探索 ebpf 在 Node.js 中的应用

最新推荐文章于 2022-08-27 12:31:07 发布
最新推荐文章于 2022-08-27 12:31:07 发布
阅读量305 收藏
点赞数
分类专栏: unix/linux nodejs 文章标签: node.js 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/THEANARKH/article/details/121645721
版权
nodejs 同时被 2 个专栏收录
150 篇文章 13 订阅
订阅专栏
unix/linux
103 篇文章 9 订阅
订阅专栏

前言:ebpf 是现代 Linux 内核提供的非常复杂和强大的技术,它使得 Linux 内核变得可编程,不再是完全的黑盒子。随着 ebpf 的发展和成熟,其应用也越来越广泛,本文介绍如何使用 ebpf 来追踪 Node.js 底层的代码。

介绍

ebpf 的设计思想虽然很简单,但是实现和使用上非常复杂。ebpf 本质上内核实现了一个虚拟机,用户可以把自己编写的 c 代码加载进内核中执行,从而参与内核的逻辑处理。这听起来很简单,但是整个技术其实非常复杂,从实现来说,内核需要对加载的代码进行非常多而复杂的校验,以保证安全性,内核还需要实现一个虚拟机来执行用户的代码和在内核代码中加入支持 ebpf 机制的逻辑。从使用来说,使用或编写 ebpf 代码对我们来说成本非常高,我们需要学会搭建环境,需要了解如何编译 ebpf 程序,甚至还需要了解 Linux 内核的一些知识。不过随着 ebpf 多年的发展,这种情况已经改善了很多。ebpf 的介绍在网上有很多,这里就不多介绍。

使用

下面来看一下如何基于 libbpf 写一个 ebpf 程序。ebpf 程序分为两个部分,第一部分是 ebpf 代码。
hello.bpf.c

#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

SEC("tracepoint/syscalls/sys_enter_execve")
int handle_tp(void *ctx)
{
    int pid = bpf_get_current_pid_tgid()>> 32;
    char fmt[] = "BPF triggered from PID %d.\n";
    bpf_trace_printk(fmt, sizeof(fmt), pid);
    return 0;
}

char LICENSE[] SEC("license") = "Dual BSD/GPL";

以上是被加载进内核执行的代码,主要是利用内核的 tracepoint 机制,给 sys_enter_execve 函数插入一个钩子,每次执行到这个函数时,钩子函数就会被执行。另一部分是负责把 ebpf 代码加载进内核的代码。
hello.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <assert.h>
#include <errno.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/resource.h>
#include <bpf/libbpf.h>
#include "hello.skel.h"

int main(int argc, char **argv)
{
    struct hello_bpf *skel;
    int err;

    /* Open BPF application */
    skel = hello_bpf__open();
    /* Load & verify BPF programs */
    err = hello_bpf__load(skel);
    /* Attach tracepoint handler */
    err = hello_bpf__attach(skel);
    printf("Hello BPF started, hit Ctrl+C to stop!\n");
    // output
    read_trace_pipe();

cleanup:
    hello_bpf__destroy(skel);
    return -err;
}

这里只列出核心的代码,hello.c 的逻辑很简单,打开 ebpf 然后加载到内核,最后查看 ebpf 程序的输入。这就是 ebpf 程序的整体逻辑,过程都差不多,重点是确定我们需要做什么事情,然后写不同的代码。最后,如果不再需要追踪的时候,可以销毁 ebpf 代码。

应用

在 ebpf 之前,内核对我们来说是一个黑盒子。有了 ebpf 之后,内核对我们透明了很多。但是软件是分层的,我们平时直接和内核打交道并不多,我们更关心上层软件的情况。具体来说,当我们使用一个 Node.js 的时候,除了关心业务代码,我们也需要关心 Node.js 本身的代码。但是 Node.js 对我们来说也是个黑盒子,我们不知道它具体做了什么事情或者某一个时刻的运行状态,这样非常不利于我们排查问题或者了解系统的运行情况。有了 ebpf 后,我们就可以做更多的事情了。Linux 内核提供了非常多的代码追踪技术,其中有一种是 uprobe,uprobe 是一种动态追踪应用代码的技术,比如我们想了解 Node.js 的 Libuv 中的 uv_tcp_listen 函数,那么我们就可以通过 ebpf 去实现这种效果。有了这种能力,我们就可以掌握系统更多的数据和信息。

实现

应用层使用 uprobe 比 kprobe 复杂,kprobe 是用于追踪内核函数,因为内核知道它的函数对应的虚拟地址,所以我们只需要告诉它函数名就可以实现对该函数的追踪,但是 uprobe 则不一样,uprobe 是用于追踪应用层代码的,内核并不知道或者说不应该关注某个函数对应的虚拟地址,所以这个难题需要应用层解决。下面来看一下具体的实现。
uprobe.bpf.c

#include <linux/bpf.h>
#include <linux/ptrace.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>
#include "uv.h"

char LICENSE[] SEC("license") = "Dual BSD/GPL";

SEC("uprobe/uv_tcp_listen")
int BPF_KPROBE(uprobe, uv_tcp_t* tcp, int backlog, uv_connection_cb cb)
{
	bpf_printk("uv_tcp_listen start %d \n", backlog);
	return 0;
}

SEC("uretprobe/uv_tcp_listen")
int BPF_KRETPROBE(uretprobe, int ret)
{
	bpf_printk("uv_tcp_listen end %d \n", ret);
	return 0;
}

这里我们实现了对 libuv 的 uv_tcp_listen 函数进行追踪,包括函数开始执行和执行完毕两个追踪点。定义完 ebpf 程序后,来看一下如何加载到内核。
uprobe.c

int main(int argc, char **argv)
{
	struct uprobe_bpf *skel;
	long base_addr, uprobe_offset;
	int err, i;
        // 要追踪的可执行文件
	char execpath[50] = "/usr/bin/node";
	char * func = "uv_tcp_listen";
        // 计算某个函数在可执行文件里的地址偏移
	uprobe_offset = get_elf_func_offset(execpath, func);

	/* Load and verify BPF application */
	skel = uprobe_bpf__open_and_load();

	/* Attach tracepoint handler */
	skel->links.uprobe = bpf_program__attach_uprobe(skel->progs.uprobe,
							false /* not uretprobe */,
							-1, /* any pid */
							execpath,
							uprobe_offset);

	skel->links.uretprobe = bpf_program__attach_uprobe(skel->progs.uretprobe,
							   true /* uretprobe */,
							   -1 /* any pid */,
							   execpath,
							   uprobe_offset);

        // ...
cleanup:
	uprobe_bpf__destroy(skel);
	return -err;
}

uprobe.c 的重点在于计算某个函数在某个可执行文件的地址信息,这个主要是利用 elf 文件来判断,elf 是代码编译后生成的一个可执行文件,它里面可以记录了关于可执行文件的一些元数据(也可以通过 readelf -Ws exen_file 查看),比如符号表里记录了函数的信息,拿到相关信息后,设置 uprobe 和 uretprobe就可以了。通过上面的 ebpf 代码,我们就可以追踪到 uv_tcp_listen 函数的调用情况,有了这种能力,我们就可以随便监听自己想监听的函数。除了 uprobe 之后,我们还可以利用内核的 kprobe 监听内核函数。比如下面的 ebpf 代码就可以实现对创建进程的追踪。

SEC("kprobe/__x64_sys_execve")
int BPF_KPROBE(__x64_sys_execve)
{
	pid_t pid;
	pid = bpf_get_current_pid_tgid() >> 32;
	bpf_printk("KPROBE ENTRY pid = %d", pid);
	return 0;
}

SEC("kretprobe/__x64_sys_execve")
int BPF_KRETPROBE(__x64_sys_execve_exit)
{
	pid_t pid;

	pid = bpf_get_current_pid_tgid() >> 32;
	bpf_printk("KPROBE EXIT: pid = %d\n", pid);
	return 0;
}

总结

简单地介绍了一下强大的 ebpf 技术和在 Node.js 中的应用,但是这只是个简单的例子,我们还有很多事情需要做,比如能否结合 addon 来使用,如何支持动态能力等等。另外因为 C++ 代码编译后的函数名和原来的是不太一样的,这可能会导致我们通过函数名找虚拟地址时找不到,这里也还有很多需要研究的地方。总的来说,ebpf 不仅对 Node.js 来说非常有价值,对其他应用层来说意义也是一样的。这是一个非常值得探索的技术方向。

代码仓库:https://github.com/theanarkh/libbpf-code

theanarkh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 Node.js 进行现代前端开发:Node.js 生态系统现代 JavaScript Web 开发概要
04-07
Modern Frontend Development with Node.js: A compendium for modern JavaScript web development within the Node.js ecosystem 通过在前端充分利用 Node.js 概念、工具和最佳实践来增强您的 Web 开发项目 主要...
eBPF示例:x86-64平台上的uprobe
最新发布
qq_38232169的博客
01-04 459
讲解 libbpf-bootstrap 框架上的 uprobe 示例代码; 函数符号被 strip 后的 uprobe 处理方法;
eBPF理解 (四)
08-27 1583
bpftrace用在快速排除和定位系统上,简单的脚本开发并执行;BCC用在复杂的eBPF开发,使用最广泛;libbpf从内核抽离出来的标准库,不在需要每台机器安装LLVM和内核头文件。
HFCTF2022RE部分WP
weixin_50783572的博客
03-28 921
fpbe 这题通过题目了解到了这是一个用了BPF的程序 通过查看https://github.com/libbpf/libbpf/blob/master/src/libbpf.h 可以知道对程序进行了hook /** * @brief **bpf_program__attach_uprobe()** attaches a BPF program * to the userspace function which is found by binary path and * offset. You can
使用 ebpf 监控 Node.js 事件循环的耗时
标子 的专栏
12-18 1059
前言:强大的 ebpf 使用越来越广,能做的事情也越来越多,尤其是无侵入的优雅方式更加是技术选型的好选择。本文介绍如何使用 ebpf 来监控 Node.js 的耗时,从而了解 Node.js 事件循环的执行情况。不过这只是粗粒度的监控,想要精细地了解 Node.js 的运行情况,需要做的事情还很多。 在 Node.js 里,我们可以通过 V8 Inspector 的 cpuprofile 来了解 JS 的执行耗时,但是 cpuprofile 无法看到 C、C++ 代码的执行耗时,通常我们可以使用 perf
BPF之事件源
大吉
01-02 1137
基础 1. BPF和eBPF概念 BPF 原是 Berkeley Packet Filter(伯克利数据包过滤器)的缩写,1992诞生,用于网络包过滤。2014经过修改并入 Linux 内核主线,从此 BPF 变成了一个更通用的执行引擎,主要用于网络、可观测性和安全。将来可能会拓展到更多应用领域,比如控制 scheduler 的行为。 eBPF 是扩展后的 BPF,增加了更多的寄存器,增加 BPF 映射型存储(map)、设计成可即时编译 JIT 方式使用,不过官方缩写通常不带"e",内核只有一个执行引擎
Node.js(node-v16.15.1-win-x86.zip)
06-08
Node.js 应用程序是用 JavaScript 编写的,可以在 Mac OS X、Windows 和 Linux 上的 Node.js 运行时运行而无需更改。 Node.js 应用程序旨在最大限度地提高吞吐量和效率,使用非阻塞 I/O 和异步事件。Node.js 应用...
Node.js(node-v16.15.1-win-x64.zip)
06-08
Node.js 应用程序是用 JavaScript 编写的,可以在 Mac OS X、Windows 和 Linux 上的 Node.js 运行时运行而无需更改。 Node.js 应用程序旨在最大限度地提高吞吐量和效率,使用非阻塞 I/O 和异步事件。Node.js 应用...
Node.js(node-v16.15.1.pkg)
06-08
Node.js 应用程序是用 JavaScript 编写的,可以在 Mac OS X、Windows 和 Linux 上的 Node.js 运行时运行而无需更改。 Node.js 应用程序旨在最大限度地提高吞吐量和效率,使用非阻塞 I/O 和异步事件。Node.js 应用...
Node.js(node-v16.15.1.tar.gz 源码)
06-08
Node.js 应用程序是用 JavaScript 编写的,可以在 Mac OS X、Windows 和 Linux 上的 Node.js 运行时运行而无需更改。 Node.js 应用程序旨在最大限度地提高吞吐量和效率,使用非阻塞 I/O 和异步事件。Node.js 应用...
使用BPF进行追踪
大草的博客
04-15 1543
代码根据运行环境的不同可以分为:内核空间代码,用户空间代码。 对内核空间的代码进行探测,可以分为两种:kprobes、kretprobes。 对用户空间的代码进行探测,可以分为两种:uprobes、uretprobes
ebpf指令系统
大草的博客
07-21 1110
了解ebpf的指令系统。阅读一个使用ebpf指令集编程的示例。
【Linux】BPF学习笔记 - 调试技术[4]
Linoy
03-01 1372
【BPF】学习笔记 - 调试技术[4] 本学习笔记来自于阅读 Brendan Gregg的《BPF Performance Tools》 一、 KPROBES kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。它可以在生产环境实时进行此操作,无需重新重启系统或以任何特殊模式运行内核。这意味着我们可以在内核的绝大多数指定函数动态的插入探测点(动态...
理解SIGALRM信号
标子 的专栏
04-05 7733
SIGALRM信号是操作系统的其一个信号。他的作用是设置进程隔多久后会收到一个SIGALRM信号。​他的功能和定时器很像。​下面我们看一下他的原理。     alarm系统调用是设置多久触发SIGALRM信号的函数。下面是他的声明。 #include <unistd.h> unsigned alarm(unsigned seconds); ...
linux tcp/ip协议栈源码分析---arp协议的实现
标子 的专栏
06-16 3074
参见linux内核网络栈源代码情景分析一书 arp协议是围着一个数组链表的数据结构进行的,包括对节点的增删改查,一些回调函数的设置。 相关数据结构: arp协议流程图: // 维护ip和mac地址映射的数组链表 struct arp_table { struct arp_table *next; /* Linked entry list
linux源码解析
标子 的专栏
08-18 2486
关于早期linux源码的分析,有兴趣的可以看一下,欢迎交流,欢迎star! https://github.com/theanarkh/read-linux-1.2.13-net-code https://github.com/theanarkh/read-linux-0.11
linux系统调用之write源码解析(基于linux0.11)
标子 的专栏
05-03 1865
write函数的部分逻辑和read相似。我们先看入口函数。 int sys_write(unsigned int fd,char * buf,int count) { struct file * file; struct m_inode * inode; if (fd>=NR_OPEN || count <0 || !(file=current->filp[fd])) ...
Linux 内核静态追踪技术的实现
标子 的专栏
11-14 1786
前言:最近在探索 Node.js 调试和诊断方向的内容,因为 Node.js 提供的能力有时候可能无法解决问题,比如堆内存没有变化,但是 rss,一直上涨。所以需要深入一点去了解更多的排查问题方式。而这些方向往往都涉及到底层的东西,所以就自然需要去了解内核提供的一些技术,内核提供的能力,经过多年的发展,可谓是百花齐放,而且非常复杂。本文简单分享一下内核的静态追踪技术的实现。追踪,其实就是收集代码在执行时的一些信息,以便协助排查问题。 1 Tracepoint Tracepoints 是一种静态插桩的技术,实
linux系统调用之sys_unlink(基于linux0.11)
标子 的专栏
05-04 1677
sys_unlink是删除硬链接的系统调用,引用数为0时底层的文件会被删除sys_unlink是删除硬链接的系统调用,引用数为0时底层的文件会被删除 // 删除硬链接 int sys_unlink(const char * name) { const char * basename; int namelen; struct m_inode * dir, * inode; struct bu...
Node.js实战指南:探索技术与应用
这本书的核心是介绍和教授Node.js,一个基于Chrome V8引擎的JavaScript运行环境,以其异步非阻塞I/O模型和事件驱动特性在实时网络应用开发领域备受推崇。 本书内容可能涵盖以下几个关键知识点: 1. **Node.js...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值