使用 eBPF 技术跟踪 Netfilter 数据流

最新推荐文章于 2025-09-24 13:55:16 发布
原创 最新推荐文章于 2025-09-24 13:55:16 发布 · 808 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bpf

本文介绍了Linux内核中Netfilter框架在网络层的数据流向,详细解析了五个hook点的功能,并阐述了数据包如何在Netfilter体系中流转。接着,探讨了Netfilter的数据结构,特别是二维数组的组织方式以及hook函数的管理。iptables作为用户空间的应用,通过控制Netfilter管理网络流量。文章还分析了iptables与Netfilterhook点的关系,以及内核代码中ip_rcv函数的实现。最后,提到了使用eBPF技术跟踪Netfilterhook点的过滤结果,并给出了示例代码。通过这些,读者可以深入了解Linux网络包处理的底层机制。

1. 网络层数据流向与 Netfilter 体系

图 1-1 为网络层内核收发核心流程图,在函数流程图中我们可以看到 Netfliter 在其中的位置(图中深色底纹圆角矩形)。图中对应的 hook 点有 5 个,每个hook 点中保存一组按照优先级排序的函数列表:

  • NF_IP_PREROUTING:接收到的包进入协议栈后立即触发此 hook 中注册的对应函数列表,在进行任何路由判断 (将包发往哪里)之前;

  • NF_IP_LOCAL_IN:接收到的包经过路由判断,如果目的是本机,将触发此 hook 中注册的对应函数列表;

  • NF_IP_FORWARD:接收到的包经过路由判断,如果目的是其他机器,将触发此 hook 中注册的对应函数列表;

  • NF_IP_LOCAL_OUT:本机产生的准备发送的包,在进入协议栈后立即触发此 hook 中注册的对应函数列表;

  • NF_IP_POST_ROUTING:本机产生的准备发送的包或者转发的包,在经过路由判断之后, 将触发此 hook 中注册的对应函数列表;

network_l3_flow

network_l3_flow

图 1-1 网络层内核收发核心流程图

从图 1-1 的数据流分为三类,分别用不同的颜色标注,因此我们可以得知:

  1. 本地处理的数据包,在 Netfliter 体系中会依次流经 NF_IP_PREROUTINGNF_IP_LOCAL_IN

  2. 转发的数据包,在 Netfliter 体系中会依次流经NF_IP_FORWARDNF_IP_POST_ROUTING

  3. 本地发送的数据包在 Netfliter 体系中会依次流经 NF_IP_LOCAL_OUTNF_IP_POST_ROUTING

2. Netfilter 与 IPtables

2.1 Netfilter 数据结构

Netfilter 架构中对于 hook 点中注册的函数管理,采用二维数组的方式进行组织,纵轴为协议,横轴为 hook 点,每个 Network Namespace 对应一个此种格式的二维数组,详见图 2-1。数组中保存的为 nf_hook_entries 结构,对应保存了该 hook 点中注册的 hook 函数,函数按照优先级的方式进行管理,调用时也是按照优先级进行过滤。

netfilter_data_struct

netfilter_data_struct

其中 hooks_ipv4[NF_INET_NUMHOOKS] 位于 net->nf 变量中。 hook 函数的原型定义如下:

typedef unsigned int nf_hookfn(void *priv,
          struct sk_buff *skb,
          const struct nf_hook_state *state);

table nat 定义的 hook 函数为例, struct nf_hook_ops nf_nat_ipv4_ops 如下:

static const struct nf_hook_ops nf_nat_ipv4_ops[] = {
 {
  .hook  = iptable_nat_do_chain,  // 函数名
  .pf  = NFPROTO_IPV4,            // 协议名
  .hooknum = NF_INET_PRE_ROUTING, // hook 点
  .priority = NF_IP_PRI_NAT_DST,   // 优先级
 },
 {
  .hook  = iptable_nat_do_chain,
  .pf  = NFPROTO_IPV4,
  .hooknum = NF_INET_POST_ROUTING,
  .priority = NF_IP_PRI_NAT_SRC,
 },
 {
  .hook  = iptable_nat_do_chain,
  .pf  = NFPROTO_IPV4,
  .hooknum = NF_INET_LOCAL_OUT,
  .priority = NF_IP_PRI_NAT_DST,
 },
 {
  .hook  = iptable_nat_do_chain,
  .pf  = NFPROTO_IPV4,
  .hooknum = NF_INET_LOCAL_IN,
  .priority = NF_IP_PRI_NAT_SRC,
 },
};

nf_nat_ipv4_ops 结构在函数 iptable_nat_table_init 中初始化,最终通过 nf_register_net_hook 函数注册到对应 hook 点的函数列表中。

2.2 iptabes

iptables 是运行在用户空间的应用软件,通过控制 Linux 内核 中 Netfilter 模块,来管理网络数据包的处理和转发。iptables 使用 table 来组织规则,根据用来做什么类型的判断标准,将规则分为不同 table,当前支持的 tableraw/mangle/nat/filter/security 等。在 table 内部采用链 (chain)进行组织,其中系统内置的 chainNetfilter 中的 hook 点一一对应,例如 chain PREROUTING 对应于 NF_IP_PRE_ROUTING hook,用户自定义 chain 没有对应的 Netfilter hook

最低0.47元/天 解锁文章
1.4 Android下使能eBPF
从0到1,突破自己
05-31 1404
由于eBPF可运行用户提供的eBPF程序来扩展内核,这些程序可以附加到内核中的探测点或事件,用于收集有用的内核统计信息,监控和调试。eBPF使用bpf(2)系统调用加载到内核中,并作为eBPF机器指令的二进制块由用户来提供。Android构建系统支持使用本文所述的build文件语法将C程序编译为eBPF程序。并且Android包含了一个eBPF加载器和库,这样Android可以在启动初始化阶段加载eBPF程序。
云原生网络利器--Cilium 之 eBPF
DaoCloud_daoke的博客
03-04 1309
​ 在上一篇《 云原生网络利器--Cilium 总览篇》的文章中,整体的介绍了一下 Cilium 中常见技术术语和总体的架构介绍。接下来的篇幅会重点介绍 eBPF 的一些关键特性,以及在 Cilium 中使用 eBPF 做了哪些工作,并介绍基本的原理。
ebpf深入理解和应用介绍
热门推荐
网络安全研究
04-07 2万+
1. ebpf概述 1.1 ebpf发展历史 BPF,及伯克利包过滤器Berkeley Packet Filter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核崩溃或者安全问题 —— 并附着到一个套接字上,接着在每个接...
eBPF 技术:从入门到精通
weixin_39145568的博客
04-10 2728
eBPF(Extended Berkeley Packet Filter)是一种允许在 Linux 内核中运行沙盒化程序的技术。它充当内核内部的一个轻量级、沙盒化的虚拟机(VM),开发者可以在其中运行经过验证的 BPF 字节码,利用特定的内核资源。虽然其名称源自早期的伯克利数据包过滤器(BPF),但 eBPF 的能力已远超最初的数据包过滤范畴,成为一项通用的内核扩展技术。如今,eBPF 通常被视为一个独立术语,而最初的 BPF 有时被称为 cBPF(经典 BPF)以作区分。
实用网络唤醒与远程开机小程序工具分享
weixin_32925455的博客
09-24 1275
现代笔记本通常同时具备有线(Ethernet)和无线(Wi-Fi)网卡。WOL 一般仅支持有线接口,因此必须明确区分两者。$ networksetup -listallhardwareports # macOS 示例应优先选用名为 “Ethernet”、“Built-In Ethernet” 或设备型号含 “RTL8168”、“I211” 等真实网卡芯片的条目。
一文详解用 eBPF 观测 HTTP
数据库技术
08-09 796
随着eBPF推出,由于具有高性能、高扩展、安全性等优势,目前已经在网络、安全、可观察等领域广泛应用,同时也诞生了许多优秀的开源项目,如Cilium、Pixie等,而iLogtail 作为阿里内外千万实例可观测数据的采集器,eBPF 网络可观测特性也预计会在未来8月发布。下文主要基于eBPF观测HTTP 1、HTTP 1.1以及HTTP2的角度介绍eBPF的针对可观测场景的应用,同时回顾HTTP 协议自身的发展。...
eBPF(extended Berkeley Packet Filter):Linux系统最具颠覆性的“白盒测试”
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
03-20 2349
eBPF——Linux系统地图上的“沙盒游戏”简单介绍eBPF 简单介绍eBPF eBPF is a revolutionary technology with origins in the Linux kernel that can run sandboxed programs in an operating system kernel. It is used to safely and efficiently extend the capabilities of the kernel without
数据包生命周期追踪:使用Packet Tracing技术调试模拟的5个关键节点
# 数据包生命周期追踪:从内核探针到智能预测的全链路可观测性 你有没有过这样的经历?线上服务突然变慢,监控显示“网络延迟升高”,但具体是哪一跳出了...今天,我们就来深挖这套技术体系,看看如何用 **eBPF + N
请详解Netfilter的经典框架图:Packet flow in Netfilter and Genneral Networking。
最新发布
11-02
### **四、典型数据流示例** **场景:外部访问DNAT服务** ``` 1. 数据包进入XDP → 可能被丢弃或放行 2. PREROUTING链: - DNAT转换目标地址(192.168.1.1:80 → 10.0.0.2:80) 3. 路由决策 → 转发(FORWARD链) 4...
【博客577】使用ebpf工具nettrace追踪网络包流向
qq_43684922的博客
01-08 3719
nettrace是一款基于eBPF的集网络报文跟踪(故障定位)、网络故障诊断、网络异常监控于一体的网络工具集,旨在能够提供一种更加高效、易用的方法来解决复杂场景下的网络问题。网络报文跟踪跟踪网络报文从进入到内核协议栈到释放/丢弃的过程中在内核中所走过的路径,实现报文整个生命周期的监控,并采集生命周期各个阶段的事件、信息。通过观察报文在内核中的路径,对于有一定内核协议栈经验的人来说可以快速、有效地发现网络问题。
使用 eBPF 技术实现更快的网络数据包传输
hanfengzxh的博客
03-22 903
通过 eBPF 的引入,我们缩短了同节点通信数据包的 datapath,跳过了内核网络栈直接连接两个对端的 socket。这种设计适用于同 pod 两个应用的通信以及同节点上两个 pod 的通信。[^1]: 该辅助函数将引用的 socket 添加或者更新到 sockethashmap中,程序的输入作为键值对的值。详细信息可参考中的。[^2]: 该辅助函数将msg转发到 socket map 中key对应的 socket。关注"云原生指北"微信公众号(转载本站文章请注明作者和出处。
eBPF/XDP实现防火墙功能
程序创坊
02-13 3851
eBPF/XDP实现防火墙功能
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码
iCloudEnd的博客
03-02 2001
介绍 Firewalls是一个重要的工具,可以配置为保护您的服务器和基础设施。防火墙的主要功能是过滤数据、重定向流量和防止网络攻击。既有基于硬件的防火墙,也有基于软件的防火墙。在这里我不会过多讨论背景,因为您可以在网上找到很多关于它的文档。 你有没有想过从头开始实现一个简单的迷你防火墙?听起来很疯狂?但借助 Linux 的强大功能,您可以做到这一点。看完本系列文章,你会发现其实很简单。 您可能曾经...
netfilter与iptables
moots
01-14 600
netfilter what?   (1) Netfilter是Rusty Russell提出的Linux 2.4 内核防火墙框架,框架既简介又灵活,可实现安全策略的很多功能,如DNAT、SNAT、数据包过滤,数据包处理等等。   (2) Netfilter与IP协议栈的关系:Netfilter是嵌入内核IP协议栈的一系列调用入口,设置在报文处理的路径上。Linux网络内核内置了5条链PREROU...
一文教你如何使用 eBPF 检测分析用户态程序
youzhangjing_的博客
11-05 1486
eBPF 彻底改变了 Linux 内核中的可观察性。在我之前的系列文章中,我介绍了eBPF 生态系统的基本构建模块,简要介绍了XDP,并展示了它与 eBPF 基础设施如何密切合作,以便在网络堆栈中引入一个快速处理的数据路径。然而,eBPF 并不只是用在内核空间跟踪。如果我们可以在生产环境中运行的应用程序上也能享受 eBPF 驱动的跟踪的,这是不是很好呢?这就是uprobes发挥作用的地方。可以将它们看作是一种kprobes,它加载到了用户空间跟踪点而不是内核符号。
使用ebpf 监控linux内核中的nat转换
qq_32783703的博客
10-06 453
Linux NAT(Network Address Translation)转换是一种网络技术,用于将一个或多个私有网络内的IP地址转换为一个公共的IP地址,以便与互联网通信。在k8s业务场景中,业务组件之间的关系十分复杂.由于 Kubernetes 的网络模型假设Pod之间访问时使用的是对方Pod 的实际地址,所以一个Pod内部的应用程序看到的自己的IP地址和端口与集群内其他Pod看到的一样。它们都是Pod实际分配的IP地址。
eBPF介绍
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
eBPF技术
qq_42944740的博客
03-16 6206
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值