ebpf xdp 挂载点分析

最新推荐文章于 2025-09-04 09:22:22 发布
原创 最新推荐文章于 2025-09-04 09:22:22 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #网络 #运维

XDP(eXpress Data Path)是Linux内核中的一种高效数据包处理机制,常用于网络性能优化。它在网卡驱动层面实现,允许在数据包到达内核协议栈之前进行处理。XDP的埋点函数位于网卡驱动的接收路径,如ixgbe的ixgbe_clean_rx_irq函数中,通过ixgbe_run_xdp调用bpf_prog_run_xdp来执行挂载的回调函数。XDP提供了XDP_PASS、XDP_TX、XDP_REDIRECT和XDP_DROP等行为选项,实现了数据包的快速转发、发送、重定向或丢弃。这种机制使得网络流量可以快速处理,提高了系统的整体性能。

1. 查看支持xdp功能的网卡

drivers/net/ethernet/broadcom/bnxt/bnxt_xdp.c:218:	case XDP_SETUP_PROG:
drivers/net/ethernet/cavium/thunder/nicvf_main.c:1848:	case XDP_SETUP_PROG:
drivers/net/ethernet/intel/i40e/i40e_main.c:11845:	case XDP_SETUP_PROG:
drivers/net/ethernet/intel/ixgbe/ixgbe_main.c:10154:	case XDP_SETUP_PROG:
drivers/net/ethernet/intel/ixgbevf/ixgbevf_main.c:4444:	case XDP_SETUP_PROG:
drivers/net/ethernet/mellanox/mlx4/en_netdev.c:2911:	case XDP_SETUP_PROG:
drivers/net/ethernet/mellanox/mlx5/core/en_main.c:4308:	case XDP_SETUP_PROG:
drivers/net/ethernet/netronome/nfp/nfp_net_common.c:3471:	case XDP_SETUP_PROG:
drivers/net/ethernet/netronome/nfp/nfp_net_common.c:3473:	case XDP_SETUP_PROG_HW:
drivers/net/ethernet/qlogic/qede/qede_filter.c:1119:	case XDP_SETUP_PROG:
drivers/net/netdevsim/bpf.c:207:	if (bpf->command == XDP_SETUP_PROG && !ns->bpf_xdpdrv_accept) {
drivers/net/netdevsim/bpf.c:211:	if (bpf->command == XDP_SETUP_PROG_HW && !ns->bpf_
最低0.47元/天 解锁文章
Native xdp hook
already_skb的专栏
02-22 2177
看到xdp功能的时候,你可能已经猜到了xdp一定有在内核中有hook,你也可能猜到了xdp的hook应该在程序中,但是你可能不知道xdp hook 具体在网卡驱动的那个流程中,今天走读了一遍xdp的代码逻辑,简单记录内容如下。 bpf_prog_run_xdp bpf_prog_run_xdp函数是xdp的框架函数,你注册的xdp程序将会在这个函数中别逐一调用。 xdp的hook是在内核驱动中 ? 你可以过滤一下这个函数,大概应该和我的差不多: jensonqiu@Bing$ grep
Linux收发包流程代码分析(ixgbe)
dhRainer的博客
03-08 2664
Linux收发包流程代码分析(ixgbe)
Linux网络新技术基石:eBPF and XDP
flynetcn的专栏
08-07 2217
hi,大家好,欢迎来到极客重生的世界,今天给大家分享的是Linux 网络新技术,当前正流行网络技是什么?那就是eBPFXDP技术,Cilium+eBPF超级火热,Google GCP也刚刚全面转过来。 新技术出现的历史原因 廉颇老矣,尚能饭否 iptables/netfilter iptables/netfilter 是上个时代Linux网络提供的优秀的防火墙技术,扩展性强,能够满足当时大部分网络应用需求,如果不知道iptables/netfilter是什么,请参考之前文章:一个奇
15、eBPF 程序类型与挂载详解
最新发布
svm4gardener的博客
09-04 60
本文详细解析了 eBPF 的多种程序类型及其挂载,涵盖了内核函数跟踪、用户空间插桩、网络行为定制以及安全模块控制等应用场景。通过介绍 Kretprobe、Fexit、跟踪、LSM、TC、XDP 等程序类型及其使用方法,帮助读者全面了解 eBPF 在系统可观测性、性能优化和安全防护中的作用。
android 如何动态更新textview的内容_SEO高手都是如何更新网站内容的?
weixin_39646084的博客
11-23 334
网站文章一直都是让很多人头疼的问题,有时候真的不知道该怎样码字,但是一想到网站收录是网站权重的基础,所以还是要耐着性子不停地写。小星通过搜集资料发现,SEO高手在网站更新文章都有一定的规律,想知道吗?往下看更新量在新站期,文章更新量可以大一为好。大量的更新会引起爬虫的注意,增加爬虫爬取网站。不但可以提升网站的收录速度、数量。还可以带动搜索引擎计算网页,给与网站打分评估。更新量可以根据行...
xdp 程序如何挂载
already_skb的专栏
02-22 1393
xdp 功能程序挂载分析
eBPF挂载函数小结
qq_43573047的博客
04-25 995
在C或C++应用程序中,可以使用DTrace或SystemTap的API定义USDT探针,如下通过安装之后,就能通过使用宏来定义usdt,最多可以包含有12个参数。// 触发 USDT 跟踪return 0;
eBPF/XDP实现防火墙功能
程序创坊
02-13 3842
eBPF/XDP实现防火墙功能
XDP入门--eBPF程序如何转发报文到其它网卡
meihualing的专栏
05-22 2608
XDP, eBPF直接通过网卡转发。
XDP入门--通过用户态程序自动加载与卸载eBPF程序字节码到网卡
meihualing的专栏
05-27 2064
用户态程序自动加载卸载eBPF字节码
Linux新技术基石 |​eBPF and XDP
极客重生
09-20 2196
hi,大家好,今天给大家分享的是Linux 最近特别火的新技术,当前最流行Linux内核技术是什么?那就是eBPF技术,著名开源的Cilium把eBPF技术带飞,国内Linux,容器云原生等领域爱好者也燃起一股学习eBPF的热潮。新技术出现的历史原因廉颇老矣,尚能饭否iptables/netfilteriptables/netfilter 是上个时代Linux网络提供的优秀的防火墙技术,扩展性强,...
eBPF技术
qq_42944740的博客
03-16 6179
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
使用 eBPF 监听和过滤 Socket 流量
weixin_45887654的博客
03-12 619
使用socket类型的eBPF程序进行数据包抓取。
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2959
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
一文看懂eBPFeBPF的使用(超详细)
youzhangjing_的博客
04-14 4408
eBPF(extended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
XDP类型的BPF程序
魏言华的博客
10-11 1425
经过上一节的内容,bpf程序和map已经加载到内核当中了。什么时候bpf程序才能发挥它的作用呢? 这就需要bpf的应用系统把其挂载到适当的钩子上,当钩子所在的路径被执行,钩子被触发,BPF程序得以执行。 目前应用bpf的子系统分为两大类: tracing:kprobe、tracepoint、perf_event filter:sk_filter、sched_cls、sched_act、xdp、cg_skb 接下来分析XDP类型的bpf程序的绑定和触发过程 1.Loading via iprou..
实现一个基于XDP/eBPF的学习型网桥
热门推荐
TCP/IP
11-17 1万+
eBPF技术风靡当下,eBPF字节码正以星火燎原之势被HOOK在Linux内核中越来越多的位置,在这些HOOK上,我们可以像编写普通应用程序一样编写内核的HOOK程序,与以往为了实现一个功能动辄patch一整套逻辑框架代码(比如Netfilter)相比,eBPF的工作方式非常灵活。 我们先来看一下目前eBPF的一些重要HOOK: 将来这个is_XXX序列肯定会不断增加,布满整个内核(有密集...
探索eBPFLinux内核的黑科技
嵌入式Linux内核的博客
06-30 1621
eBPF 是一个基于寄存器的虚拟机,使用自定义的 64 位 RISC 指令集,能够在 Linux 内核内运行即时本地编译的 “BPF 程序”,并能访问内核功能和内存的一个子集。这是一个完整的虚拟机实现,不要与基于内核的虚拟机(KVM)相混淆,后者是一个模块,目的是使 Linux 能够作为其他虚拟机的管理程序。eBPF 也是主线内核的一部分,所以它不像其他框架那样需要任何第三方模块(LTTng 或 SystemTap),而且几乎所有的 Linux 发行版都默认启用。
XDP 程序能否挂载在协议栈入口处
08-22
<think>我们正在讨论的是XDP(eXpress Data Path)技术,它通常在网络驱动程序的早期路径中执行,即在数据包从网卡接收后,进入内核协议栈之前(在`ip_rcv`之前)进行处理。因此,XDP程序是挂载在驱动程序的接收路径上的,而不是在协议栈入口处(如ip_rcv)之后。 但是,用户的问题可能是想知道XDP是否可以在协议栈入口处挂载?答案是否定的。XDP的设计就是在协议栈之前处理数据包。如果要在协议栈入口处(即已经进入IP层)进行拦截,那么可以使用其他技术,比如Netfilter的钩子(hook)或者TC(Traffic Control)的入口钩子。但是这些都是在协议栈的不同层次,而不是XDP的范畴。 因此,回答的重是:XDP程序不能挂载在协议栈入口处(如ip_rcv函数),因为XDP的执行是在驱动接收数据包之后,协议栈处理之前。 具体步骤和位置: 1. XDP程序挂载网卡驱动上,当网卡收到数据包后,在分配sk_buff之前,XDP程序就在DMA缓冲区中直接处理数据包。 2. 如果XDP程序返回XDP_PASS,那么数据包会继续进入内核协议栈,经过ip_rcv、tcp_v4_rcv等函数处理。 所以,XDP挂载比协议栈入口更早,是位于驱动层的。 因此,我们可以这样回答: 在Linux 4.19内核中,XDP程序不能挂载在协议栈入口处(如ip_rcv函数),因为XDP的设计目标是在网络驱动程序的接收路径的最早可能执行,即在数据包进入内核协议栈之前。具体来说: - XDP程序在网卡驱动接收数据包后立即执行,此时数据包还在DMA缓冲区中,尚未被转换成sk_buff结构。 - 协议栈入口函数(如ip_rcv)是在网络层处理IP数据包的地方,此时数据包已经经过驱动处理并封装成sk_buff结构。 因此,XDP的执行位于驱动层,远早于协议栈入口。如果需要在协议栈入口处进行拦截,可以考虑使用Netfilter钩子(如NF_INET_PRE_ROUTING)或TC(Traffic Control)的入口(ingress)钩子。 但是,我们也可以提到,在Linux 4.19之后的内核版本中,XDP支持了generic模式(XDP_DRV是驱动原生支持,XDP_SKB是通用模式,在驱动不支持时使用,但仍在协议栈之前),但即便如此,XDP的执行仍然在协议栈之前。 所以,回答用户的问题:XDP程序不能挂载在协议栈入口处,它是在协议栈之前处理的。 然后,根据要求,我们需要在最后提出3-5个相关问题。 注意:问题必须以“§§相关问题§§”开头,然后列出问题,每个问题用数字编号,不要换行分散。 例如: §§相关问题§§ 1. 如果需要在协议栈入口处(如ip_rcv函数)拦截并处理数据包,应该使用什么技术? 2. XDP程序在哪些情况下会回退到通用模式(XDP_SKB)? 3. 在XDP程序中处理数据包时,如何保证不破坏内核协议栈的正常功能? 4. 挂载XDP程序对网卡驱动有什么要求? 5. XDP程序能否处理UDP协议的数据包?如何处理?</think>在 Linux 4.19 内核中,**XDP 程序不能直接挂载在协议栈入口处**(如 `ip_rcv()` 或 `tcp_v4_rcv()` 层级)。原因如下: ### **XDP挂载位置与限制** 1. **驱动层挂载**: - XDP 程序必须挂载在**网络驱动层**(网卡驱动收包路径),在 DMA 缓冲区接收到报文后立即执行。 - 执行位于内核协议栈之前(早于 `netif_receive_skb()`),无法在协议栈入口函数(如 `ip_rcv()`)挂载。 2. **协议栈入口的访问限制**: - `ip_rcv()`/`tcp_v4_rcv()` 等函数处理的是已构建的 `sk_buff` 结构体。 - XDP 程序操作的是原始报文缓冲区(无 `sk_buff` 元数据),无法直接接入协议栈处理流程。 3. **替代方案**: - 若需在协议栈入口拦截报文,应使用 **Netfilter 钩子**(如 `NF_INET_PRE_ROUTING`)或 **TC eBPF 程序**(Traffic Control 层)。 --- ### **协议栈入口加速的可行方案** 若需在接近协议栈入口处加速 FTP 报文,可修改以下位置: 1. **IP 层预处理(修改 `ip_rcv()`)** 在 `ip_rcv()` 添加快速路径检查: ```c // net/ipv4/ip_input.c int ip_rcv(struct sk_buff *skb, ...) { if (is_ftp_accel_packet(skb)) { // 识别 FTP 报文 return ftp_fastpath_handler(skb); // 自定义加速处理 } // 原有协议栈处理 ... } ``` **实现要求**:需维护连接状态映射表,验证报文合法性。 2. **TCP 层短路(修改 `tcp_v4_rcv()`)** 在 TCP 入口添加旁路: ```c // net/ipv4/tcp_ipv4.c int tcp_v4_rcv(struct sk_buff *skb) { if (skb->dest == htons(21) && ftp_bypass_enabled) { return ftp_direct_to_user(skb); // 直送用户态 } ... } ``` **风险**:需绕过 TCP 状态机,可能破坏协议栈完整性。 --- ### **推荐方案:XDP + TC eBPF 协同** 1. **XDP 层**: - 执行粗粒度过滤(识别 FTP 端口/IP) - 返回 `XDP_PASS` 将报文送入协议栈 2. **TC eBPF 层**(`sch_handle_ingress` 钩子): - 在协议栈入口前(`ip_rcv()` 之前)精细处理 - 可访问 `sk_buff` 结构,实现连接跟踪和重定向: ```c SEC("classifier") int ftp_bypass(struct __sk_buff *skb) { if (skb->protocol != IPPROTO_TCP) return TC_ACT_OK; if (is_ftp_packet(skb)) { bpf_redirect(..., target_ifindex); // 重定向加速 } return TC_ACT_OK; } ``` --- ### **关键修改总结** | 修改 | 位置 | 能力 | 风险等级 | |-----------------------|------------------------|----------------------------------|----------| | XDP 程序 | 网卡驱动层 | 原始报文处理,零拷贝 | 低 | | TC eBPF 程序 | `sch_handle_ingress` | 访问 `sk_buff`,精细控制 | 中 | | `ip_rcv()` 注入 | 网络层入口 | 协议栈短路 | 高 | | `tcp_v4_rcv()` 注入 | 传输层入口 | 绕过 TCP 状态机 | 极高 | > **建议**:优先采用 **XDP 预处理 + TC eBPF 加速** 的分层方案,避免直接修改核心协议栈函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值