lookup_elem(map_fd[0], &key, &udp_cnt) == 0);

    key = IPPROTO_ICMP;
    assert(bpf_map_lookup_elem(map_fd[0], &key, &icmp_cnt) == 0);

    printf("TCP %d UDP %d ICMP %d packets\n", tcp_cnt, udp_cnt, icmp_cnt);
    sleep(1);
  }
}

上述程序的关键步骤如下:

  1. 使用 load_bpf_file 函数加载 ebpf 程序
  2. 创建一个指定接口的原始套接字
  3. 将加载后的 bpf 程序附着到原始套接字上
  4. 轮询获取 bpf map 中不同协议类型的统计值并打印

libbpf.so 编译问题

上面加载 ebpf 程序的代码需要使用 libbpf.so 中的接口,libbpf.so 源代码位于内核源码目录中,编译 libbpf.so 时遇到了如下报错:

$ make 

Auto-detecting system features:
...                        libelf: [ OFF ]
...                           bpf: [ OFF ]

参考 samples: bpf: fix build after move to full libbpf 在内核源码树的 tools 目录中先执行一次 clean,然后再编译 libbpf.so,能够解决这个问题。

操作记录如下:

$ cd tools/
$ make clean
$ cd lib/bpf/
$ make
$ make 

Auto-detecting system features:
...                        libelf: [ on  ]
...                           bpf: [ on  ]

  HOSTCC   fixdep.o
  HOSTLD   fixdep-in.o
  LINK     fixdep
  CC       libbpf.o
  CC       bpf.o
  CC       nlattr.o
  CC       btf.o
  CC       libbpf_errno.o
  CC       str_error.o
  CC       netlink.o
  CC       bpf_prog_linfo.o
  LD       libbpf-in.o
  LINK     libbpf.a
  LINK     libbpf.so
  LINK     test_libbpf

测试记录

执行 loader 程序加载 ebpf 程序后,测试得到如下输出信息:

TCP 1048 UDP 148 ICMP 34 packets
TCP 1048 UDP 152 ICMP 34 packets
TCP 1249 UDP 156 ICMP 34 packets
TCP 1271 UDP 156 ICMP 34 packets

icmp 报文的统计数据是准确的,符合预期。

loader 程序背后的系统调用

使用 strace 跟踪 ebpf 程序加载的过程,得到了如下关键信息:

bpf(BPF_MAP_CREATE, {map_type=BPF_MAP_TYPE_ARRAY, key_size=4, value_size=4, max_entries=256, map_flags=0, inner_map_fd=0, map_name="countmap", map_ifindex=0}, 112) = 4
bpf(BPF_PROG_LOAD, {prog_type=BPF_PROG_TYPE_SOCKET_FILTER, insn_cnt=25, insns=0xfd1d80, license="GPL", log_level=0, log_size=0, log_buf=NULL, kern_version=KERNEL_VERSION(0, 0, 0), prog_flags=0, prog_name="", prog_ifindex=0, expected_attach_type=BPF_CGROUP_INET_INGRESS}, 112) = 5
close(3)                                = 0
socket(AF_PACKET, SOCK_RAW|SOCK_CLOEXEC|SOCK_NONBLOCK, 
..........
bind(3, {sa_family=AF_PACKET, sll_protocol=htons(ETH_P_ALL), sll_ifindex=if_nametoindex("wlp0s20f3"), sll_hatype=ARPHRD_NETROM, sll_pkttype=PACKET_HOST, sll_halen=0}, 20) = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_BPF, [5], 4) = 0
bpf(BPF_MAP_LOOKUP_ELEM, {map_fd=4, key=0x7ffc7298e314, value=0x7ffc7298e310}, 112) = 0
bpf(BPF_MAP_LOOKUP_ELEM, {map_fd=4, key=0x7ffc7298e314, value=0x7ffc7298e30c}, 112) = 0
bpf(BPF_MAP_LOOKUP_ELEM, {map_fd=4, key=0x7ffc7298e314, value=0x7ffc7298e308}, 112) = 0
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(0x88, 0x2), ...}) = 0
write(1, "TCP 0 UDP 0 ICMP 0 packets\n", 27TCP 0 UDP 0 ICMP 0 packets

loader 程序使用 bpf 系统调用与内核中的 ebpf 虚拟机进行交互,涉及 ebpf map 数据的创建与查询,ebpf 程序的加载等功能。

bpf_program ebpf 程序的加载由如下两次系统调用完成:

bpf(BPF_MAP_CREATE, {map_type=BPF_MAP_TYPE_ARRAY, key_size=4, value_size=4, max_entries=256, map_flags=0, inner_map_fd=0, map_name="countmap", map_ifindex=0}, 112) = 4
bpf(BPF_PROG_LOAD, {prog_type=BPF_PROG_TYPE_SOCKET_FILTER, insn_cnt=25, insns=0xfd1d80, license="GPL", log_level=0, log_size=0, log_buf=NULL, kern_version=KERNEL_VERSION(0, 0, 0), prog_flags=0, prog_name="", prog_ifindex=0, expected_attach_type=BPF_CGROUP_INET_INGRESS}, 112) = 5

从这个结果中可以看出,ebpf 程序中 map 的创建与 ebpf 程序代码的加载是区分开的,这一过程并不为用户可见,实际上这部分工作是在 samples/bpf/bpf_load.c 中悄悄完成的,其中涉及到对 elf 格式的解析,而 SEC(“maps”)、 SEC(“socket”)
正是这一机关中的重点内容,看看下面贴出的 SEC 定义内容不难明白其中的机关。

#define SEC(NAME) __attribute__((section(NAME), used))

maps、socket 放在两个不同的 section 中,根据 section 的名字就能够找到具体的内容,解析并加载之即可

另外一个非常重要的点就是上面两个 bpf 系统调用的返回值,创建 countmap 映射返回的值为 4,加载 socket ebpf 代码返回的值为 5。

这两个返回值是文件描述符,分别在下面这两个系统调用中被使用:

bpf(BPF_MAP_LOOKUP_ELEM, {map_fd=4, key=0x7ffc7298e314, value=0x7ffc7298e310}, 112) = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_BPF, [5], 4) = 0

bpf 系统调用按 key 查询 ebpf map 值map_fd=4 标识了使用的 ebpf map。setsocketopt 系统调用完成 ebpf 程序附着到套接字上的任务,它的第四个参数传递 socket ebpf 代码的文件描述符 5

在这时候,回到 loader 代码中,与上面两个系统调用相关的代码如下:

 if (setsockopt(sock, SOL_SOCKET, SO_ATTACH_BPF, prog_fd,
                 sizeof(prog_fd[0])))
 ........
 bpf_map_lookup_elem(map_fd[0], &key, &tcp_cnt)

prog_fd 与 map_fd 都是数组,这两个数组的定义与赋值都隐藏在内核源码树中 samples/bpf/bpf_load.c 源文件中。

总结

本文使用一个示例描述了 ebpf 中原始套接字数据包过滤的功能,在一步步描述中,程序背后的一些机关浮上了水面。

通过研究将问题进一步推动到 bpf_load.c 源文件中,这个源文件正是 ebpf 程序加载过程中的一个黑盒,未来要进一步的研究。

写到这里我想到了下面几个问题:

  1. 内核中 ebpf 附着到 socket 的具体过程是怎样的?
  2. 网卡接收到报文后如何与 ebpf 程序建立关联?
  3. ebpf 程序如何作用到网卡接收到的每一个报文中?

希望伴随着我对 ebpf 技术的进一步深入,我能够给出这些问题的答案!

longyu_wlz
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
C#写的原始套接字数据包转发代码
12-19
总的来说,这个C#项目提供了一个数据包嗅探和转发的工具,利用原始套接字技术,可以直接操作网络层的数据包,从而实现更灵活的网络监控和管理。这在网络安全分析、网络调试、性能测试等方面都有广泛的应用。不过,...
eBPF学习记录(四)使用libbpf开发eBPF程序
jianjian的博客
03-06 6631
上一节,我们使用了bpftrace 开发eBPF程序跟踪内核和用户态的程序,bpftrace 简单易用,非常适合入门,可以带初学者轻松体验 eBPF 的各种跟踪特性。但是,bpftrace 并不适用于所有的 eBPF 应用,它本身的限制导致我们无法在需要复杂 eBPF 程序的场景中使用它。在复杂的应用中,还是推荐使用 BCC 或者 libbpf 进行开发。现在讲一下BCC 的开发,有问题可以看官方文档。 现在我们试试使用BCC开发一个eBPF程序,分以下3个步骤, 使用 C 开发一个 eBPF 程序 使用
ebpf 网络过滤器实践
qq_32783703的博客
12-18 907
ebpf 网络过滤器的实践
头歌:Spark Streaming
最新发布
weixin_62399938的博客
04-30 2022
套接字流是通过监听Socket端口接收的数据,相当于Socket之间的通信,任何用户在用Socket(套接字)通信之前,首先要先申请一个Socket号,Socket号相当于该用户的电话号码。同时要知道对方的Socket,相当于对方也有一个电话号码。然后向对方拨号呼叫,相当于发出连接请求。对方假如在场并空闲,相当于通信的另一主机开机且可以接受连接请求,拿起电话话筒,双方就可以正式通话,相当于连接成功。Spark Streaming通过监听套接字端口获取流数据信息并处理。
基于eBPF的恶意利用与检测机制
qq_36100288的博客
12-08 638
基于eBPF 的恶意利用与检测机制
Spark Streaming实战之黑名单过滤
while false
11-02 1543
1.需求场景 访问日志: 201801,zs 201802,ls 201803,ww ..... 黑名单: zs,ls... 现在需要把黑名单中的人从访问日志中给过滤掉,然后得到一份新的访问日志 2.思路分析 要实现上边的需求,首先要进行思路分析,即如何实现 我们可以把黑名单数据先变成一个RDD,将它变成(zs,true) (ls,true)这样的形式,然后再将访问日志变成(z...
套接字
清欢Viki的博客
08-12 1198
上一节简单提到过套接字,本篇阐述如何使用套接字进行数据传输。任意两台计算机都可以,简便起见,服务端和客户端均以自己计算机为例。 1.创建套接字 一般,用户认为数据可以直接在应用之间进行传输,实际则是应用调用套接字,数据通过套接字进行传输。 简单套接字实例 In [1]: import socket In [2]: sock = socket.socket() In [3]: so...
【数据仓库】Spark Streaming
Ddds的博客
06-06 1019
套接字流实现黑名单过滤
网安第三天作业
m0_52438027的博客
07-17 320
不会记录SELECT和SHOW这类操作,因为这类操作对数据本身并没有修改,但可以通过查询通用日志来查看MySQL执行过的所有语句。主从复制mysqlreplication在master端开启binlog,master把它的二进制日志传递给slaves来达到master-slave数据一致的目的。二进制日志(binnarylog)以事件形式记录了对MySQL数据库执行更改的所有操作。需要注意的一点是,即便update操作没有造成数据变化,也是会记入binlog。...
原始套接字发送完整UDP数据包(c语言实现)
06-01
使用C语言实现原始套接字从数据链路层到应用层的操作,Linux系统
基于winsock原始套接字的IP数据包的捕获与解析
01-22
基于Winsock原始套接字的IP数据包捕获与解析 在计算机网络课程设计中,捕获和解析IP数据包是非常重要的一步。今天,我们将使用Windows Sockets(Winsock)的原始套接字来实现IP数据包的捕获和解析。本文将详细介绍...
原始套接字数据包转发
10-11
原始套接字(Raw Sockets)是网络编程中一种特殊类型的...在"复件 数据包转发 - 副本"这个文件中,很可能包含了实现上述功能的C#代码示例或者详细教程,你可以进一步研究这些代码以加深对原始套接字数据包转发的理解。
packet_sniffer:Python原始套接字数据包嗅探器
05-16
与原始脚本的区别: 简化了代码,重构了某些功能,改进了格式。 为了提高可读性,该代码分为3个模块: sniff_socket.py utils.py packet_sniffer.py 此版本考虑了IP标头可能大于20个字节的事实。 此版本不...
Spark Streaming(头歌)
m0_53510670的博客
06-21 3790
第1关:套接字流实现黑名单过滤 代码: importorg.apache.spark.SparkConf importorg.apache.spark.streaming.StreamingContext importorg.apache.spark.streaming.Seconds objectTransformBlackList{ defmain(args:Array[String]):Unit={ /**********Begin**********/ ...
Linux eBPF和XDP高速处理数据包;使用EBPF编写XDP网络过滤器;高性能ACL
RToax
10-10 7795
XDP(eXpress Data Path)是基于 eBPF 实现的高性能、可编程的数据平面技术。XDP 位于网卡驱动层,当数据包经过 DMA 存放到 ring buffer 之后,分配 skb 之前,即可被 XDP 处理。由于 XDP 位于整个 Linux 内核网络软件栈的底部,能够非常早地识别并丢弃攻击报文,具有很高的性能。这为我们改善 iptables/nftables 协议栈丢包的性能瓶颈,提供了非常棒的解决方案。BPF(Berkeley Packet Filter)字节码的动态注入技术。
Spark Streaming实时流处理项目实战笔记——实战之黑名单过滤
优质后端技术知识记录
11-30 758
思路 源代码 窗口函数 代码实现 object Black extends App { import org.apache.spark.SparkConf import org.apache.spark.streaming.{Seconds, StreamingContext} val sparkConf = new SparkCon...
Linux网络编程:原始套接字--包过滤BPF
jin787730090的博客
06-17 2656
目录参考文章一、BPF介绍二、BPF的结构三、BPF Socket 实例三、BPF Code 生成方法 参考文章 linux网络和BPF linux 下的 包过滤BPF Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document) 一、BPF介绍 BPF(Berkeley Packet Filter)伯克利包过滤器。 BPF允许用户空间程序将一个过滤(filter)附加到任何的套接字(socket)上面用来允许或不允许某些类型的数据通过
使用SparkStreaming完成词频统计,并将结果写入MySQL,黑名单过滤
longwenyanlan的博客
11-26 1151
foreachRDD 设计模式的使用 dstream.foreachRDD 是一个强大的原语, 允许将数据发送到外部系统.但是, 了解如何正确有效地使用这个原语很重要. 避免一些常见的错误如下. 通常向外部系统写入数据需要创建连接对象(例如与远程服务器的 TCP 连接), 并使用它将数据发送到远程系统. 为此, 开发人员可能会无意中尝试在Spark driver 中创建连接对象, 然后尝试在Sp...
C++原始套接字创建UDP数据包,包含IPHerder填充
05-26
在C++中创建UDP数据包,需要使用原始套接字。以下是一个简单的示例代码,用于创建一个包含IP头和UDP数据的数据包: ```c++ #include #include #include #include #include #include #include #define ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值