eBPF初体验

最新推荐文章于 2025-05-05 14:40:16 发布
原创 最新推荐文章于 2025-05-05 14:40:16 发布
· 1.8k 阅读 · 3 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核 #linux #python #操作系统

eBPF(aka extended berkeley package filter)是最近比较热门的内核调试方法和工具。

我个人目前还是更喜欢用trace-cmd+ftrace来调试内核的问题,但ebpf据说是可以更加灵活的设置调试信息。ebpf的原理是使用tracepoint静态监测点和kprobe动态监测点来对内核进行函数级别的监测,可以监测内核运行的代码流是否正确,更可以监控内核运行的效率。

我在github上fork了一份bcc(https://github.com/iovisor/bcc)的代码,然后按照(https://github.com/chensong2000/bcc/blob/master/INSTALL.md)的步骤开始环境搭建。

如果是ubuntu官方的内核,可以直接安装,

sudo apt-get install bpfcc-tools linux-headers-$(uname -r)

但我的内核是自己编译的,并且打了preempt rt的patch,所以要使用源代码进行编译,步骤如下:

1,内核配置:

CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
# [optional, for tc filters]
CONFIG_NET_CLS_BPF=m
# [optional, for tc actions]
CONFIG_NET_ACT_BPF=m
CONFIG_BPF_JIT=y
# [for Linux kernel versions 4.1 through 4.6]
CONFIG_HAVE_BPF_JIT=y
# [for Linux kernel versions 4.7 and later]
CONFIG_HAVE_EBPF_JIT=y
# [optional, for kprobes]
CONFIG_BPF_EVENTS=y

我在我的台式机上运行的时候,由于内核没打开CONFIG_BPF_SYSCALL,ebpf是不能正常工作的。

2,git clone https://github.com/chensong2000/bcc.git

3,编译依赖的工具和库

VER=trusty
echo "deb http://llvm.org/apt/$VER/ llvm-toolchain-$VER-3.7 main
deb-src http://llvm.org/apt/$VER/ llvm-toolchain-$VER-3.7 main" | \
  sudo tee /etc/apt/sources.list.d/llvm.list

完成这个步骤后/etc/apt/sources.list.d/llvm.list的内容为:deb http://llvm.org/apt/trusty/ llvm-toolchain-trusty-3.7 main deb-src http://llvm.org/apt/trusty/llvm-toolchain-trusty-3.7 main

接下来:

wget -O - http://llvm.org/apt/llvm-snapshot.gpg.key | sudo apt-key add -
sudo apt-get update

sudo apt-get -y install bison build-essential cmake flex git libedit-dev \
  libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev

4,编译bcc

1)mkdir bcc/build; cd bcc/build
2)cmake ..
3)make
4)sudo make install
5)cmake -DPYTHON_CMD=python3 .. # build python3 binding
6)pushd src/python/
7)make
8)sudo make install
9)popd

5,测试一下

1)sudo ./examples/hello_world.py

终于:

sendmail-mta-1558  [000] d...1.. 17522.673856: 0x00000001: Hello, World!

            sshd-676   [000] d...1.. 17532.211253: 0x00000001: Hello, World!
            sshd-13326 [000] d...1.. 17532.291607: 0x00000001: Hello, World!
            sshd-13326 [000] d...1.. 17535.026392: 0x00000001: Hello, World!
              sh-13328 [000] d...1.. 17535.061753: 0x00000001: Hello, World!
       run-parts-13329 [000] d...1.. 17535.082350: 0x00000001: Hello, World!
       00-header-13330 [000] d...1.. 17535.092330: 0x00000001: Hello, World!
       00-header-13330 [000] d...1.. 17535.106963: 0x00000001: Hello, World!
       00-header-13330 [000] d...1.. 17535.126849: 0x00000001: Hello, World!
       run-parts-13329 [000] d...1.. 17535.144171: 0x00000001: Hello, World!


2)sudo  ./examples/tracing/hello_fields.py

TIME(s)            COMM             PID    MESSAGE
17556.356978000    bash             13339  Hello, World!
17562.243536000    Socket Thread    13127  Hello, World!
17563.492875000    bash             13339  Hello, World!

3) sudo ./examples/tracing/disksnoop.py

TIME(s)            T  BYTES    LAT(ms)
17586.641013000    M  0           0.09
17588.720995000    M  0           0.09
17589.522525000    W  0           0.54
17589.526587000    W  0           3.97
17589.530379000    M  0           3.25
17589.531839000    W  0           1.38
17589.532644000    M  0           0.74
17590.801002000    M  0           0.09
17592.881071000    M  0           0.12
17594.563566000    W  0           1.62
17594.566741000    W  0           3.12
17594.571347000    W  0           3.77
17594.574464000    M  0           3.03
17594.575920000    W  0           1.38

上述几个例子eBPF都是通过kprobe hook到如sys_clone,sys_sync,blk_mq_start_request这样的内核函数中,也就是说,当这些函数被调用的时候,eBPF会在终端上显示你想要的内容,所以,你可以在另一个终端运行一些进程,或者做一些io操作,eBPF所在终端就能显示出来。

6,代码分析

1)hello_world.py

from bcc import BPF

# This may not work for 4.17 on x64, you need replace kprobe__sys_clone with kprobe____x64_sys_clone
BPF(text='int kprobe__sys_clone(void *ctx) { bpf_trace_printk("Hello, World!\\n"); return 0; }').trace_print()

BPF(text=‘’内部写的就是C代码,表示使用kprobe动态调试sys_clone,当内核调用sys_clone函数时,执行bpf_trace_printk("Hello, World!\\n")

2)biosnoop.py

b = BPF(text="""
#include <uapi/linux/ptrace.h>
#include <linux/blkdev.h>

BPF_HASH(start, struct request *);

void trace_start(struct pt_regs *ctx, struct request *req) {
    // stash start timestamp by request ptr
    u64 ts = bpf_ktime_get_ns();

    start.update(&req, &ts);
}

void trace_completion(struct pt_regs *ctx, struct request *req) {
    u64 *tsp, delta;

    tsp = start.lookup(&req);
    if (tsp != 0) {
        delta = bpf_ktime_get_ns() - *tsp;
        bpf_trace_printk("%d %x %d\\n", req->__data_len,
            req->cmd_flags, delta / 1000);
        start.delete(&req);
    }
}
""")

if BPF.get_kprobe_functions(b'blk_start_request'):
        b.attach_kprobe(event="blk_start_request", fn_name="trace_start")
b.attach_kprobe(event="blk_mq_start_request", fn_name="trace_start")
b.attach_kprobe(event="blk_account_io_done", fn_name="trace_completion")

同理b = BPF(text=""中是C代码,定义了两个函数trace_start和trace_completion,b.attach_kprobe(event="blk_start_request", fn_name="trace_start"),表示内核调用blk_start_request的时候会运行trace_start,同理blk_mq_start_request也是。blk_account_io_done会运行trace_completion。

在trace_start和trace_completion中使用start来保存函数调用的时间,并用来计算两个函数调用的流失的时间,可以看出来一个bio处理的延时。

 

先写这些,进一步使用会有进一步的体验,也会有进一步的分享。

参考:

https://github.com/iovisor/bcc/blob/master/docs/tutorial_bcc_python_developer.md

https://github.com/iovisor/bcc/blob/master/docs/reference_guide.md

https://github.com/chensong2000/bcc/blob/master/INSTALL.md

 

 

mozart1756
关注
深入解析:如何正确配置 Linux 内核中的 CONFIG_BPF_SYSCALL
数字人生
05-03 188
配置是启用 BPF 系统调用的必经之路,但其背后涉及内核复杂的配置系统与依赖关系。开发者应通过标准工具(如menuconfig)管理此类选项,而非直接修改代码。理解这一机制不仅能避免低级错误,还能深入掌握 Linux 内核的模块化设计思想。在 Linux 内核的C 语言源码中这类配置宏的值是通过内核编译配置系统(Kconfig)自动生成的,无法直接通过修改 C 代码来动态开启或关闭。一、为什么不能直接在 C 源码中修改?宏的生成机制等配置宏的值由内核的Kconfig 系统根据.config文件自动生成。
OpenStack最新版本--Victoria发布亮点与初体验
NewTyun的博客
10-14 3975
前言:OpenStack是一个云操作系统,可控制整个数据中心内的大型计算,存储和网络资源池,所有资源均通过具有通用身份验证机制的API进行管理和配置。还提供了一个仪表板,可让管理员进行控...
基于eBPFsyscall追踪工具教程
gitblog_00059的博客
06-14 400
基于eBPFsyscall追踪工具教程 estrace 基于eBPFsyscall追踪工具,适用于安卓平台 项目地址: https://gitcode.com/gh_mirrors/es/estrace ...
eBPF监控工具bcc系列一启航
weixin_34129145的博客
05-07 1158
 在eBPF篇中,我们知道虽然可用 C 来实现 BPF,但编译出来的却仍然是 ELF 文件,开发者需要手动析出真正可以注入内核的代码。工作有些麻烦,于是就有人设计了 BPF Compiler Collection(BCC),BCC 是一个(基于 C 和 C++) python 库,实现了对 BCC 应用层接口的封装。   使用 BCC 进行 BPF ...
(gopher)一无所知学ebpf
onepunchgo的博客
02-05 1805
我相信仍然有很多人不知道ebpf为何物,也不知道从何学起。但他似乎正在成为云原生开发性能优化的技术手段的事实标准
eBPF & bcc实例分析
金荣的个人技术博客
02-28 2941
上一篇博客简单介绍了 eBPF 并介绍了 bcc 框架的安装及简单应用,本篇开始实战,动手写 bcc 程序。先来一个简单的bcc 程序,作用为探测 sys_sync ,检测到 sync 时打印出“sys_sync() called”。sys_sync系统调用被用户空间函数调用,用来将内核文件系统缓冲区的所有数据写入存储介质,sys_sync系统调用将buffer、inode和super在缓存中的数...
一文全面了解 LSM BPF (含实战,强烈建议收藏)
dwh0403的专栏
01-05 2094
本文简单介绍了 LSM 框架的基础知识,并基于 LSM BPF 给出了 BCC 和 libbpf 库的实现样例,希望能够让你快速入门 LSM BPF 的编程。如果你对 LSM BPF 的应用场景希望有更多的了解,推荐你进一步阅读[使用 eBPF LSM 热修复 Linux 内核漏洞](https://blog.cloudflare.com/zh-cn/live-patch-security-vulnerabilities-with-ebpf-lsm-zh-cn/ ),在该文中作者基于容器环境中 USER 命
解锁Linux内核:动态追踪事件添加全攻略
最新发布
大雨淅淅的博客
05-05 646
Linux 添加动态追踪事件到内核,为我们深入了解系统运行机制、优化系统性能以及排查故障提供了强大的手段。通过 ftrace、perf 和 eBPF 等工具,我们能够在不修改内核和应用程序代码的前提下,实时采集系统运行时的关键信息。在实际工作中,我们应积极运用这些动态追踪技术。当遇到系统性能下降时,不妨先用 perf 进行全面的性能采样,找出热点函数;再使用 ftrace 深入分析函数调用关系和执行时间,定位性能瓶颈。而在排查系统故障时,eBPF 的强大功能可以帮助我们快速捕获关键信息,找到问题的根源。
2023全球软件开发北京大会PPT精华集
21. 基于eBPF的云原生可观测性深度实践:eBPF(Extended Berkeley Packet Filter)是一种强大的内核技术,可用来提供云原生环境下的深度可观测性,这部分可能分享了相关的应用案例和实践技巧。 22. 技术领导力实战...
Tricorder 2022 回顾
tricorder_o11y的博客
01-02 315
Tricorder Observability(https://tricorder.dev 三度观测云)是下一代云原生可观测性平台(Cloud-Native Observability SaaS);由来自容器、云原生技术发源地的 Google Borg 的海归技术专家创立。Tricorder 的名字取自 著名科幻电影 Star Trek(星际迷航)中的手持监控设备。三度观测云为工程师发现、定位、解决应用程序开发、测试、运维中的技术问题提供“心灵感应”式的感知能力,让每个工程师都能轻松掌控云原生。
Kube-OVN1.9.0新版本发布|支持集成 Cilium 策略,支持优先级QoS,VPC的网络能力增强等
KubeOVN的博客
01-14 766
1月12日,Kube-OVN 1.9.0 版本正式发布,感谢社区小伙伴们在这段时间来的贡献和支持! 新版本持续对VPC 的网络能力进行了增强,并且支持基于优先级的 QoS;支持集成 Cilium 策略,监控和 Service 优化;支持 Webhook 校验子网和固定 IP。并且增加了组播性能,非 Service 性能,内存使用等方面优化。全面提升了 Kube-OVN 的稳定性和安全性。欢迎大家安装使用! VPC能力进一步增强 用户自定义 VPC 下策略路由的支持 用户自定义 VPC 下
5.16.16内核源码包编译
qq_37281200的博客
06-15 937
一、内核编译背景由于现有的内核没有开启ebpf和intel rdt相关的选项,所以需要自己编译支持这两个功能的内核,还需要内核支持一些常用的模块。二、参考elrepo config-5.16.16-1.el7.elrepo.x86_64配置文件,如果没有可以自己找一个虚拟机安装5.16.16 elrerpo版本,配置会保存在/boot/config-5.16.16-1.el7.elrepo.x86_64 2.1、查看elrepo已经安装的内核文件数量(在已经安装好的系统中)2.2、根据config-5.16
bpflock:基于eBPF实现的Linux设备安全审计工具
小王的储物间
01-29 418
1、内存保护:内核镜像锁定、内核模块保护、BPF保护;2、进程保护:无文件内存执行、命名空间保护;3、硬件攻击测试:USB保护;4、系统和应用程序跟踪:跟踪应用程序执行、跟踪特权系统操作;5、文件系统保护:只读Root文件系统保护、sysfs保护;6、网络保护;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
CVE-2020-8835:eBPF verifier 整数截断导致的越界读写
qq_61670993的博客
03-06 1043
cve-2020-8835
一文带你系统学习Linux中的eBPF
执剑人
11-18 2278
eBPF(Extended Berkeley Packet Filter)是一个强大的 Linux 内核技术,它最初设计用于高效地过滤网络数据包,但随着功能的扩展,现在成为了内核性能调试、监控、安全审计以及网络流量管理等领域的核心工具。本文将详细介绍 eBPF 的工作原理、应用场景以及技术细节,帮助您深入理解其机制和应用潜力。
Linux中基于eBPF的恶意利用与检测机制
Jay
04-18 1153
容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核安全带来了新的挑战。此时,eBPF出现,它以较小的子系统改动,保障了系统内核的稳定,还具备实时动态加载的特性,能将业务逻辑加载到内核,实现热更新的动态执行。ip命令的参数中包含bpf字节码文件名,ip进程打开.o字节码的FD,通过NETLINK发IFLA_XDP类型消息(子类型IFLA_XDP_FD)给内核内核调用dev_change_xdp_fd函数,由网卡接管FD,引用计数器递增,用户空间的ip进程退出后,BPF程序依旧工作。
eBpf技术总结
黑色幽默的专栏
03-12 1469
eBPF (扩展的伯克利数据包过滤器) 是一项强大的网络和性能分析工具,其在内核中的实现为一个基于寄存器的虚拟机,使用自定义的 64 位 RISC 指令集,运行本地即时编译(JIT)的 “BPF 程序, 并能访问内核功能和内存的一个子集。
eBPF系列学习(1)-什么是内核BPFeBPF
西京刀客
08-23 5671
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5489
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
ebpf
03-21
### eBPF 技术概述及其在网络编程中的应用案例 #### 什么是 eBPFeBPF(extended Berkeley Packet Filter)是一种运行在 Linux 内核中的虚拟机技术,允许开发者编写安全高效的程序片段并将其加载到内核中执行。最初设计用于数据包过滤,但现在已扩展为支持多种用例,包括性能监控、跟踪和安全性分析[^1]。 #### eBPF 的核心特性 eBPF 提供了一系列强大的功能,使其成为现代系统管理和调试工具的重要组成部分: - **高效性**:通过 JIT 编译器优化字节码,使 eBPF 程序能够接近原生代码的速度运行。 - **灵活性**:支持各种钩子点(hook points),例如网络事件、文件操作、进程活动等,从而实现广泛的场景覆盖。 - **安全性**:内置验证机制确保加载的 eBPF 程序不会破坏内核稳定性或引发安全隐患。 #### eBPF 在编程与网络领域的主要应用场景 以下是几个典型的应用实例: ##### 性能监测 利用 eBPF 可以实时捕获系统的低级细节而无需修改应用程序源码或者重启服务。例如,`bcc` 工具集提供了多个脚本来帮助管理员诊断延迟瓶颈以及资源争用情况。 ##### 安全审计 借助 eBPF 实现细粒度的安全策略管理变得可行。像 Falco 这样的项目就是基于此构建起来的一个容器威胁检测平台;它会监视可疑行为并向运维人员发出警报信号。 ##### 数据平面加速 对于 SDN 和 NFV 场景而言,传统软件定义方式往往存在较高的处理开销。然而凭借 eBPF/XDP 组合方案,则可以在靠近硬件层面快速转发流量的同时完成复杂的业务逻辑判断工作——既保留了可编程能力又兼顾到了线速需求。 ```python from bcc import BPF program = """ int hello(void *ctx) { bpf_trace_printk("Hello, World!\\n"); return 0; } """ b = BPF(text=program) fn = b.load_func("hello", BPF.KPROBE) b.attach_kprobe(event="__x64_sys_clone", fn_name="hello") print(b.trace_fields()) ``` 上述 Python 脚本展示了如何使用 `bcc` 库创建简单的 kprobes 来追踪每次克隆调用的发生时刻,并打印相应的消息至控制台日志流当中去。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值