[crash分析]slab内存重叠导致的crash问题

最新推荐文章于 2021-05-28 10:34:55 发布
最新推荐文章于 2021-05-28 10:34:55 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: C Linux Kernel Crash 文章标签: 内核 rcu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqjcool/article/details/108330037
版权

公司设备升级新版本后,出现了crash,描述"general protection fault: 0000 [#1] SMP ",初步看来是访问了异常地址。

异常栈如下:

PID: 945    TASK: ffff880079231f60  CPU: 0   COMMAND: "config_t/0"
 #0 [ffff88001037f9d0] machine_kexec at ffffffff81059bab
 #1 [ffff88001037fa30] __crash_kexec at ffffffff81105812
 #2 [ffff88001037fb00] crash_kexec at ffffffff81105900
 #3 [ffff88001037fb18] oops_end at ffffffff8168fdc8
 #4 [ffff88001037fb40] die at ffffffff8102e93b
 #5 [ffff88001037fb70] do_general_protection at ffffffff8168f6be
 #6 [ffff88001037fba0] general_protection at ffffffff8168ef68
    [exception RIP: _T_StatsCopy+71]
    RIP: ffffffffa051a117  RSP: ffff88001037fc58  RFLAGS: 00010297
    RAX: ffff88007fc00000  RBX: ffffffff81ae6340  RCX: 029d5fcc029d5fcc
    RDX: 0000000000000000  RSI: 0000000000000001  RDI: 0000000000000000
    RBP: ffff88001037fca0   R8: ffffffff81ae6340   R9: 000060ff7f232f90
    R10: 00000000000074a8  R11: 0000000000032c89  R12: ffff880002bdb3d0
    R13: 0000000000000001  R14: ffffc90000448020  R15: 0000000000000000
    ORIG_RAX: ffffffffffffffff  CS: 0010  SS: 0018
 #7 [ffff88001037fca8] _T_StructCopy at ffffffffa051adf2 [testmod]
 #8 [ffff88001037fcf8] T_StructCopy at ffffffffa0519303 [testmod]
 #9 [ffff88001037fd08] T_ConfFunc at ffffffffa0515994 [testmod]
#10 [ffff88001037fea0] T_ConfThread at ffffffffa0594625 [testmod]
#11 [ffff88001037fec8] kthread at ffffffff810b0a4f
#12 [ffff88001037ff50] ret_from_fork at ffffffff81697518

从crash位置指令看是访问Src struct结构的Stat指针,值为 029d5fcc029d5fcc,这是直接导致问题的原因。那么为什么会得到错误的值呢?

从寄存器 R12中找到 Src struct指针:ffff880002bdb3d0;
从堆栈中找到Dst struct的指针: ffff880002bdb428。
因为Src struct和Dst struct都是 slab kmalloc-192 中申请的,内存块的大小是192字节。而Dst struct和Src struct的差距只有58个字节。也就是说Dst struct和Src struct产生了部分重叠。

Src struct和Dst struct指向的地址空间内容

crash> rd ffff880002bdb3c0 32
ffff880002bdb3c0:  000000004a41434b 00000000000000a4   KCAJ............
ffff880002bdb3d0:  0000000502907300 0000017400000000   .s..........t...      //ffff880002bdb3d0 Src
ffff880002bdb3e0:  0263026300000000 000005011e010101   ....c.c.........
ffff880002bdb3f0:  029d5fcc029d5fcc ffff88001dcf27b8   ._..._...'......
ffff880002bdb400:  ffffc90000448020 0000000000000000    .D.............
ffff880002bdb410:  0000000000000000 000000004a41434b   ........KCAJ....
ffff880002bdb420:  00000000000000a4 0000000502907300   .........s......    //ffff880002bdb428 Dst
ffff880002bdb430:  0000017400000000 0263026300000000   ....t.......c.c.
ffff880002bdb440:  000005011e010101 029d5fcc029d5fcc   ........._..._..    //ffff880002bdb448 Stats内容029d5fcc029d5fcc
ffff880002bdb450:  ffff88001dcf27b8 ffffc90000448020   .'...... .D.....
ffff880002bdb460:  0000000000000000 0000000000000000   ................
ffff880002bdb470:  000000004a41434b 00000000000000a4   KCAJ............
//正常应该在这里结束,因为copy 重叠,将Src的内容覆写。
ffff880002bdb480:  0000000502907300 0000017400000000   .s..........t...
ffff880002bdb490:  0263026300000000 000005011e010101   ....c.c.........
ffff880002bdb4a0:  000060ff7f232f90 000060ff7f232c8c   ./#..`...,#..`..
ffff880002bdb4b0:  ffffc90000448020 0000000058494e47    .D.....GNIX....

将Src struct拷贝到Dst struct时,因为内存有重叠。导致Dst struct和Src struct重叠的部分被写坏了,最终导致访问这部分内容时,异常crash。

那么Dst struct指针为什么会异常呢?Dst struct结构也是kmem_cache_alloc创建的,是从slab上申请的。造成申请出的指针异常,只有可能是上次释放时传入的指针错误,导致这个错误的指针被放入到slab的freelist链上。下次申请struct的时候得到了这个错误的指针,然后进行操作导致问题发生。

查看相关代码,发现最近有个修改存在一个并发问题,导致struct内存释放时,又会调用call_rcu将struct挂到rcu的nxtlist上,等到静默期过后,执行struct的rcu func,将struct挂到一个hash链表上。

但是因为struct已经被释放了,在某个时刻被申请后整块内存置0,也就是rcu_head的 next和func都为0。

静默期后,在__rcu_reclaim中执行struct的callback处理, 因为func为0 < 4096,被当作要kfree的结构,通过rcu_head指针-(func值代表的偏移)来得到要释放结构的内存块指针,然后执行kfree。

static inline bool __rcu_reclaim(char *rn, struct rcu_head *head)
{
 unsigned long offset = (unsigned long)head->func;

 if (__is_kfree_rcu_offset(offset)) {
  RCU_TRACE(trace_rcu_invoke_kfree_callback(rn, head, offset));
  kfree((void *)head - offset);
  return 1;
 } else {
  RCU_TRACE(trace_rcu_invoke_callback(rn, head));
  head->func(head);
  return 0;
 }
}

导致将struct的 rcu_head指针当作了内存块的指针进行kfree释放操作,该指针放到了slab的freelist链表中,等到下次申请struct内存时,得到了这个错误的指针。

Dst struct的指针正好在Src struct的rcu_head位置。

后记:

  1. 从问题中我们发现kfree也可以释放kmem_cache_alloc申请的内存。
  2. kfree和kmem_cache_free传入错误的指针,内核并不会第一时间发现,只是在后面会造成不可预知的错误。
浮沉飘摇
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Glib中slab内存管理算法实现
07-25
在嵌入式系统中,内存碎片是一个很棘手的问题。slab内存管理算法具有分配和释放内存速度迅速、内外部碎片非常小等优点。本文通过分析glib中slab内存管理算法,阐明了其管理内存的实现机制。
Linux内存泄漏扫描as,Linux-3.14.12内存管理笔记【内存泄漏检测kmemleak分析
weixin_34335039的博客
05-06 349
kmemleak的工作原理很简单,主要是对kmalloc()、vmalloc()、kmem_cache_alloc()等接口分配的内存地址空间进行跟踪,通过对其地址、空间大小、分配调用栈等信息添加到PRIO搜索树中进行管理。当有匹配的内存释放操作时,将会把跟踪的信息从kmemleak管理中移除。通过内存扫描(包括对保存的寄存器值),如果发现某块内存在没有任何一个指针指向其起始地址或者其空间范围,那...
slab memory的错误类型(1)
u011279649的专栏
01-07 1408
/********************************************************************/ 测试代码: int slab_test(void) {     void *object;     pr_err("slab_test: Cache name is %s\n", my_cachep->name);     pr_err("s
Linux内存管理十三 Linux slab分配器
caofengtao1314的专栏
05-28 523
Linux中,伙伴系统是以页为单位分配内存。但是现实中很多时候却以字节为单位,不然申请10Bytes内存还要给1页的话就太浪费了。slab分配器就是为小内存分配而生的。slab分配器分配内存以Byte为单位。但是slab分配器并没有脱离伙伴系统,而是基于伙伴系统分配的大内存进一步细分成小内存分配。 走进slub ...
linux内核损坏的原因,Linux内核报错“General protection fault”原因
weixin_36127579的博客
05-01 3619
Linux系统中,偶尔遇到内核报告”General protection fault”或#GP Fault,然后panic,系统宕机。在Intel编程手册中指出,General protection fault中断号为13,表示内存访问或保护检查出现异常。14号中断就是我们所熟悉的页面异常。12#SSStack-Segment FaultFaultYesStack operations and ...
Linux内核运行时错误:general protection fault
SweeNeil
03-12 1万+
最近帮师兄做内核实验,错误不断,由于是修改的内核代码,所以经常遇到错误排查起来都比较麻烦,刚解决了一个问题下一个问题就又出现了。 直接上新问题的描述:general protection fault 这是通过dmesg打印出的保存信息,具体报错内容如下: [ 133.160958] general protection fault: 0000 [#1] SMP PTI …… [ 133...
Linux中的内存分配和释放之kmem_cache_alloc()函数分析
热门推荐
satanwxd的专栏
03-17 2万+
  记得上篇文章中我们提到了这个函数,在kmem_cache_create()函数调用它的语句是cachep = (kmem_cache_t *) kmem_cache_alloc(&cache_cache, SLAB_KERNEL);这里的cachep是我们要申请的高速缓存内存的描述结构体(kmem_cache_t),但是我们也需要高速缓存内存来存放这个结构体。就是cache_cache所描
[crash分析]数组越界导致导致的系统crash
06-23 999
公司设备在项目中遇到了crash问题,查看coredump,是最长前缀匹配的模块中处理异常导致。 现象1:查询异常 "general protection fault: 0000 [#1] SMP " [exception RIP: _test_ipset_seg_lpm_query+93] RIP: ffffffffa058ce9d RSP: ffff88016951f578 RFLAGS: 00010207 RAX: 80000010241c2865 RBX: ffff8
kmem_cache的alias问题导致lvm在线扩容crash问题分析
hjkfcz的博客
02-28 1446
两个月前解决了lvm在线扩容的bug,当时未得空,现在得空记录一下,内核版本基于3.10.33。 线上万客云lvm在线扩容导致lvresize卡死,log 如下: [47572.794000] BUG kmalloc-192(0:docker_cloud) (Tainted: P B O): Objects remaining in kmalloc-192...
[crash分析]让我头疼了好久的一个dst_entry重复释放导致crash问题
09-04 1293
公司产品在升级后出现了crash分析发现在释放skb时,skb->sp = ffff000000000011,不为NULL,在 secpath_put(skb->sp)时,地址访问异常crash。 PID: 8233 TASK: ffff8800d0503ec0 CPU: 0 COMMAND: "in:imklog" #0 [ffff88011fc03710] machine_kexec at ffffffff81059bab #1 [ffff88011fc03770] __cr
Linux内存管理Slab分配器
01-31
采用伙伴算法分配内存时,每次至少分配一个页面。但当请求分配的内存大小为几十个字节或几百个字节时应该如何处理?如何在一个页面中分配小的内存区,小内存区的分配所产生的内碎片又如何解决?Linux采用SlabLinux...
SLAB内存
05-14
这是一个Linux SLAB内存池的简化版,不考虑平台相关性,也没有复杂的数据结构组织,代码简短精炼,程序执行效率高,易于维护。
nginx slab内存管理精简源码及注释
05-18
nginx的slab内存管理方式,这种方式的内存管理在nginx中,主要是与nginx 的共享内存协同使用的。nginx的slab管理与linux的slab管理相同的地方在于均是利用了内存 的缓存与对齐机制,slab内存管理中一些设计相当...
[crash分析] Kernel panic - not syncing: Hard LOCKUP
11-18 3154
KERNEL: /usr/lib/debug/lib/modules/3.10.0-514.26.2.el7.x86_64/vmlinux DUMPFILE: vmcore [PARTIAL DUMP] CPUS: 2 DATE: Sun Nov 17 05:56:07 2019 UPTIME: 1 days, 00:22:05 ...
[crash分析]栈破坏分析总结
08-07 2635
栈破坏的两种表现 1. 栈帧被破坏 栈帧被破坏,从寄存器上可以看到栈帧寄存器rbp异常。因为返回地址正常,所以我们能够看到返回地址函数。 //栈帧被写坏后的栈表现 [New LWP 31418] Core was generated by `./test1'. Program terminated with signal 11, Segmentation fault. #0 0x000000000040053b in test1 () Missing separate debuginfos, use: d
[crash分析][mips]一个openwrt的patch引发的血案
04-24 2262
公司mips设备在运行中总是会莫名的crashcrash点不确定,有在驱动中,有在socket处理中,等等。 crash其一: //... <4>[ 158.547434] Process ksoftirqd/0 (pid: 3, threadinfo=8fc62000, task=8fc50b20, tls=00000000) <4>[ 158.555684] St...
[crash分析][mips]CPU 0 Unable to handle kernel paging request at virtual address
02-29 2067
系统平台是mips 32位架构,openwrt定制系统。产品模块加载到内核中工作。因为是低端产品,硬件配置简陋,所以系统异常crash后无法保存coredump,只有串口记录crash log供分析定位。 以下是最近遇到的一个crash: [ 293.152901] CPU 0 Unable to handle kernel paging request at virtual address ...
[crash分析]cascade错误,最终发现是内核BUG
08-08 1531
我们目前使用的是标准的CentOS 3.10.0-514.26.2版本。因为要做docker产品,为了测试设备可以支持多少个docker,我们使用脚本在设备上不断创建docker并运行我们的产品。 但是我们发现每次到了290多个docker后,很快系统就crash了。 crash栈大体上有两种: [ 1076.347341] ------------[ cut here ]------------ [ 1076.361159] kernel BUG at kernel/timer.c:1105! [ 107
linux内存分配slab
最新发布
09-01
Linux中,内存分配通过slab分配器进行管理。slab分配器是一种用于高效分配和管理小块内存的机制。它通过将内存块分配为大小相等的slab(或者称为缓存)来提高内存分配的性能和效率。 当需要分配一块内存时,slab分配器会从一个slab缓存中获取一个空闲的slab页面,并将其分配给请求。每个slab页面由多个大小相等的对象组成,这些对象可以作为内核数据结构或缓存使用。 当释放一个内存块时,slab分配器会将该内存块返回给相应的slab缓存,以便可以在以后的分配请求中重复使用。这样可以避免频繁的内存分配和释放操作,提高了性能。 Linux内核中有多个slab缓存,每个缓存都有一个特定的大小和用途。例如,针对常见数据结构如inode、dentry和file等的缓存,都有对应的slab缓存进行管理。这些缓存可以提高文件系统性能和整体系统性能。 总结来说,Linux使用slab分配器来管理内存分配,通过将内存块分配为大小相等的slab来提高分配效率,并通过重复使用已释放的内存块来减少频繁的内存分配和释放操作。这种机制可以提高系统的性能和效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浮沉飘摇

码字不易,打赏随意。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值