eBPF TC egress 方向 tcp checksum 问题

最新推荐文章于 2024-09-10 09:56:45 发布
最新推荐文章于 2024-09-10 09:56:45 发布
阅读量848 收藏 9
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 操作系统 文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CSWangYaFeng/article/details/135274714
文章讨论了在Linux5.3环境下,对TCPpayload进行修改后,TCPchecksum的计算行为。作者发现虽然常规上认为需要重算checksum,但在EBPF/TCEGRESS中,内核可能在tchook后计算,导致客户端抓包的checksum保持不变。实际上,减少payload长度会导致checksum自动调整,仅需更新校验和部分。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在ebpf tc egress方向修改了tcp的payload信息,我通过bpf_skb_change_tail将tcp payload从尾部减少了diff_len(测试中该值为88)。
常规思路:我都修改了tcp的包了,肯定要需要重新计算checksum ,所以我按照常规方法计算了checksum ,发现返回包传到客户端时,用wireshark抓包,发现多次请求的checksum 都是一样的,这就非常违反常理,按理说checksum 在客户端每次不同的请求下(客户端使用的随机端口号)都是应该不同的。同时我在ebpf/tc程序中打印了我计算的checksum前后的值
在这里插入图片描述
每次请求
我在ebpf中打印的old checksum都是855e,在客户端wireshark抓包的checksum都是5e2d
我在ebpf中计算的checksum恰好为wireshark期望的正确checksum,图中为3fbf和bf3f(字节序不同,值相同),这个值是随着不同请求而变化的,checksum变化符合我们的预期

于是灵机一动,是不是tcp的checksum是在tc hook之后才计算的,我在ebpf/tc里计算完之后恰好和tc hook点之后内核计算的重复了,两者“抵消”,导致客户端抓包每次都是一样的checksum。
ebpf程序中每次打印的old checksum都恒定也印证了这一问题,如果我在ebpf程序中不修改checksum,只减少payload,发现每次请求客户端抓包的checksum都是不同ÿ

最低0.47元/天 解锁文章
通过理解 sk_buff 深入掌握 Linux 内核自定义协议族的开发实现
数字人生
02-28 281
在。
tc ebpf 实践
魏言华的博客
10-11 2757
1. 用 tc 加载 BPF 程序 给定一个为 tc 编译的 BPF 对象文件prog.o, 可以通过tc命令将其加载到一个网 络设备(netdevice)。但与 XDP 不同,设备是否支持 attach BPF 程序并不依赖驱动(即任何网络设备都支持 tc BPF)。下面的命令可以将程序 attach 到em1的ingress网络: $ tc qdisc add dev em1 clsact $ tc filter add dev em1 ingress bpf da obj pro...
在 Ubuntu 21.10 中编写 eBPF tc 程序
alenliu's blog
07-13 1102
Ubuntu 21.10 编写 eBPF tc 程序
eBPFTCP拥塞控制算法
TCP/IP
02-21 5455
其实不想用这个题目的,只因为TCP相关的东西比较吸引人的眼球,这篇文章的主题还是eBPF,而不是TCP。 用eBPFTCP拥塞控制算法只是本文所讲内容的一个再平凡不过的例子。 先看两个问题,或者说是两个痛点: 内核越来越策略化。 内核接口不稳定。 分别简单说一下。 所谓内核策略化就是说越来越多的 灵巧的算法 , 小tricks 等灵活多变的代码进入内核,举例来讲,包括但不限于以下这些: ...
ebpf的xdp和tc获得的数据
cwyzb的博客
03-14 818
xdp获得的数据是以太网帧 数据结构体是ethhdr tc获得的是ip数据报 数据结构体是sk_buffer
关于tc作用在入口(ingress)和出口(egress)效果的调研
爱兜风的博客
08-17 3381
放在前面的结论:按照通常方式(本文中的脚本的那种方式),tc只能在出口限制带宽、时延、丢包率,不能在入口限制。 本文若有内容不严谨或不对,欢迎批评,欢迎指正 tc脚本内容 #!/bin/bash echo "add tbf and netem to eth0..." tc qdisc del dev eth0 root tc qdisc add dev eth0 root handle 5:0 tbf rate $1mbit burst 100k limit 75k if (($3=='0')) the.
拥抱云原生,基于eBPF技术实现Serverless节点访问K8S Service
Ucloud_TShare的博客
04-02 438
Serverless容器的服务发现 2020年9月,UCloud上线了Serverless容器产品Cube,它具备了虚拟机级别的安全隔离、轻量化的系统占用、秒级的启动速度,高度自动化的弹性伸缩,以及简洁明了的易用性。结合虚拟节点技术(Virtual Kubelet),Cube可以和UCloud容器托管产品UK8S无缝对接,极大地丰富了Kubernetes集群的弹性能力。如下图所示,Virtual Node作为一个虚拟Node在Kubernetes集群中,每个Cube实例被视为VK节点上的一个Pod。
学习Linux-4.12内核网路协议栈(1.2)——协议栈的初始化(sk_buff)
奔跑的路
07-06 2461
sk_buff 是网络数据包的承载,是最关键的结构体之一 /** * struct sk_buff - socket buffer * @next: Next buffer in list * @prev: Previous buffer in list * @tstamp: Time we arrived/left * @rb
Linux网络协议栈从应用层到内核层③
冯同学的博客
03-25 1225
从源码的角度分析数据是如何在协议栈中,从应用层传递到网卡的
Cilium核心技术-eBPF XDP&TC介绍
weixin_38299404的博客
07-16 1736
eBPF 是一项革命性技术,它能在内核中运行沙箱程序(sandbox programs), 而无需修改内核源码或者加载内核模块。eBPF的一个重要特性是能够使用高级语言(如C)来实现程序。LLVM有一个eBPF后端,用于编辑包含eBPF指令的ELF文件,前端(如clang)可以用于生成程序。在一个后端转换为字节码后,使用bpf()系统调用加载bpf程序,并校验安全性。
tcptracer-bpf:高效追踪TCP事件的eBPF工具
gitblog_01018的博客
09-10 437
tcptracer-bpf:高效追踪TCP事件的eBPF工具 tcptracer-bpfeBPF program using kprobes to trace TCP events without run-time compilation dependencies项目地址:https://gitcode.com/gh_mirrors/tc/tcptracer-bpf 项目介绍 tcptracer...
深入理解 tc ebpf 的 direct-action (da) 模式(2020)
云原生实验室
02-22 2047
前言本文翻译自 2020 年 Quentin Monnet 的一篇英文博客:Understanding tc “direct action” mode for BPF[1]。Quentin...
libbpf-bootstrap开发指南:网络包监测-tc
阿呆的隐秘角落
07-16 1679
做全网最好的libbpf-bootstrap 开发指南
解决bpf Verifier analysis错误问题
laitianli的专栏
09-18 173
解决bpf Verifier analysis: last insn is not an exit or jmp错误问题
eBPF 的发展历史和核心设计
云原生实验室
03-08 1539
前言本文翻译自 2016 年 Daniel Borkman 在 NetdevConf 大会上的一篇文章:On getting tc classifier fully programmabl...
Linux QoS egress处理流程
ARM-Linux
06-11 1207
在传统的TCP/IP网络的路由器中,所有的IP数据包的传输都是采用FIFO(先进先出),尽最大努力传输的处理机制。在早期网络数据量和关键业务数据不多的时候,并没有体现出非常大的缺点,路由器简单的把数据报丢弃来处理拥塞。但是随着计算机网络的发展, 数据量的急剧增长,以及多媒体,VOIP数据等对延时要求高的应用的增加。路由器简单丢弃数据包的处理方法已经不再适合当前的网络。单纯的增加网络带宽也不能从根本...
多年以来linux tc限速模块使用误区
cao_ni_mei2015的博客
02-28 921
tc qdisc add dev $IFACE root handle 1: htb default 20 tc class add dev $IFACE parent 1: classid 1:1 htb rate ${USPEED}kbit prio 5 tc filter add dev $IFACE parent 1: protocol ip prio 18 u32 match ip s...
LIUNX下tc流量控制命令详解
热门推荐
ysdaniel的专栏
08-25 2万+
LIUNX下tc流量控制命令详解   转自:http://apps.hi.baidu.com/share/detail/24629533   tc - 显示/维护流量控制设置  1. 摘要 tc qdisc [ add | change | replace | link ] dev DEV [ parent qdisc-id | root ] [ handle qdisc-id ] q
大规模微服务利器:eBPF + Kubernetes
极客重生
06-15 2621
hi, 大家好,微服务,云原生近来大热,在企业积极进行数字化转型,全面提升效率的今天,几乎无人否认云原生代表着云计算的“下一个时代”,IT大厂们都不约而同的将其视为未来云应用的发展方向,从...
ingress egress
最新发布
03-13
### Kubernetes 中 Ingress 和 Egress 的概念 在网络通信领域,Ingress 和 Egress 是指数据包进入和离开网络的方向。 #### Ingress 流量 Ingress 表示流入到集群内部的流量。这类流量通常来自外部客户端请求访问位于 Kubernetes 集群中的服务。为了管理这些入口流量,在 Kubernetes 中引入了专门的对象——`Ingress` 资源来定义 HTTP(S) 请求如何映射至后端的服务实例[^5]。 ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress spec: rules: - host: web.example.com http: paths: - pathType: Prefix path: "/" backend: service: name: frontend-service port: number: 80 ``` 这段 YAML 定义了一个简单的 `Ingress` 对象,它会将指向域名 `web.example.com` 下 `/` 前缀路径的所有 HTTP 请求转发给名为 `frontend-service` 的 Service。 #### Egress 流量 Egress 则指的是从集群向外发出的数据流。对于某些应用场景来说,可能需要严格控制哪些 Pod 或者命名空间能够发起对外部资源(比如数据库、API 网关等)的调用。这时就可以利用 `NetworkPolicy` 来设置针对出口流量的安全策略[^4]。 ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: namespace: default name: deny-all-egress spec: podSelector: {} policyTypes: - Egress ``` 上述配置文件创建了一条拒绝所有 Egress 连接的网络安全策略,除非另有更具体的规则允许特定类型的外发连接存在。 #### Kubernetes 网络策略特性 值得注意的是,当多个网络策略应用于同一个 Pod 上时,它们的效果是累积性的而不是互相排斥;这意味着只要有一个匹配项许可某类操作,则该种类型的通讯就是可行的[^1]。另外,默认情况下所有的 Pod 可以自由地发送出站流量而无需额外授权,但是可以通过自定义策略改变这一行为模式[^3]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值