ebpf sockops 功能分析

原创 已于 2022-02-18 11:36:32 修改 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #网络 #网络协议

于 2022-02-18 11:34:39 首次发布
本文详细探讨了ebpfsockops在内核中的实现原理,特别关注其在TCP连接过程中的关键功能,如SYN-RTO超时、RWND初始化等,并强调了其在性能监控和精细化运营中的潜力。

ebpf sockops 实现原理

大家肯定好奇为什么通过ebpf sockops可以提取我们想要的数据 ?

正常来说实现方式有两种,第一种是关键路径上埋钩子函数;第二种是kprobe的粘贴插入。

ebpf sockops 是通过第一种实现的,在关键路径上埋钩子函数了,所以想要扩展功能难哦,一般在内核版本升级时可以提前规划埋好钩子函数。

ebpf sockops 支持那些功能

ebpf sockops支持那些功能(关键看在什么路径上埋了钩子函数),看 下面代码吧


enum {
        BPF_SOCK_OPS_VOID,
        BPF_SOCK_OPS_TIMEOUT_INIT,      /* Should return SYN-RTO value to use or
                                         * -1 if default value should be used
                                         */
        BPF_SOCK_OPS_RWND_INIT,         /* Should return initial advertized
                                         * window (in packets) or -1 if default
                                         * value should be used
                                         */
        BPF_SOCK_OPS_TCP_CONNECT_CB,    /* Calls BPF program right before an
                                         * active connection is initialized
                                         */
        BPF_SOCK_OPS_ACTIVE_ESTABLISHED_CB,     /* Calls BPF program when an

最低0.47元/天 解锁文章
Android linux eBPF网络相关原理分析
新程序圆
08-14 719
随着Android版本的不断升级,自Android 9之后,内核版本普遍为4.X及更高的5.X版本,Linux的eBPF(扩展的Berkeley Packet Filter)在Android系统中的应用也越来越广泛。关于BPF和eBPF的概念,已有大量相关的文章进行介绍,建议先通过如“Android平台eBPF初探”等文章对eBPF的基础知识、框架和功能有一个初步了解。下面我们将重点探讨eBPF网络相关部分的演变过程。
性能提升40%: 腾讯 TKE 用 eBPF 绕过 conntrack 优化 K8s Service
吉小白的博客
06-24 1992
Kubernetes Service 用于实现集群中业务之间的互相调用和负载均衡,目前社区的实现主要有userspace,iptables和IPVS三种模式。IPVS模式的性能最好,但依然有优化的空间。该模式利用IPVS内核模块实现DNAT,利用nf_conntrack/iptables实现SNAT。nf_conntrack是为通用目的设计的,其内部的状态和流程都比较复杂,带来很大的性能损耗。 腾讯云 TKE 团队 开发了新的IPVS-BPF模式,完全绕过nf_conntrack的处理逻辑,使用eBPF完成
eBPF 技术应用云原生网络实践系列之基于 socket 的 service
数据库技术
02-09 375
Kubernetes 中的网络功能,主要包括 POD 网络,service 网络网络策略组成。其中 POD 网络网络策略,都是规定了模型,没有提供默认实现。而 service 网络作为 Kubernetes 的特色部分,官方版本持续演进了多种实现。
[eBPF] sockops类型运行梳理
sancpp的博客
12-20 1168
BPF_PROG_TYPE_SOCK_OPS程序类型能够在socket处理流程中的关键路径上执行ebpf程序。基础:在内核源码中静态埋点,在socket处理函数中调用函数,最终执行挂载的bpf逻辑。函数将上下文信息(sock结构体)封装成,最终透传出去,ebpf程序能够访问中的字段。应用:可以重定向socket,绕过TCP/IP协议栈;修改socket参数(通过辅助函数)…
深入解析TCP:三次握手、四次挥手与完整状态机
最新发布
weixin_52342399的博客
11-04 1593
本文是对TCP连接管理核心机制的深度剖析。文章首先通过通俗易懂的类比和详细的Mermaid流程图,分步讲解了三次握手的完整过程(SYN, SYN-ACK, ACK),阐明了其同步序列号、确保双向通信能力正常的根本目的,并深入探讨了为何“三次”是保证可靠性的最少步骤。接着,文章以同样的方式剖析了四次挥手的半关闭(Half-Close)机制,详细解释了FIN_WAIT、CLOSE_WAIT和TIME_WAIT等关键状态,特别是TIME_WAIT状态等待2MSL的两个核心原因。最后,文章提供了一个完整的TCP状态
TCP-BPF :通过BPF定制TCP行为
u013396019的博客
11-15 4368
TCP-BPF :通过BPF定制TCP行为 TCP-BPF是近期由facebook工程师发明,推送到内核的。 它的设计初衷是提供一种新的定制TCP参数和行为的机制。例如可以灵活的修改tcp 缓冲区大小,SYN RTO, SYN-ACK RTO 参数等。那么这种新的机制有什么神奇之处?过去的机制又有何短处?且听下文。 介绍 Linux 本身提供了一些机制可以修改TCP的一些参数。 setsockopt 我们知道当我们建立了socket 之后,可以通过setsockopt 修改一些TCP的参数,例如SO_R
eBPF/sockmap实现socket转发offload
热门推荐
TCP/IP
12-25 1万+
我们已经对eBPF网络转发offload到XDP(eXpress Data Path)耳熟能详,作为Linux内核的一把 “瑞士军刀” ,eBPF能做的事情可不止一件,它是一个多面手。 socket数据offload问题 通过代理服务器在两个TCP接连之间转发数据是一个非常常见的需求,特别是在CDN的场景下,然而这个代理服务器也是整条路径中的瓶颈之所在,代理服务器的七层转发行为极大地消耗着单机性...
ebpf sockops 代码解读
already_skb的专栏
02-19 1837
2032 static inline int tcp_call_bpf(struct sock *sk, int op, u32 nargs, u32 *args) 2033 { 2034 struct bpf_sock_ops_kern sock_ops; 2035 int ret; 2036 2037 memset(&sock_ops, 0, offsetof(struct bpf_sock_ops_kern, temp)); 2038 .
精选资源
基于eBPF/XDP实现conntrack功能
06-19
但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以...
技术专栏_四两拨千斤 —— Ubuntu kernel eBPF 0day分析.pdf
09-18
在本文档中,我们将深入探讨一个关键的安全议题:Ubuntu内核中的eBPF(Extended Berkeley Packet Filter)0day漏洞分析。这个主题对于理解和应对高级持续性威胁(APT)至关重要,同时也涉及移动安全、安全测试、安全...
利用 ebpf sockmap/redirection 提升 socket 性能(2020)
云原生实验室
02-01 2034
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io译者序本文翻译自 2020 年的一篇英文博客 How to use eBPF for acceleratin...
性能优化实战|使用eBPF代替iptables优化服务网格数据面性能
极客重生
02-10 2319
目前以 Istio[1] 为代表的服务网格普遍使用 Sidecar 架构,并使用 iptables 将流量劫持到 Sidecar 代理,优点是对应用程序无侵入,但是 Sidecar 代理会...
eBPF:eBPF实验
03-18
eBPF eBPF实验 什么是eBPFeBPF(扩展的Berkley数据包过滤器)是一种旨在在Linux内核中安全执行。 它是: 具有大量代码路径分析的验证程序 内核解释器 即时编译器 潜在的处理器卸载机制 它在多个地方使用以向内核提供运行时可配置的代码注入。 如何创建eBPF? 可以直接创建eBPF机器代码(64位指令),然后通过bpf系统调用将其注入内核。 甚至在用户区C程序中甚至都有用于合成指令的宏。 但是,通常更容易用高级语言指定eBPF程序。 最常见的是“ C”,将LLVM编译器工具与“ bpf”计算机目标一起使用。 如何与eBPF程序进行交互? eBPF程序附加到内核中的各种钩子上。 他们本质上是事件处理程序。 从内核挂钩中调用它们,并为其指定特定于挂钩类型的上下文对象。 它们返回结果代码,其含义由挂钩类型定义。 eBPF验证程序可确保代码始终终止,并且永远不
使用socket BPF
03-16 2440
转自:http://blog.donews.com/quickmouse/archive/2004/11/17/173266.aspx 第一次听说socket BPF的东西是CTO说sniffer要注意效率问题,需要针对规则设定一定的过滤规则,这样可以减少程序在用户空间和内核空间的切换。于是就去google那个东西了。不过结果并不是很理想的,似乎研究这个的人不多。从方方面面的情况看,似乎用lib
eBPF bpftrace 实现个UNIX socket抓包试试
RToax
07-08 1602
https://github.com/Rtoax/test/tree/master/bpf/bpftrace/study #!/usr/bin/bpftrace // 荣涛 // UNIX socket STREAM 抓包 // 2021年7月8日 // 内核版本: 3.10.0-1062.el7.x86_64 #include <linux/aio.h> #include <linux/socket.h> #include <linux/net.h> #incl
eBPF学习——抓取内核网络中的socket信息
金荣的个人技术博客
05-31 3006
bcc 是基于 LLVM 的工具集,用 Python 封装了底层机器相关的细节,bcc工具使得 eBPF 的使用更加方便,使用时内核探测代码用 C 写, 数据处理用 Python 。本文将使用 bcc工具抓取内核网络中的数据,包括抓取 backlog 信息、port 和 IP 信息、网络命名空间信息等。 eBPF 可以将任何内核函数调用转换成可带任何数据的用户空间事件。每当有程序监听 TCP socket,就得到一个事件通知。当在 AF_INET 和 SOCK_STREAM 类型的 socket 上调用系统
使用eBPF加速阿里云服务网格ASM
阿里巴巴云原生的博客
10-13 1038
服务网格下的Sidecar 代理业务服务的收发请求,并提供业务层面的流量控制(路由)、负载均衡等功能,会引入一定的Latency 延迟。 通过eBPF 技术(部署sidecar 加速组件)将同节点下两个进程间的TCP 报文进行socket 短路可以提升一定的性能,HTTP 场景下QPS 可提升15% 左右, 有效地降低业务请求的Latency 。
使用 eBPF 技术实现更快的网络数据包传输
hanfengzxh的博客
03-22 903
通过 eBPF 的引入,我们缩短了同节点通信数据包的 datapath,跳过了内核网络栈直接连接两个对端的 socket。这种设计适用于同 pod 两个应用的通信以及同节点上两个 pod 的通信。[^1]: 该辅助函数将引用的 socket 添加或者更新到 sockethashmap中,程序的输入作为键值对的值。详细信息可参考中的。[^2]: 该辅助函数将msg转发到 socket map 中key对应的 socket。关注"云原生指北"微信公众号(转载本站文章请注明作者和出处。
eBPF介绍
ss810540895的博客
03-22 1581
当网卡接收到数据包的时候,因为设置的混杂模式,那么就会额外的拷贝一份新的数据包,然后在根据BPF的代码进行过滤,将符合规则的数据包接收到socket套接字的接收队列里面。因而,早期的BPF被称为cBPF,扩展后的BPF被称为eBPF。JIT:just in time 的缩写,我们将编译好的BPF指令集需要在虚拟机上执行,虚拟机需要一条一条的解析为本机机器码才能够执行,所以这个执行效率会很低,但是如果我们的处理器有了JIT就能够将我们BPF直接直接编译为能够在机器直接执行的机器码,这样大大提高了执行的速度。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值