bcc钱包地址生成linux,从Bcc到xdp原理分析

最新推荐文章于 2025-04-26 04:39:16 发布
最新推荐文章于 2025-04-26 04:39:16 发布
阅读量663 收藏 1
点赞数
文章标签: bcc钱包地址生成linux

Bcc

Bcc是ebpf的编译工具集合,前端提供python/lua调用,本身通过c语言实现,集成llvm/clang,将ebpf代码注入,提供一些更人性化的函数给用户使用,比如函数的注入等,里面提供了很多xdp的例子,本文将从bcc xdp例子为入口,研究整个xdp的工作流程

附:ebpf框架(map作为用户态和内核态注入代码的通信(目前upstream xdp支持devmap、cpumap、xskmap),通过verfier检查,通过JIT即时翻译,底层有各种静态探针点,比如xdp,tracepoint,perf,也有动态探针点,比如kprobe)

8393417a57fb7293affbba03ea05c9ef.png

xdp注入流程

int xdp_redirect_map(struct xdp_md *ctx) {

void* data_end = (void*)(long)ctx->data_end;

void* data = (void*)(long)ctx->data;

struct ethhdr *eth = data;

uint32_t key = 0;

long *value;

uint64_t nh_off;

nh_off = sizeof(*eth);

if (data + nh_off > data_end)

return XDP_DROP;

value = rxcnt.lookup(&key);

if (value)

*value += 1;

swap_src_dst_mac(data);

return tx_port.redirect_map(0, 0);

}

int xdp_dummy(struct xdp_md *ctx) {

return XDP_PASS;

}

""", cflags=["-w"])

tx_port = b.get_table("tx_port")

tx_port[0] = ct.c_int(out_idx)

in_fn = b.load_func("xdp_redirect_map", BPF.XDP)

out_fn = b.load_func("xdp_dummy", BPF.XDP)

b.attach_xdp(in_if, in_fn, flags)

b.attach_xdp(out_if, out_fn, flags)

这个sample讲的是将in ifdev的包文redirect到out ifdev发出去(比如in为eth0,out为eth1),

in_fn = b.load_func(“xdp_redirect_map”, BPF.XDP) //加载xdp_redirect_map函数,返回prog_fd给in_fn

in_if就是eth0 dev设备

b.attach_xdp(in_if, in_fn, flags),//attach xdp

attach_xdp

调用逻辑

(bcc)/src/cc/libbpf.c bpf_attach_xdp(const char *dev_name, int progfd, uint32_t flags)

—(linux)/tools/lib/bpf/netlink.c bpf_set_link_xdp_fd(int ifindex, int fd, __u32 flags)

建立netlink socket,发送

req.nh.nlmsg_type = RTM_SETLINK

req.ifinfo.ifi_family = AF_UNSPEC

req.ifinfo.ifi_index = ifindex; //传入out ifindex

nla->nla_type = NLA_F_NESTED | IFLA_XDP

memcpy((char *)nla_xdp + NLA_HDRLEN, &fd, sizeof(fd)); //传入xdp_redirect_map的prog_fd

接受端:

(linux)/net/core/rtnetlink.c

rtnl_setlink

根据ifm->ifi_index查询本net namespace的dev(后面简称outdev)

-do_setlink

从xdp[IFLA_XDP_PROG_ID中获取到prog_fd

–dev_change_xdp_fd

dev_change_xdp_fd

调用dev_xdp_install安装xdp函数

这里会调用dev->netdev_ops->ndo_bpf(XDP_SETUP_PROG)

以i40e网卡驱动为例,调用:

i40e_xdp_setup

将vsi->xdp_prog赋值为prog_fd

将vsi->rx_rings[i]->xdp_prog赋值为prog_fd

这样后面调用vsi->rx_rings[i]->xdp_prog时,就会调用到用户注入的代码

xdp收包

以i40e为例,底层驱动收包流程如下

i40e_napi_poll

—i40e_clean_rx_irq_zc

——i40e_run_xdp

———bpf_prog_run_xdp

————BPF_PROG_RUN

—————(*(prog)->bpf_func)(ctx, (prog)->insnsi)//这里就是用户态注入的函数本例注入的xdp_redirect_map函数(vsi->rx_rings[i]->xdp_prog->bpf_func)

——————swap_src_dst_mac(data);//交换src dst的mac,这样src为eth0 mac,dst为原nc的mac

——————tx_port.redirect_map//tx_port的设置是通过map机制,为eth2的ifdex

———————bpf_xdp_redirect_map(这个怎么来的?xdp_verifier_ops->xdp_func_proto->BPF_FUNC_redirect_map->bpf_xdp_redirect_map_proto->bpf_xdp_redirect_map)

————————struct bpf_redirect_info *ri = this_cpu_ptr(&bpf_redirect_info);

————————ri->ifindex = ifindex;

————————WRITE_ONCE(ri->map, map);

————————返回XDP_REDIRECT

———xdp_do_redirect

————xdp_do_redirect_map

————— __xdp_map_lookup_elem//根据index和map获取到目标端口(eth1)的信息

—————__bpf_tx_xdp_map  //将xdp数据赋值到目标eth1 dev的xdp_bluk_quue(this_cpu_ptr(obj->bulkq)->q[blukq->count])里面,这里遗留个flag MEM_TYPE_ZERO_COPY用于零拷贝(这个feature引入的文章https://lwn.net/Articles/754659/)

—————ri->map_to_flush = map;//设置map_to_flush标志

—— i40e_finalize_xdp_rx(rx_ring, xdp_xmit);//将xdp_bluk_quue里面的

——— xdp_do_flush_map

————__dev_map_flush

————— bq_xmit_all

—————— ndo_xdp_xmit(dev, count,q) //调用目标eth1的xdp发包

xdp发包

ndo_xdp_xmit

i40e网卡对应i40e_xdp_xmit

调用i40e_xmit_xdp_ring往DMA发包,这样从eth0收到的包文,就直接通过eth1发出去啦。

参考文献

郭底迪
关注
Linux: kernel: eBPF & BCC & bpftrace & socket filter
mzhan017的博客
04-22 767
reference http://www.brendangregg.com/ kernel cmdline 设置 /kernel/bpf/syscall.c /* RHEL-only: default to 1 */ int sysctl_unprivileged_bpf_disabled __read_mostly = 1; static int __init unprivileged_bpf_setup(char *str) { unsigned long disabled; if (!kstrt
XDP/eBPF — 基于 eBPF 的 Linux Kernel 可观测性
烟云的计算
07-15 7329
目录 文章目录目录eBPF 的可观测性架构版本支持BCC60s 系列 BPF 版本生成火焰图排查网络调用来源 eBPF 的可观测性架构 BPF 观测技术相关的程序程序类型可能是 kprobes、uprobes、tracepoint、perf_events 中的一个或多个,其中: kprobes:实现内核中的动态跟踪。kprobes 可以跟踪到 Linux 内核中的导出函数入口或返回点,但是不是稳定 ABI 接口,可能会因为内核版本变化导致,导致跟踪失效。 uprobes:用户级别的动态跟踪。与 kpro
LinuxBCC 工具编写
Linoy
04-09 1587
LinuxBCC 工具编写 本实验参照该实验手册:linux-tracing-workshop 一、 setuidsnoop 查看 killsnoop.py, 这是一个简单的基于kprobe的工具,可将kprobe和kretprobe附加到该sys_kill函数. 在Enter探针中,记录了有关终止信号和目标进程的数据,在Return探针中,记录了操作结果,并将自定义结构提交给用户空间以进行显...
BPF Compiler Collection(BCC)——Linux 内核监控与性能分析的利器
gitblog_00006的博客
05-10 1120
BPF Compiler Collection(BCC)——Linux 内核监控与性能分析的利器 bcciovisor/bcc: 是基于 Linux eBPF 的新型网络分析工具,可用于 Linux 系统的性能监控、网络追踪和安全分析等领域。适合对项目地址:https://gitcode.com/gh_mirrors/bc/bcc BPF Compiler Collection,简称BCC,是...
零拷贝 (Zero-copy)
最新发布
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
04-26 783
零拷贝是现代高性能 I/O 的重要技术,通过减少数据在内核和用户空间之间的拷贝次数,显著提升了数据传输效率,是高并发服务器和大数据传输系统的关键优化手段。下面继续深入讲解零拷贝(Zero-copy),包括其在内核中的实现原理、常见的零拷贝技术对比、与 DMA 的关系、实际应用中的注意事项,以及在主流操作系统中的支持情况。
linux开源同步软件,bcc: BCC 是一个开源的 Linux 动态跟踪工具
weixin_42512494的博客
05-03 663
BPF Compiler Collection (BCC)BCC is a toolkit for creating efficient kernel tracing and manipulationprograms, and includes several useful tools and examples. It makes use ofextended BPF (Berkeley Pack...
bccBCC-用于基于BPFLinux IO分析,联网,监视等工具
02-07
BPF编译器集合(BCCBCC是用于创建有效的内核跟踪和操作程序的工具包,其中包括一些有用的工具和示例。 它利用扩展的BPF(伯克利数据包过滤器),正式称为eBPF,这是Linux 3.15首次添加的新功能。 BCC使用的大多数工具都需要Linux 4.1及更高版本。 eBPF被IngoMolnár为: 此循环中更有趣的功能之一是能够将eBPF程序(由内核执行的用户定义的沙盒字节码)附加到kprobes。 这样就可以在实时内核映像上进行用户定义的检测,而该映像永远不会崩溃,挂起或对内核产生负面影响。 BCC借助C中的内核工具(包括围绕LLVM的C包装器)以及Python和lua的前端,使BPF程序更易于编写。 它适用于许多任务,包括性能分析和网络流量控制。 屏幕截图 本示例跟踪磁盘I / O内核功能,并填充I / O大小的内核内2幂幂直方图。 为了提高效率,仅将直方图摘要返回到
Linux 内核 eBPF之BCC安装
m0_46380368的博客
07-04 741
版本:Ubuntu 20.04.6 LTSbcc 安装:sudo apt-get install bpfcc-tools linux-headers-$(uname -r)
bcc安装和基本工具使用说明
魏言华的博客
10-11 4867
目录 0. bcc安装 0.1 yum 安装 0.2 源码安装 1.cachestat 2.cachetop 3. funccount 4. trace 4.1 trace 4.2 trace查看它的传入的参数 bcc 提供的所有工具就都安装到 /usr/share/bcc/tools 这个目录中了。不过这里提醒你,bcc 软件包默认不会把这些工具配置到系统的 PATH 路径中,所以你得自己手动配置: $ export PATH=$PATH:/usr/share/bcc/too...
epbf原理篇 -------- epbf编程语言
happyAnger6的专栏
12-31 1425
1.6万字bpf正如上文中提到Linus对epbf的评价ebpf的强大的可编程性几乎可以最大程度地的满足我们性能分析、追踪、安全等各种需要。既然类似于一门编程语言,我们就可以从学习一门编程语言的角度来学习它。看看ebpf都提供给我们哪些编程便利.
awesome-ebpf:与eBPF相关的精选项目的精选列表
01-31
该列表包含了多个开源项目、教程、文档和工具,它们涵盖了从入门到高级的各个层次,有助于学习和实践eBPF技术。其中可能包括: 1. **教程与指南**:详尽的教程,如"BPF CO-RE介绍",帮助初学者理解eBPF的编译和加载...
LinuxBCC 性能工具的移植和使用
z20230508的博客
06-11 1539
BCC(BPF Compiler Collection)是一个用于创建高效的内核跟踪和操作程序的工具包,包含了几个有用的工具和示例。它利用了扩展的BPF(Berkeley Packet Filters),即eBPF,这是一个最早添加到Linux 3.15的新特性。大部分BCC所使用的功能要求Linux 4.1及以上版本。eBPF被Ingo Molnár描述为:在这个周期内更有趣的特性之一是能够将eBPF程序(用户定义的、在内核中执行的沙箱化的字节码)附加到kprobes上。
Linux bpf 2.1、bcc的实现
pwl999的博客
10-16 3662
bcc全称为(BPF Compiler Collection),它是模仿gcc(GNU Compiler Collection)的命名风格。 BPF是运行在内核态的一种虚拟机语言,我们在用户态可以通过Clang+LLVM把c语言编译成BPF目标码,然后通过加载器loader(bcc/perf/iproute2)将BPF目标码通过bpf()系统调用加载到内核当中,最后通过perf的ioctl命令PE...
linux动态追踪技术,BCC-Linux动态跟踪工具
weixin_33099377的博客
05-14 300
tools/argdist: Display function parameter values as a histogram or frequency count. Examples.tools/bashreadline: Print entered bash commands system wide. Examples.tools/biolatency: Summarize block dev...
性能分析与调优: Linux 安装基于BPF的bcc-tools系统性能工具库
cronaldo91的博客
01-07 1883
另一个原因是是由于内核版本的原因,kernel-5.4.X之后才会出现该问题。内核头文件中用 asm 替换 asm_inline即可,具体参考如下的BCC官网。如果kernel-devel 版本不一致导致的,建议下载跟操作系统内核版本对齐。(1)安装bcc-tools(内核必须升级到4.x版本以上,才可以使用。(4)再次查看已安装的内核依赖包。(3)查看当前可用的内核发行版本。执行cachestat命令报错。(1)查看当前系统的内核版本。(2)查看已安装的内核依赖包。(2)ELRepo官网地址。
Linux 可观测性 BPF&eBPF 以及 BCC&bpftrace 认知
伤心的辣条
01-15 1044
BPF 工具可以用来辅助性能分析和故障定位工作,有两个主要项目提供了这些工具:BCC和bpftrace。它们运行需的动态和静态插桩(跟踪)技术。
深入浅出 eBPF: (Linux/Kernel/XDP/BCC/BPFTrace/Cillium)
RToax
09-12 7350
【BPF入门系列-1】eBPF 技术简介 | 深入浅出 eBPF【BPF入门系列-1】eBPF 技术简介https://www.ebpf.top/post/bpf_intro_blog/ 目录 eBPF 技术简介 1. BPF 2. eBPF 2.1 eBPF 介绍 2.2 eBPF 架构(观测) 2.3 eBPF 的限制 2.4 eBPF 与内核模块对比 3. 应用案例 3.1 Linux 性能分析 60 秒 (BPF版本) 3.2slab dentry 过大导致的网络抖动排查 .
Linux 网络收包过程
hellozhxy的博客
07-07 1386
图1。
XDP类型的BPF程序
魏言华的博客
10-11 1368
经过上一节的内容,bpf程序和map已经加载到内核当中了。什么时候bpf程序才能发挥它的作用呢? 这就需要bpf的应用系统把其挂载到适当的钩子上,当钩子所在点的路径被执行,钩子被触发,BPF程序得以执行。 目前应用bpf的子系统分为两大类: tracing:kprobe、tracepoint、perf_event filter:sk_filter、sched_cls、sched_act、xdp、cg_skb 接下来分析XDP类型的bpf程序的绑定和触发过程 1.Loading via iprou..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值