使用eBPF 技术进行四层网络监测

已于 2022-11-28 11:30:35 修改
阅读量1.3k 收藏 6
点赞数
文章标签: 网络
于 2022-11-17 14:42:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luisun66666/article/details/127903004
版权

互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。

今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。

在这里插入图片描述
图片来源于lixiangchibang《网络七层及四层协议通俗详解》

eBPF是一个能够在内核运行沙箱程序的技术,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。本片就将提供一种基于 eBPF 的网络监测实践。

工具

工具名称:DataKit

DataKit是 “观测云” 开源的、一体式的数据采集 Agent,提供全平台操作系统支持,拥有全面数据采集能力,涵盖基础设施、指标、日志、应用性能、用户访问以及安全巡检等各种场景。通过引入 eBPF 技术,DataKit 实现了网络传输层和应用层的部分协议的可观测。

开源地址:https://github.com/GuanceCloud/datakit 

DataKit 采集器架构

  • 采集管理:配置加载模块用于配置动态管理与采集插件的开启关闭;监视器模块用于查看采集器资源使用、采集插件开启、数据处理器脚本工作状况、采集器外部数据接入API 的响应与延迟信息等
  • 数据采集:采集器不仅可以通过内置插件进行数据采集,还能接入外部数据源,如云原生计算基金会下的可观测项目 OTEL 的链路、指标数据等
  • 数据清洗:在采集插件生成数据后和数据上传之间的数据清洗层,用户可以通过编程介入,如使用可编程数据处理器的语言编写脚本修改 Point ,使用内置函数分析提取网络数据中 IP 归属的城市、省份和国家到 Point 中;脚本支持动态加载和卸载
  • 数据上传:采集器对各种数据进行分类上传,类别有日志、指标、链路、网络等,所有类别的数据均使用 Point 结构封装,每一个 Point 代表一条数据,大致由四个部分:名字、 标签字典、字段字典以及时间戳构成 (其名字可以是指标名 cpu, 日志来源 nginx ,网络的 httpflow等)

eBPF 技术应用

DataKit 采集器使用了三种类型的 eBPF 程序:socket filter、kprobe、uprobe,能够抓取以太网帧、跟踪与 socket 和 TCP/IP 协议栈相关的内核函数以及用户共享库函数,实现网络协议可观测。下图介绍 DataKit 采集器如何实现 eBPF 技术进行主机上的网络观测。

以上示意图自上而下被分为了用户空间和内核空间两部分。操作系统内核运行在内核空间;用户应用程序运行在用户空间,用户空间的程序通常无法直接访问内核空间的内存。

上图的左侧,以 OSI 七层网络模型为参考,传入的网络数据包从第二层的链路层到第三层的网络层,再到第四层的传输层,这一过程数据包通常由内核传递和处理。而应用层协议如 HTTP 等将交由用户空间应用处理。

上图中的 BSD Socket 联系用户空间和内核空间,用户空间应用可通过创建不同的套接字来获取从链路层、网络层、传输层的网络数据包。

DataKit 采集器通过创建套接字地址族为 AF_PACKET 的原始套接字来抓取链路层数据包即以太帧,以太帧包含源和目标的 MAC 地址、网络层的 IP 地址、传输层的端口号以及上层的数据。对于应用层 HTTP 和 DNS 协议,通过加载 socket filter 类型 eBPF 程序过滤出 HTTP 或 DNS 协议数据包。在这一过程中直接通过 eBPF 程序在内核中解析以太帧中的应用层 HTTP 协议数据中的 HTTP 头,以获取 HTTP 请求路径、HTTP 状态码等信息。而对于 DNS 协议,在 DataKit 采集器内解析获取到数据包,收集 DNS 请求响应信息和 DNS 状态码。

由于 HTTPS 协议使用 HTTP 协议进行通信,但是经过 SSL/TLS 加密,其数据包在抵达传输层之前就已经完成了对应用层的 HTTP 数据的加密;使用 uprobe 类型程序跟踪用户空间的某些用于 TLS 加解密的共享库中的函数,如 ssl_read 输入于返回来获取 HTTP 协议数据,这样可以在 HTTP 协议数据被加密前和解密后进行协议解析。

上图的右侧为 DataKit 采集器使用 kprobe 类型程序跟踪的 socket 、TCP/IP 协议栈等相关内核函数来观测传输层协议,通过 inet_bind 函数判断某个端口是否被应用所监听,并通过跟踪其他的内核函数来获取 tcp和 udp 协议的收发字节数和 tcp 协议的重传、时延等信息。

数据采集

DataKit 采集器的 eBPF 网络观测功能采集并生成了三个数据集,分别为 netflow, dnsflow 和 httpflow,其 tag 基本相同,以下是其 tag 名与描述。

Tag 

描述

src_ip

源 IP

dst_ip

目标 IP

src_port

源端口

dst_port

目标端口

transport

tcp 或 udp

family

IPv4 或 IPv6

direction

传输方向(incoming/outgoing)

src_ip_type

源 IP 类型 (other/private/multicast)

dst_ip_type

目标 IP 类型 (other/private/multicast)

host

主机名

source

数据源(netflow,httpflow,dnsflow)

pid

进程 id,仅 netflow

dst_domain

仅 netflow,来自 dnsflow 抓包记录

src_k8s_namespace

源 service 归属的 namespace

src_k8s_deployment_name

源 serivce 归属的 deployment

src_k8s_service_name

源 service

src_k8s_pod_name

源 pod

dst_k8s_namespace

目标 service 归属的 namespace

dst_k8s_deployment_name

目标 serivce 归属的 deployment

dst_k8s_service_name

目标 service

dst_k8s_pod_name

目标 pod

sub_source

子来源,默认 N/A,如若为 Kubernetes 流量则为 K8s。

传输层网络观测

  • 采集器使用 kprobe 类型 eBPF 程序获取部分内核函数的输入与返回值
  • 通过 inet_bind(6) 函数判断 src_ip + src_port 是否为服务端
  • 通过协议栈 tcp\udp 以及 ip 相关的内核函数,获取服务与客户端之间的流量大小以及 TCP 协议的连接的建立与关闭次数、重传和 RTT 信息

Field 

描述

bytes_read

接收字节数

bytes_written

发送字节数

retransmits

重传次数

rtt

rtt

rtt_var

rtt_var

tcp_closed

TCP 连接关闭次数

tcp_established

TCP 连接建立次数

应用层网络观测

  • 采集器使用 AF_PACKET + BPF 在采集器上分析 DNS 请求,以支持 CentOS(RedHat)7.6 (其不支持 socket filter 类型 eBPF 程序),记录请求信息支持 netflow 进行域名反向解析;
  • 对于 HTTP 请求使用 socket filter 和 uprobe 类型 eBPF 程序实现 HTTP(S) 请求分析。

下面的为采集 dns 协议生成的字段 和 http 协议生成字段。

Field 名(dns)

描述

count

一个采集周期内的请求总数

latency

DNS 平均请求响应时间间隔

latency_max

DNS 最大请求的响应时间间隔

rcode

DNS 响应码: 0 - NoError, 1 - FormErr, 2 - ServFail, 3 - NXDomain, 4 - NotImp, 5 - Refused, ...

Field 名(http)

描述

count

一个采集周期内的请求总数

http_version

1.1 / 1.0 ...

latency

TTFB

method

GET/POST...

path

请求路径

status_code

状态码,如 200, 301, 404 ...

truncated

请求路径长度达到采集的(约 150)字节上限,存在截断可能

用户地理分布及 TCP 时延

通过内置数据处理器编写脚本,来解析 ip 并获取 ip 归属的省份、国家等信息作为标签追加到生成的 Point 上,在观测云创建仪表板,可通过下图的世界地图和中国地图展示 netflow 中客户端 ip 的地理分布和服务端之间的 tcp 时延。

主机间四层网络拓扑

下图为部署了 DataKit 采集器并开启了 eBPF 网络采集器的主机间的网络拓扑图,图上我们可以看到主机间的数据发送与接受的字节数和网络波动等信息。

K8S Pod 间网络拓扑

当 eBPF 采集插件获取到 K8S 的 ip 和端口信息后将自动追加到生成的数据上,通过观测云可构建不同的网络拓扑图,下图是构建的 Pod 网络拓扑关系图。

K8S Deployment 间网络拓扑

下图是构建的 Deployment 网络拓扑图,从图中可以看到 nginx deployment 上的 HTTP 协议的每秒请求数和请求错误率。

一路孙
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于eBPF的开源项目
eBPF_Kindling的博客
04-29 908
引言 真正意义上的eBPF技术虽然诞生还不到十年时间(2014年首次提出eBPF概念),但已经发展成为当下炙手可热的技术。去年8月,由微软、谷歌、Facebook(已更名为meta) 等公司联合成立了eBPF基金会,大力发展eBPF技术。最近几年,eBPF技术在国内也得到了广泛应用,很多大厂也开始关注并采用eBPF技术eBPF简介 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的小伙伴对BPF应该比较了解,它通过特定的语法
使用 eBPF 增强监控和可观测性
观测云的博客
06-16 1091
将代码注入 Linux 内核的能力开辟了一个全新的可能性世界。您可以轻松改进很多东西——安全性、网络、可观测性等等。BPF(伯克利包过滤器)使您能够编写可以从内部利用 Linux 内核功能的程序。BPF 传统上用于在将原始网络数据包发送到用户空间之前对其进行过滤,以提高系统的整体安全性。eBPF是 BPF 的扩展版本,具有一系列安全实现,以防止 BPF 程序破坏内核。在本指南中,您将了解如何使用 eBPF 在基于 Kubernetes 的基础架构中实现增强的可观测性。eBPF 代表扩展 BPF。顾名思义,它
eBPF可观测之网络流量控制和管理traffic control浅尝
最新发布
kingu_crimson的博客
05-28 866
首先发表一个"暴论"eBPF在可观测方面的应用,就是各种google。不需要学习内核,只要掌握ebpf开发套路。好比你开发 web 开发网站, 你了解socket 底层和内核吗?一样不了解。知道怎么调用就行了。而且 eBPF 的开发也没多少复杂度, 更多的是 在内核态拦截(简化的c语言) 内核数据(不管是网络数据还是tracepoint数据), 最终都是要发给用户态(可以理解为java、golang),然后用户态具体做业务处理。所以c语言也不需要怎么学,学了也没啥用。
ebpf简介
热门推荐
qq_27749613的博客
05-04 1万+
@TOC[] 什么是eBPF eBPF 是什么呢? 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。顾名思义BPF来源于伯克利大学, 最早应用于网络数据包过滤器,它比当时最先进的抓包技术快20倍,其主要得利于它的两个设计: 内核态引入一个新的虚拟机,所有指令都在内核虚拟机中运行。 用户态使用 BPF 字节码来定义过滤表达式,然后传递给内核
深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布
阿里巴巴云原生的博客
03-10 2985
当前,云原生技术以容器技术为基础,通过标准可扩展的调度、网络、存储、容器运行时接口来提供基础设施。
【博客577】使用ebpf工具nettrace追踪网络包流向
qq_43684922的博客
01-08 2217
nettrace是一款基于eBPF的集网络报文跟踪(故障定位)、网络故障诊断、网络异常监控于一体的网络工具集,旨在能够提供一种更加高效、易用的方法来解决复杂场景下的网络问题。网络报文跟踪:跟踪网络报文从进入到内核协议栈到释放/丢弃的过程中在内核中所走过的路径,实现报文整个生命周期的监控,并采集生命周期各个阶段的事件、信息。通过观察报文在内核中的路径,对于有一定内核协议栈经验的人来说可以快速、有效地发现网络问题。
Caretta 利用 eBPF 实现 Kubernetes 应用网络拓扑
tanjunchen的博客
06-21 1519
Caretta 是一种轻量级的独立工具,快速展示集群中运行的服务可视化网络图。Caretta 利用 eBPF 有效地展示 K8s 集群中的服务网络交互图,并利用 Grafana 查询和可视化收集的数据。科学家们早就知道,海龟和许多动物一样,通过感应磁场中看不见的线在海上航行,类似于水手使用纬度和经度的方式。
Linux网络报文捕获/抓包技术对比:napi、libpcap、afpacket、PF_RING、PACKET_MMAP、DPDK、XDP(eXpress Data Path)
RToax
10-25 6674
Table of Contents 1.传统linux网络协议栈流程和性能分析 协议栈的主要问题 针对单个数据包级别的资源分配和释放 流量的串行访问 从驱动到用户态的数据拷贝 内核到用户空间的上下文切换 跨内存访问 2. 提高捕获效率的技术 预分配和重用内存资源 数据包采用并行直接通道传递. 内存映射. 数据包的批处理. 亲和性与预取. 3. 典型收包引擎 3.1 libpcap 3.2 libpcap-mmap 3.3 PF_RING 3.4 PACKET_MMAP
01 张晓辉-使用 eBPF 实现多集群的流量调度.pdf
06-20
使用 eBPF 实现多集群的流量调度
hubble:哈勃-使用eBPF的Kubernetes的网络,服务和安全性可观察性
02-03
Kubernetes的网络,服务和安全性可观察性 什么是哈勃? Hubble是一个用于云原生工作负载的完全分布式的网络和安全性可观察性平台。 它建立在和的基础上,以完全透明的方式深入了解服务以及网络基础结构的通信和行为...
基于eBPF/XDP快速转发
04-02
通过这些章节,我们可以深入理解eBPF/XDP技术如何提高网络性能,以及如何在实际环境中部署和使用eBPF/XDP的高效转发能力使其成为现代数据中心和云环境优化网络性能的重要工具。对于网络工程师和内核开发者来说,...
pprof-ebpf:使用ebpf生成pprof格式配置文件的探查器
05-11
通过在Linux内核中运行eBPF程序,可以收集关于程序执行的详细信息,并将其转换为pprof兼容的格式,进一步使用`pprof`工具进行分析。 **eBPF技术** eBPF是Linux内核的一项功能,它允许开发者安全地在内核中注入小型...
kube-netc:Kubernetes eBPF网络监视器
05-25
kube-netc(发音为kube-net-see )是使用eBPF构建的Kubernetes网络监视器 入门 为了测试kube-netc的当前功能,本指南将引导您查看节点的网络统计信息。 安装kube-netc 首先,使用install.yaml安装守护程序集: ...
强大的MATLAB机器人工具箱Matlab_Robotic_Toolbox_v9.8及教程
gumenghua_com1的博客
01-06 2548
强大的MATLAB机器人工具箱Matlab_Robotic_Toolbox_v9.8及教程 Matlab_Robotic_Toolbox_v9.8是一个功能强大的机器人工具箱,包含了机器人正、逆向运动学,正、逆向动力学,轨迹规划等等,其中的可视化仿真使得学习抽象的机器人学变得相对直观、好理解。学习这个工具箱,对理解机器人学很有帮助。 工具箱的安装:将Matlab_Robotic_Toolbox_v9.8.rar解压后,放在matlab的安装目录下,最好是放在toolbox文件夹里,利用matlab的工具栏
eBPF开发入门】案例(一)之监控网络流量
qq_40695381的博客
11-09 453
确保你的系统上安装了必要的eBPF工具,包括bcc库。此外,需要对网络配置有基本了解,并具有适当的权限来捕获网络数据包。
使用ebpf分析网络报文传输时延
dillanzhou的博客
08-31 2442
最近需要分析某个链路上的单向网络延迟,数据的发送端使用一个用户态协议栈,而接收端则使用linux内核协议栈。获取延迟的方式是在发送端在发送报文的尾部添加一个发送时间戳,在接收端获取报文后将接收端时间戳与发送时间戳进行对比,从而获得中间的延迟时间。由于发送端和接收端位于同一设备(使用不同的网卡),又分别处于用户态和内核态,因此使用了两端都能高性能访问的tsc时钟作为时间戳来源。 为了在接收端尽可能...
基于 eBPF 的 prometheus 监控方案
金荣的个人技术博客
04-13 4417
从最新资源构建二进制文件: $ go get -u -v github.com/cloudflare/ebpf_exporter/... cp -ip go/bin/ebpf_exporter /usr/local/bin/ebpf_exporter 运行一个示例: $ sudo ebpf_exporter --config.file=src/github.com/cloudflare/ebpf_exporter/examples/bio.yaml 输出结果如下: 浏览器访问9435端口,输出结
2024 年 eBPF网络趋势预测
dwh0403的专栏
01-27 754
在将来作者预测会有更多的 eBPF 应用在移动设备上的使用案例,不仅限于安卓设备。观测集群中发生的一切将会带来巨大的数据量,这将会显著增加可观测性的成本开销,特别是涉及数百个 Kubernetes 集群和数十万个 Pod 场景中。有趣的是,另一种流行的云原生技术 Wasm 也有类似的说法,Wasm 提供了一个能够在 Web 浏览器中运行 C/C++、C# 和 Rust 程序的抽象。的目标是确保 eBPF 程序安全运行,并防止危险行为,但随着 eBPF技术广泛的应用,可能会出现某些形式的漏洞被利用。
基于ebpf统计docker容器网络流量
xyin_kevin的博客
12-10 4667
Linux下统计网络带宽的工具很多,但大部分是按网卡、进程、IP维度进行统计。统计容器维度的网络流量,虽然可在容器的namespace查看,或者由cgroup提供的net_cls做标记再配合iptable统计,但使用起来并不方便,这里介绍一种基于ebpf来统计容器维度网络流量的办法,以及使用时遇到的坑。 原理与实现 ebpf的原理不再介绍了,用来做流量统计,最大的优势是十分灵活,能够根据需求对统计项目进行定制。基本原理就是记录内核中各网络相关函数的参数,再按不同维度,如 cgroupID, 进程,IP地
使用eBPF作为工具的网络服务行为监测系统的国内外研究现状
05-18
近年来,eBPF技术网络服务行为监测领域得到了广泛应用,并且在国内外都有相关的研究和实践。 国外方面,Facebook公司开源了名为“Katran”的高性能负载均衡器,其中就使用eBPF技术进行网络服务行为监测和控制。此外,Cloudflare公司也在其边缘计算平台WARP中使用eBPF技术进行网络流量监测和过滤。 在国内,阿里巴巴开源了一款名为“SkyWalking”的APM工具,其中使用eBPF技术对Java应用程序进行网络服务行为监测和分析。华为公司也在其云原生操作系统HarmonyOS中使用eBPF技术进行网络服务行为监测和安全防护。 此外,国内的一些科研机构也在eBPF技术的基础上进行了相关研究。例如,中国科学院软件研究所的研究人员提出了一种名为“eBPF-IDS”的网络入侵检测系统,其中使用eBPF技术进行网络流量监测和行为分析。 总体来说,eBPF技术网络服务行为监测领域已经得到了广泛应用和深入研究,未来随着技术的不断发展,eBPF技术网络服务行为监测领域的应用也将越来越广泛。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值