[eBPF] sockops类型运行梳理

已于 2023-12-20 22:43:21 修改
阅读量606 收藏 6
点赞数 9
分类专栏: eBPF 文章标签: c语言 linux
于 2023-12-20 22:40:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sancpp/article/details/135118434
版权

[eBPF] sockops类型运行梳理

BPF_PROG_TYPE_SOCK_OPS程序类型

内核中socket事件(本质是各函数)中的埋点,能够在socket的生命周期每个节点执行BPF程序。

  • 进入Linux内核的commit
  • session定义SEC_DEF("sockops", SOCK_OPS, BPF_CGROUP_SOCK_OPS, SEC_ATTACHABLE_OPT)
  • 参数,由BPF_PROG_TYPE(BPF_PROG_TYPE_SOCK_OPS, sock_ops, struct bpf_sock_ops, struct bpf_sock_ops_kern)可知:bpf程序的入参是bpf_sock_ops,对应内核中的上下文是bpf_sock_ops_kern。
  • 使用场景:参考博客

示例代码

__section("sockops") // 加载到 ELF 中的 `sockops` 区域,有 socket operations 时触发执行
int bpf_sockmap(struct bpf_sock_ops *skops)
{
    switch (skops->op) {
        case BPF_SOCK_OPS_PASSIVE_ESTABLISHED_CB: // 被动建连
        case BPF_SOCK_OPS_ACTIVE_ESTABLISHED_CB:  // 主动建连
            if (skops->family == 2) {             // AF_INET
                bpf_sock_ops_ipv4(skops);         // 将 socket 信息记录到到 sockmap
            }
            break;
        default:
            break;
    }
    return 0;
}

Hook位置梳理

  1. tcp_output.c,中核心函数int tcp_connect(struct sock *sk)一开始就埋了点:
// https://elixir.bootlin.com/linux/v6.6.4/source/net/ipv4/tcp_output.c#L3946
/* Build a SYN and send it off. */
int tcp_connect(struct sock *sk)
{
	struct tcp_sock *tp = tcp_sk(sk);
	struct sk_buff *buff;
	int err;

	tcp_call_bpf(sk, BPF_SOCK_OPS_TCP_CONNECT_CB, 0, NULL);//此处埋点,去执行挂载在BPF_SOCK_OPS_TCP_CONNECT_CB下的bpf程序。

	if (inet_csk(sk)->icsk_af_ops->rebuild_header(sk))
		return -EHOSTUNREACH; /* Routing failure or similar. */
...

  1. BPF_SOCK_OPS_*宏:
    在源码中位置
    由源码中注释可知,这里是“已知 BPF sock_ops 运算符的列表”。
    在socket的阶段宏表示,可以在
    上面的BPF_SOCK_OPS_TCP_CONNECT_CB是“在初始化活动连接之前调用 BPF 程序”,符合直觉。
    由示例bpf程序可知,这个宏被包装在了上下文结构体中,op字段。在内核态ebpf程序中可以获取到。

  2. tcp_call_bpf(struct sock *sk, int op, u32 nargs, u32 *args)函数
    用于在内核socket处理链路中埋点。

// https://elixir.bootlin.com/linux/v6.6.4/source/include/net/tcp.h#L2409
static inline int tcp_call_bpf(struct sock *sk, int op, u32 nargs, u32 *args)
{
	struct bpf_sock_ops_kern sock_ops;
	int ret;

	memset(&sock_ops, 0, offsetof(struct bpf_sock_ops_kern, temp));
	if (sk_fullsock(sk)) {
		sock_ops.is_fullsock = 1;
		sock_owned_by_me(sk);
	}

	sock_ops.sk = sk;
	sock_ops.op = op;
	if (nargs > 0)
		memcpy(sock_ops.args, args, nargs * sizeof(*args));

	ret = BPF_CGROUP_RUN_PROG_SOCK_OPS(&sock_ops);
	if (ret == 0)
		ret = sock_ops.reply;
	else
		ret = -1;
	return ret;
}

其核心逻辑是将上下文封装成bpf_sock_ops_kern结构体,再调用BPF_CGROUP_RUN_PROG_SOCK_OPS宏(顾名思义,运行挂载的SOCK_OPS程序)。
后续链路:

// https://elixir.bootlin.com/linux/v6.6.4/source/include/linux/bpf-cgroup.h#L328
#define BPF_CGROUP_RUN_PROG_SOCK_OPS(sock_ops)				       \
({									       \
	int __ret = 0;							       \
	if (cgroup_bpf_enabled(CGROUP_SOCK_OPS) && (sock_ops)->sk) {       \
		typeof(sk) __sk = sk_to_full_sk((sock_ops)->sk);	       \
		if (__sk && sk_fullsock(__sk))				       \
			__ret = __cgroup_bpf_run_filter_sock_ops(__sk,	       \
								 sock_ops,     \
							 CGROUP_SOCK_OPS); \
	}								       \
	__ret;								       \
})


// https://elixir.bootlin.com/linux/v6.6.4/source/kernel/bpf/cgroup.c#L1510
int __cgroup_bpf_run_filter_sock_ops(struct sock *sk,
				     struct bpf_sock_ops_kern *sock_ops,
				     enum cgroup_bpf_attach_type atype)
{
	struct cgroup *cgrp = sock_cgroup_ptr(&sk->sk_cgrp_data);

	return bpf_prog_run_array_cg(&cgrp->bpf, atype, sock_ops, bpf_prog_run,
				     0, NULL);
}


// https://elixir.bootlin.com/linux/v6.6.4/source/kernel/bpf/cgroup.c#L31
static __always_inline int
bpf_prog_run_array_cg(const struct cgroup_bpf *cgrp,
		      enum cgroup_bpf_attach_type atype,
		      const void *ctx, bpf_prog_run_fn run_prog,
		      int retval, u32 *ret_flags)
{
	const struct bpf_prog_array_item *item;
	const struct bpf_prog *prog;
	const struct bpf_prog_array *array;
	struct bpf_run_ctx *old_run_ctx;
	struct bpf_cg_run_ctx run_ctx;
	u32 func_ret;

	run_ctx.retval = retval;
	migrate_disable();
	rcu_read_lock();
	array = rcu_dereference(cgrp->effective[atype]);
	item = &array->items[0];
	old_run_ctx = bpf_set_run_ctx(&run_ctx.run_ctx);
	while ((prog = READ_ONCE(item->prog))) {
		run_ctx.prog_item = item;
		func_ret = run_prog(prog, ctx);//!!!执行挂载在此处的ebpf程序
		if (ret_flags) {
			*(ret_flags) |= (func_ret >> 1);
			func_ret &= 1;
		}
		if (!func_ret && !IS_ERR_VALUE((long)run_ctx.retval))
			run_ctx.retval = -EPERM;
		item++;
	}
	bpf_reset_run_ctx(old_run_ctx);
	rcu_read_unlock();
	migrate_enable();
	return run_ctx.retval;
}

总结

BPF_PROG_TYPE_SOCK_OPS程序类型能够在socket处理流程中的关键路径上执行ebpf程序。

  • 基础:在内核源码中静态预埋点,在socket处理函数中调用tcp_call_bpf函数,最终执行挂载的bpf逻辑。
  • 内核对外透露出的信息(bpf程序的权限):tcp_call_bpf函数将上下文信息(sock结构体)封装成bpf_sock_ops_kern,最终透传出去,ebpf程序能够访问bpf_sock_ops中的字段。
  • 应用:可以重定向socket,绕过TCP/IP协议栈;修改socket参数(通过辅助函数)…
sancpp
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ebpf sockops 功能分析
already_skb的专栏
02-18 1652
ebpf sockops 实现原理 大家肯定好奇为什么通过ebpf sockops可以提取我们想要的数据 ? 正常来说实现方式有两种,第一种是关键路径上埋钩子函数;第二种是kprobe的粘贴插入。 ebpf sockops 是通过第一种实现的,在关键路径上埋钩子函数了,所以想要扩展功能难哦,一般在内核版本升级时可以提前规划埋好钩子函数。 ebpf sockops 支持那些功能 ebpf sockops支持那些功能(关键看在什么路径上埋了钩子函数),看 下面代码吧 ...
BPF程序类型及其原理
zhjwang的博客
08-05 6206
bpf都可以干啥 为了回到这个问题,我们在bpf.h中看到了一些bpf类型的枚举定义: enum bpf_prog_type { BPF_PROG_TYPE_UNSPEC, BPF_PROG_TYPE_SOCKET_FILTER, BPF_PROG_TYPE_KPROBE, BPF_PROG_TYPE_SCHED_CLS, BPF_PROG_TYPE_SCHED_ACT, BPF_PROG_TYPE_TRACEPOINT, BPF_PROG_TYPE_
ebpf sockops 代码解读
already_skb的专栏
02-19 1669
2032 static inline int tcp_call_bpf(struct sock *sk, int op, u32 nargs, u32 *args) 2033 { 2034 struct bpf_sock_ops_kern sock_ops; 2035 int ret; 2036 2037 memset(&sock_ops, 0, offsetof(struct bpf_sock_ops_kern, temp)); 2038 .
性能优化实战|使用eBPF代替iptables优化服务网格数据面性能
极客重生
02-10 1846
目前以 Istio[1] 为代表的服务网格普遍使用 Sidecar 架构,并使用 iptables 将流量劫持到 Sidecar 代理,优点是对应用程序无侵入,但是 Sidecar 代理会...
eBPF/sockmap实现socket转发offload
热门推荐
Netfilter
12-25 1万+
我们已经对eBPF将网络转发offload到XDP(eXpress Data Path)耳熟能详,作为Linux内核的一把 “瑞士军刀” ,eBPF能做的事情可不止一件,它是一个多面手。 socket数据offload问题 通过代理服务器在两个TCP接连之间转发数据是一个非常常见的需求,特别是在CDN的场景下,然而这个代理服务器也是整条路径中的瓶颈之所在,代理服务器的七层转发行为极大地消耗着单机性...
基于eBPF/XDP快速转发
04-02
同时,需要注意的是,eBPF程序需要具有足够的权限才能在内核中运行,可能需要通过cap_net_admin能力或者seccomp策略进行控制。 **第三章 实验示例** 为了验证和学习eBPF/XDP的功能,可以设置实验环境。实验的目标...
ebpf:用于Go的eBPF
02-03
它具有最小的外部依赖性,适合在长时间运行的进程中使用。 包含一个基本的汇编器 允许将eBPF附加到各种挂钩 允许读取PERF_EVENT_ARRAY 允许将eBPF嵌入Go 该库由和维护。 随时Slack上的频道。 当前状态 该软件包...
禁用某eBPF程序源代码
最新发布
06-02
eBPF 程序开发中,确保程序能够在各种不同的系统配置中兼容运行是至关重要的。本源码展示了如何使用libbpf的API接口将不存在的挂载点对应的eBPF程序禁止加载。这种方法不仅可以提升程序的灵活性,还能提高其在...
基于eadb的eBPF开发环境
04-23
在Android上搭建eBPF开发环境,同时也适用于Ubuntu20.04等发行版,支持bcc、bpftrace、libbpf等
eBPF从程序员角度出发中文翻译
03-20
**eBPF(Extended Berkeley Packet Filter)** 是一种在Linux内核中运行的高效、安全的虚拟机,它允许开发者编写内核级别的程序,而无需重新编译内核或重启系统。eBPF最初是为了扩展Berkeley Packet Filter,用于...
BPF程序类型
金荣的个人技术博客
03-09 1102
1 前言 根据BPF程序的主要目的,可以将其分为两类。一类是跟踪,一类是网络。 1.1 跟踪 跟踪类程序可以提供系统行为和系统硬件的直接信息。它们可以访问特定内存区域,从运行进程中提取执行跟踪信息。还可以直接访问为每个特定进程分配的资源,包括文件描述符、CPU和内存。 1.2 网络 网络类程序可以检测和控制系统的网络流量。它们可以对网络接口的数据包进行过滤,甚至可以完全拒绝数据包。可以将BPF程序附加到网络驱动程序接受数据包的网络事件上,也可以将BPF程序附加到数据包传递给用户空间的网络事件上。 2. BP
eBPF学习——抓取内核网络中的socket信息
金荣的个人技术博客
05-31 2473
bcc 是基于 LLVM 的工具集,用 Python 封装了底层机器相关的细节,bcc工具使得 eBPF 的使用更加方便,使用时内核探测代码用 C 写, 数据处理用 Python 。本文将使用 bcc工具抓取内核网络中的数据,包括抓取 backlog 信息、port 和 IP 信息、网络命名空间信息等。 eBPF 可以将任何内核函数调用转换成可带任何数据的用户空间事件。每当有程序监听 TCP socket,就得到一个事件通知。当在 AF_INET 和 SOCK_STREAM 类型的 socket 上调用系统
eBPF对TCP listen socket lookup的逻辑进行重定义
Netfilter
12-20 4618
eBPFLinux内核(其它OS内核对eBPF的支持,我不清楚,仅谈Linux)本身变得可编程,前面我已经展示了eBPF很多的trick用法,本文我来展示如何让eBPF干涉socket的查找。 我们知道,数据包到达四层后,会进行socket查找,以TCP为例,这个过程在tcp_v4_rcv函数中执行,所谓的查找过程就是一个简单的hash查找,然而hash查找算法的执行过程会随着输入数据的不同而产...
使用 eBPF 技术实现更快的网络数据包传输
hanfengzxh的博客
03-22 602
通过 eBPF 的引入,我们缩短了同节点通信数据包的 datapath,跳过了内核网络栈直接连接两个对端的 socket。这种设计适用于同 pod 两个应用的通信以及同节点上两个 pod 的通信。[^1]: 该辅助函数将引用的 socket 添加或者更新到 sockethashmap中,程序的输入作为键值对的值。详细信息可参考中的。[^2]: 该辅助函数将msg转发到 socket map 中key对应的 socket。关注"云原生指北"微信公众号(转载本站文章请注明作者和出处。
内核ebpf基础知识
开源&&分享
08-03 573
2014 年初,Alexei Starovoitov 实现了 eBPF(extended Berkeley Packet Filter)。经过重新设计,eBPF 演进为一个通用执行引擎,可基于此开发性能分析工具、软件定义网络等诸多场景。
使用 EBPF加速 ISTIO 数据平面
NewTyun的博客
01-25 1238
‍新钛云服已为您服务1382天介绍:服务网格是处理服务间通信的基础设施层。它负责构成现代云原生应用程序的复杂服务拓扑来可靠地交付请求。Istio 是迄今为止最受欢迎的服务网格,因为它有非常...
网易数帆对 CIlium 容器网络的探索和实践
NetEaseResearch的博客
07-30 1293
本文会深入介绍 Cilium,并澄清一些认知误区,然后给出网易数帆轻舟云原生团队是如何使用 Cilium 的。目前国内这方面深入解析材料较少,如果您也正在探究,希望这篇文章能给您带来帮助。
【译】Tanzu基于eBPF的service mesh加速
NUCEMLS的博客
10-15 388
istio基于eBPF对同一节点上pod间的访问加速
一文搞懂所有bpf程序分类
zhjwang的博客
06-01 3985
bpf的程序可以分为两大类:第一大类是tracing,可以帮助你更好的理解系统发生了什么,例如:cpu和内存的使用情况等。第二大类就是networking,主要可以帮助你检查和处理网络流量,它可以允许你filter或者reject网络数据包,不同的网络类型程序,可以发生在网络的不同阶段。 2.Socket Filter Programs BPF_PROG_TYPE_SOCKET_FILTER是第一个被添加到内核的程序类型。当你attach一个bpf程序到socket上,你可以获取到被socket处理的所有数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值