eBPF 内存泄露检测原理

最新推荐文章于 2024-08-07 22:16:58 发布
最新推荐文章于 2024-08-07 22:16:58 发布
阅读量767 收藏 6
点赞数 20
分类专栏: eBPF 文章标签: linux arm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38232169/article/details/135432287
版权
本文详细介绍了eBPF内存泄露检测的原理,通过C语言示例展示如何利用内核态和用户态的eBPF获取堆栈信息,以及如何通过uprobe和uretprobe获取malloc和free操作的关键数据,从而实现内存泄露检测。
摘要由CSDN通过智能技术生成

eBPF 内存泄露检测原理

文章目录

视频讲解:

eBPF内存泄露检测原理

内存泄露检测的任务

测试程序 test_memleak.c

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

static void * alloc_v3(int alloc_size)
{
    void * ptr = malloc(alloc_size);
    
    return ptr;
}

static void * alloc_v2(int alloc_size)
{
    void * ptr = alloc_v3(alloc_size);

    return ptr;
}

static void * alloc_v1(int alloc_size)
{
    void * ptr = alloc_v2(alloc_size);

    return ptr;
}

int main(int argc, char * argv[])
{
    const int alloc_size = 4;
    void * ptr = NULL;
    int i = 0;

    for (i = 0; ; i++)
    {
        ptr = alloc_v1(alloc_size);

        sleep(2);

        if (0 == i % 2)
        {
            free(ptr);
        }
    }

    return 0;
}

内存泄露检测的任务,需要输出下面的报告:

stack_id=0x3f3 with outstanding allocations: total_size=12  nr_alloc=3
  0 [<0000555b65a096f2>] alloc_v3+0x18 test_memleak.c:8
  1 [<0000555b65a09711>] alloc_v2+0x15 test_memleak.c:15
  2 [<0000555b65a09730>] alloc_v1+0x15 test_memleak.c:22
  3 [<0000555b65a09770>] main+0x36 test_memleak.c:35
  4 [<00007fe8c8a7bc87>] __libc_start_main+0xe7
  5 [<05f6258d4c544155>]

报告的内容包含下面3个信息:

  1. 定位到内存泄露的代码段:函数名,文件名,行号;
  2. 泄露的内存总大小;
  3. 内存泄露的次数;

ebpf如何获取用户态堆栈?

ebpf获取到的堆栈示例:一组指令地址

//stack_id=0x3f3
[0000555b65a096f2,
 0000555b65a09711,
 0000555b65a09730,
 0000555b65a09770,
 00007fe8c8a7bc87,
 05f6258d4c544155]

第1种方法:获取堆栈和stack_id

// 内核态的ebpf
long bpf_get_stackid(void *ctx, void *map, __u64 flags);

/* stack_traces 是 BPF_MAP_TYPE_STACK_TRACE 类型的 maps
 * flags = 0 | BPF_F_FAST_STACK_CMP 表示获取内核态的堆栈
 * flags = 0 | BPF_F_FAST_STACK_CMP | BPF_F_USER_STACK 表示获取用户态的堆栈
 */
stack_id = bpf_get_stackid(ctx, &stack_traces, 0 | BPF_F_FAST_STACK_CMP | BPF_F_USER_STACK);

// 用户态的ebpf
/* 通过 bpf_map__lookup_elem 接口在 stack_traces maps中查找 stack_id 对应的 完整堆栈信息
 * stack_traces 是内核态ebpf代码中定义的maps
 * stack_id 是内核态ebpf通过 bpf_get_stackid 接口获取到的堆栈ID
 * stack_key_size 是stack_traces这个maps的key类型大小
 * out_stacks_arry 是用来存储 stack_id 对应的完整调用栈(一组指令地址)
 * out_stacks_arry_size 是 out_stacks_arry 的数组长度
 */
bpf_map__lookup_elem(skel->maps.stack_traces, \
                     &stack_id, stack_key_size, \
                     out_stacks_arry, out_stacks_arry_size, 0);

第2种方法: 只获取堆栈,不计算 stack_id

//参考:libbpf-bootstrap/examples/c/profile.bpf.c
long bpf_get_stack(void *ctx, void *buf, __u32 size, __u64 flags);

BPF_MAP_TYPE_STACK_TRACE 的解释:
http://arthurchiao.art/blog/bpf-advanced-notes-2-zh/#1-bpf_map_type_stack_trace

内核程序能通过 bpf_get_stackid() helper 存储 stack 信息。 
将 stack 信息关联到一个 id,而这个 id 是对当前栈的 
指令指针地址(instruction pointer address)进行 32-bit hash 得到的。

内存泄露检测原理

以 malloc 和 free 为例:

void *malloc(size_t size);
void free(void *ptr);

从 malloc 调用中可以提取到3个关键信息:

  • malloc 的内存大小 size (通过 uprobe 获取)
  • malloc 返回的内存指针 ptr (通过 uretprobe 获取)
  • 执行到 malloc 的 stack_id(在 uretprobe 中通过 bpf_get_stackid 接口获取)

从 free 调用中可以提取最关注的1个信息:

  • free 释放的内存指针 ptr(通过 uprobe 获取)

基本思路:

在每一个 malloc 调用的地方都记录一个统计信息,包括分配的内存总大小 和 分配次数

(如果代码中有2个不同地方调用malloc,就会有2个不同的统计信息)

  • 如果 malloc 成功,更新统计信息:增加内存总大小,分配次数加1
  • 如果 free 成功,更新统计信息:减少内存总大小,分配次数减1

最后通过遍历每一个malloc调用地方记录的统计信息,如果内存总大小或者分配次数不是0,就是有内存泄露!

static void * foo(int alloc_size)
{
    /* 1. alloc_size
     * 2. ptr
     * 3. 调用到这的 stack_id1
     * 统计信息1: 每一个malloc都对应1个stack_id, 每一个stack_id都对应1个统计信息
     */
    void * ptr = malloc(alloc_size);

    return ptr;
}

static void * bar(int alloc_size)
{
    /* 1. alloc_size
     * 2. ptr
     * 3. 调用到这的 stack_id2
     * 统计信息2: 每一个malloc都对应1个stack_id, 每一个stack_id都对应1个统计信息
     */
    void * ptr = malloc(alloc_size);

    return ptr;
}

int main(int argc, char * argv[])
{
    void * p1 = foo(4);
    void * p2 = bar(8);
    
    // 释放的内存指针 p1
    free(p1);

    return 0;
}

结构体和maps示例图:

在这里插入图片描述

张口就问
关注
专栏目录
PostgreSQL的学习心得和知识总结(一百三十五)|深入理解PostgreSQL数据库之查找 PostgreSQL C 代码中的内存泄漏
孤傲小二~阿沐的博客
04-02 1230
PostgreSQL数据库之查找 PostgreSQL C 代码中的内存泄漏
Linux负载CPU、内存、磁盘IO、网络IO状态分析详解
热门推荐
悦分享
08-13 2万+
和上面图是同一个链接:Linux 性能观测工具:Basic Tool有如下:高级的命令如下:Linux 性能测评工具:Linux 性能调优工具:linux性能观测工具:cppcheck(推荐)、Facebook的inferprofiling工具:gnu prof、Oprofile、(推荐)、perf、intel VTune、AMD CodeAnalystvalgrind、(推荐)、mtrace、dmalloc、ccmalloc、memwatch、debug_new。...
使用 eBPF检测 mmap泄露
weixin_42136255的博客
11-11 464
使用 eBPF检测 mmap泄露
bcc:调用栈采集的学习和使用
BuildUp
09-21 976
栈的ebpf
LWN:用BPF异步采集stack trace!
Linux News搬运工
07-01 1964
关注了就能看到更多这么棒的文章哦~Capturing stack traces asynchronously with BPFBy Daroc AldenJune 19, 2024LSFMM+BPFGemini-1.5-flash translationhttps://lwn.net/Articles/978736/Andrii Nakryiko 在 2024 年的Linux 存储、文件系统、内...
Linux 内核观测技术BPF
0 error(s)
03-12 2304
BPF允许任何人在Linux内核之中执行任意的代码,这听起来的十分危险,但是由于有着使得这一过程变的相当的安全。BPF时内核的一个模块,所有的BPF程序都必须经过它的审查才能够被加载到内核之中去运行。验证器执行的就是对BPF虚拟机加载的代码进行。这一步的目的是保证程序可以按照预期去结束,而不会产生死循环拜拜浪费系统资源。验证器会创建一个DAG(有向无环图),将BPF程序的每个执行首位相连之后去执行DFS(深度优先遍历),当且仅当每个路径都能达到DAG的底部才会通过验证。之后其会执行。
《BPF( 伯克利数据包过滤器 ) Performance Tools》 第二章 技术背景
weixin_55255438的博客
10-05 1877
下图是Sasha Goldshtein用户态预定义静态跟踪(user-level statically defined tracing, USDT)提供了一个用户空间版的跟踪点机制。BCC的USDT支持是Sasha Goldshtein实现的,bpfrace的USDT支持是由笔者和Matheus Marchini完成的。用户态的软件有很多与跟踪和日志相关的技术,而且许多应用程序自身也内置了自定义的事件日志系统,可以根据需要随时开启。USDT与众不同之处在于,它依赖于外部的系统跟踪器来唤起。
2023程序员秋招准备 c/c++Linux后端开发岗(简历/技术面)技能体系总结
m0_58687318的博客
08-27 2358
23年秋招已经打响了;同学们都有准备好了吗?现在就业环境怎么样就不用我说了吧;之前很多的贴说哀鸿遍野删了又写,写了又删。各个互联网大厂招聘情况都不堪入目;百度提前批基本只给了实习生,字节也缩招将近2/3,腾讯更是惨不忍睹,各大厂今年都不好过。秋招hc的数量情况,去年字节秋招8k个hc,今年只有3k个,美团去年1w左右,今年5k,百度去年8k,今年2k。今年很多就业辅导学员都投了研究所、央企、外企、车企、银行科技岗、芯片行业作为保底,这些行业待遇也能达到25-35万左右。............
全网最系统最全面的c/c++ Linux服务端开发高级架构师全能体系总结,他来了
m0_58687318的博客
08-19 2999
涵盖了linux C++服务端开发架构师每个阶段所需要学习的知识点。
【论文】NCScope: Hardware-Assisted Analyzer for Native Code in Android Apps
最新发布
weixin_52553215的博客
08-07 711
我们利用ARM平台的硬件特性ETM和Android系统的内核组件eBPF收集目标应用程序的真实执行轨迹和相关内存数据,并根据收集到的数据设计新的方法来审查本机代码。,是指为特定类型的处理器(如x86、ARM等)直接编写的,可以直接被该处理器的硬件执行的机器语言代码或接近机器语言的汇编代码。然而,在实际应用中,同时实现高保真和低开销往往是一个挑战。尽管已经设计了各种方法来分析应用程序使用的本机代码,但由于它们在 获取和分析 高保真执行跟踪和低开销内存数据 方面的局限性,它们通常会生成不完整和有偏差的结果。
BPF程序类型
process的博客
01-05 540
 ???? hello everyone !!!BPF没有明确的分类,可以将其分为两类:跟踪提供系统行为及系统硬件的直接信息。也可以访问特定程序的内存区域,从运行进程中提取执行跟踪信息,还可以访问进程分配的特定资源,文件描述符、cpu、内存。网络检测和控制系统的网络流量。可以对网络接口数据包进行过滤,甚至可以完全拒绝数据包。BPF程序可以附加到网络驱动程序接收数据包的网络事件中,也可以附加到数据包传递给用户空间的网络事件。man bpf 获得更多知识:BPF(2)  &nbsp
ebpf_bcc_tools之stacksnoop(跟踪进程指定内核函数堆栈调用信息)
ljbcharles的专栏
04-09 701
ebpf实用案例之跟踪进程指定内核函数堆栈调用信息
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(2)
phmatthaus的专栏
03-08 149
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(2)
基于eBPFLinux内存调试
qq_1335857320的博客
10-22 144
内核调试之内存管理
eBPF内存泄露检测代码实现v1
qq_38232169的博客
01-13 579
ebpf代码实现内存泄露检测工具的第一个简单版本,只检测 malloc 和 free,并打印简单的内存泄露堆栈信息
在 Android 中开发 eBPF 程序学习总结(三)
wangluoanquan111的博客
08-10 424
那么事件名就为test_main了,生成的相应目录就是。
eBPF监控工具bcc系列四工具argdist
weixin_33834075的博客
05-08 395
argdist工具用于探测指定的函数,并收集参数到一个直方图和频率计数器。可以在没有调试器的情况下,过滤并打印敢兴趣的参数,从而理解指定参数的分布图。 例如像知道一个应用中的内存分配块大小情况,可以指向如下: ./argdist -p 2420 -c -C 'p:c:malloc(size_t size):size_t:size' 如果要变成柱状图,...
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(1)
phmatthaus的专栏
03-08 321
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(1)
[大厂实践] DoorDash基于eBPF的监控实践
残星说梦话
12-26 520
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。在此之前,我们使用的是fentry版本的探针,但由于我们用的是基于ARM的Kubernetes节点,而当前的Linux内核版本不支持基于ARM架构优化的入口探测,所以改用kprobe。我们对新的见解感到兴奋,这促使我们扩展BPFAgent,以支持网络流量监视之外的其他用例。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值