ebpf 网络过滤器实践

最新推荐文章于 2025-03-29 09:42:19 发布
原创 最新推荐文章于 2025-03-29 09:42:19 发布 · 1.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

本文介绍了EBPF(Extended Berkeley Packet Filter)在网络监控中的应用,通过实例展示了如何编写EBPF程序来统计网络包,并分析了不同返回值对RAW SOCKET数据包接收的影响。实践部分包括统计网络流量和过滤数据包,揭示了EBPF在流量监控和数据过滤方面的功能。

一、前言

不要认为是一些小的demo而忽略对它的学习,往往一个复杂的代码,复杂的工程是一个个小demo拼接成的。

ebpf 网络过滤器这门技术在网络监控领域用的非常多,ebpf 编程我现在用的比较多的其实只有几个探针,kprobe、uprobe 以及linux网络过滤器。

今天读了 <<Linux内核观测技术BPF>>以及linux 内核源码中的sock_user1.c sock_kern.c ,linux内核的demo我认为写的还是很简单,而且这本书里面写的也很简单,打算对书里和linux内核的demo里的例子做一下实践。

内核代码很复杂,以后有空再看,今晚对linux 网络过滤器这块部分进行了实践。

心中一直有个疑问,好多网文都说他是cbpf的革新,那么cbpf filter 在pcap 中有过滤数据包能力,那ebpf是如何做到的呢?

二、实践

场景1:ebpf 统计网络包

ebpf程序

// SPDX-License-Identifier: GPL-2.0 OR BSD-3-Clause
/* Copyright (c) 2020 Facebook */
#include "vmlinux.h"
#include <bpf/bpf_helpers.h>
/* Packet types */

/* SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause) */
#ifndef __BPF_LEGACY__
#define __BPF_LEGACY__

/* llvm builtin functions that eBPF C program may use to
 * emit BPF_LD_ABS and BPF_LD_IND instructions
 */
unsigned long long load_byte(void *skb,
			     unsigned long long off) asm("llvm.bpf.load.byte");
unsigned long long load_half(void *skb,
			     unsigned long long off) asm("llvm.bpf.load.half");
unsigned long long load_word(void *skb,
			     unsigned long long off) asm("llvm.bpf.load.word");

#endif


#define PACKET_OUTGOING		4		/* Outgoing of any type */


#define ETH_ALEN	6		/* Octets in one ethernet addr	 */
#define ETH_TLEN	2		/* Octets in ethernet type field */
#define ETH_HLEN	14		/* Total octets in header.	 */
#define ETH_ZLEN	60		/* Min. octets in frame sans FCS */
#define ETH_DATA_LEN	1500		/* Max. octets in payload	 */
#define ETH_FRAME_LEN	1514		/* Max. octets in frame sans FCS */
#define ETH_FCS_LEN	4		/* Octets in the FCS		 */
 
char LICENSE[] SEC("license") = "Dual BSD/GPL";
 
struct {
	__uint(type, BPF_MAP_TYPE_ARRAY);
	__type(key, u32);
	__type(value, long);
	__uint(max_entries, 256);
} my_map SEC(".maps");

SEC("socket/test")
int bpf_prog1(struct __sk_buff *skb)
{
	int index = load_byte(skb, ETH_HLEN + offsetof(struct iphdr, protocol));
	long *value;

	if (skb->pkt_type != PACKET_OUTGOING)
		return -1;

	value = bpf_map_lookup_elem(&my_map, &index);
	if (value)
		__sync_fetch_and_add(value, skb->len);


	return 0;
}
char _license[] SEC("license") = "GPL";

编译ebpf程序:

/usr/bin/clang-14 -g -O2 -target bpf  -D__TARGET_ARCH_x86_64 -c kern1.c -o kernel_write.o

user 部分程序

其实很简单 创建一个链路套接字,然后把我们的bpf程序使用SO_ATTACH_BPF附着上去就可以了

common.h

/* SPDX-License-Identifier: GPL-2.0 */
#include <stdlib.h>
#include <stdio.h>
#include <linux/unistd.h>
#include <unistd.h>
#include <string.h>
#include <errno.h>
#include <linux/if_ether.h>
#include <net/if.h>
#include <linux/if_packet.h>
#include <arpa/inet.h>

static inline int open_raw_sock(const char *name)
{
	struct sockaddr_ll sll;
	int sock;

	sock = socket(PF_PACKET, SOCK_RAW | SOCK_NONBLOCK | SOCK_CLOEXEC, htons(ETH_P_ALL));
	if (sock < 0) {
		printf("cannot create raw socket\n");
		return -1;
	}

	memset(&sll, 0, sizeof(sll));
	sll.sll_family = AF_PACKET;
	sll.sll_ifindex = if_nametoindex(name);
	sll.sll_protocol = htons(ETH_P_ALL);
	if (bind(sock, (struct sockaddr *)&sll, sizeof(s
最低0.47元/天 解锁文章
谐云产品总监蒋玉芳:基于eBPF技术的可观测方案实践
m0_46700908的博客
04-28 2494
eBFP有相对较高的安全性和性能,正在成为新的可观测性利器
Flomesh 服务网格采用 eBPF 实现更高效的流量拦截和通信
shaderx004的博客
04-04 564
在不久前发布的 Flomesh 服务网格 1.3.3 我们引入了 eBPF 功能,用以替代流量拦截方面的实现 iptables。由于 eBPF 对较新内核的依赖,iptables 的实现仍继续提供。同时,得益于 eBPF 网络方面的能力,我们也实现了同节点网络通信的加速。
Linux eBPF网络、系统监控和安全领域的创新
望获实时Linux系统
05-29 1918
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全:eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF的功能和应用场景不断扩展,如今已成为网络、系统监控和安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
eBPF动手实践系列二:构建基于纯C语言的eBPF项目
科技很有意思
05-15 1027
一文详解如何仅依赖于kernel-devel和kernel-headers等rpm包进行纯c语言的eBPF程序的编译和使用。
eBPF用于Linux防火墙数据包过滤
TCP/IP
11-03 1万+
自基于Netfilter的iptables取代ipchains之后,Linux防火墙技术貌似一直停留在iptables,虽然近年来nftables被宣称有取代iptables之势,但事实上并无起色。 无论是晚期ipchains,还是iptables,或者nftables,其底层基础均是Netfilter,一个精心设计的五点HOOKs框架,在软件意义上,这个设计非常棒,但是涉及到单机性能问题,总是退...
eBPF 入门开发实践教程一:介绍与快速上手
云微的blog
09-22 1689
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。加载内核模块虽然来说更为灵活,不需要重新编译源码,但是也可能导致内核崩溃,且随着内核版本的变化模块也需要进行相应的修改,否则将无法使用。在这一背景下,eBPF技术应运而生。
深入理解eBPF核心技术
最新发布
09-09
eBPF技术,即扩展型伯克利数据包过滤器,是一种运行在Linux内核中的革命性技术,它提供了一种安全和高效的方法,可以在不影响系统性能的前提下,对内核进行编程。本书《深入理解eBPF核心技术》深入浅出地阐述了eBPF...
eBPF 在网易轻舟云原生的应用实践
NetEaseResearch的博客
08-21 6819
eBPFLinux 内核近几年最为引人注目的特性之一,通过一个内核内置的字节码虚拟机,完成数据包过滤、调用栈跟踪、耗时统计、热点分析等等高级功能,是 Linux 系统和 Linux 应用的功能 / 性能分析利器。本文将介绍 eBPF 的技术特点,及 eBPF 在网易杭研轻舟系统探测和网络性能优化方面的应用。
使用eBPF在线调试Go程序 | Gopher Daily (2020.09.17) ʕ◔ϖ◔ʔ
TonyBai
09-17 449
每日一谚:Go is a good compromise for cooperation between type purists and lazy scripters.•Go专栏:《改...
深入理解 Cilium 的 eBPF 收发包路径
Docker的专栏
10-01 806
本文翻译自 2019 年 DigitalOcean 的工程师 Nate Sweet 在 KubeCon 的一篇分享:《Understanding (and Troubleshooting...
Linux内核project导论——网络Filter(LSF、BPF、eBPF
weixin_34128237的博客
07-13 924
概览     LSF(Linux socket filter)起源于BPF(Berkeley Packet Filter)。基础从架构一致。但使用更简单。LSF内部的BPF最早是cBPF(classic)。后来x86平台首先切换到eBPF(extended)。但因为非常多上层应用程序仍然使用cBPF(tcpdump、iptables),而且eBPF还没有支持非常多平台,所以内...
2024 年 eBPF网络趋势预测
dwh0403的专栏
01-27 1057
在将来作者预测会有更多的 eBPF 应用在移动设备上的使用案例,不仅限于安卓设备。观测集群中发生的一切将会带来巨大的数据量,这将会显著增加可观测性的成本开销,特别是涉及数百个 Kubernetes 集群和数十万个 Pod 场景中。有趣的是,另一种流行的云原生技术 Wasm 也有类似的说法,Wasm 提供了一个能够在 Web 浏览器中运行 C/C++、C# 和 Rust 程序的抽象。的目标是确保 eBPF 程序安全运行,并防止危险行为,但随着 eBPF技术广泛的应用,可能会出现某些形式的漏洞被利用。
eBPF技术审计和拦截网络流量
weixin_48405654的博客
11-12 1135
基于套接字过滤器审计网络流量实现方式如下:(1)内核态eBPF程序解析网络数据包(2)用户态解析网络数据包。
einat-ebpf:基于 eBPF 的端独立网络地址转换
gitblog_00136的博客
03-29 791
einat-ebpf:基于 eBPF 的端独立网络地址转换 项目介绍 einat-ebpf 是一款基于 eBPF 技术实现的端独立网络地址转换(Endpoint-Independent NAT,简称 EINAT)的开源项目。该项目的核心功能是利用 eBPF 技术在网络数据包传输过程中实现网络地址和端口的转换,以支持多种网络应用场景,如实现内网穿透、多租户网络隔离等。 项目技术分析 eBPF(ext...
使用 eBPF 监听和过滤 Socket 流量
weixin_45887654的博客
03-12 622
使用socket类型的eBPF程序进行数据包抓取。
[eBPF]:特殊过滤
BuildUp
04-03 364
有些工具具有特殊的过滤功能,主要用例是跟踪运行在容器中的进程,但这些机制是通用的,可以在其他情况下也可以使用。
ebpf 研究之原始套接字数据包过滤
龙瑜的博客
01-09 2225
原始套接字数据包过滤 ebpf 支持原始套接字过滤功能,本文参考 《Linux 内核观测技术 BPF》第 6 章的示例进行描述,并深挖隐藏在 epbf 程序背后的一些技术细节。 ebpf 程序示例代码 bfp_program 源码如下: #include <linux/bpf.h> #include <linux/if_ether.h> #include <linux/if_packet.h> #include <linux/in.h> #include &l
ebpf深入理解和应用介绍
热门推荐
网络安全研究
04-07 2万+
1. ebpf概述 1.1 ebpf发展历史 BPF,及伯克利包过滤器Berkeley Packet Filter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核崩溃或者安全问题 —— 并附着到一个套接字上,接着在每个接...
Linux: eBPF 实现简析
JiMoKuangXiangQu的专栏
04-02 1373
linuxeBPF,调试追踪工具
eBPF入门开发实践教程五
09-02
你好!对于eBPF(extended Berkeley Packet Filter)的入门开发实践,下面是一些基本步骤和教程示例,供您参考: 1. 环境设置: - 确保您的操作系统支持eBPF并安装了相关工具和库(如clang、libbpf等)。 - 在内核中启用eBPF支持,确保您的内核版本较新。 2. 学习eBPF基础知识: - 了解eBPF的基本概念、语法和工作原理。 - 学习eBPF的指令集和功能。 3. 编写和调试eBPF程序: - 使用C语言编写eBPF程序,可以使用bpf_helpers.h头文件提供的函数。 - 使用clang编译eBPF程序为eBPF字节码。 - 运行并调试eBPF程序,可以使用bpftool、ip命令等工具。 4. 实践示例:下面是一个简单的eBPF实践示例,用于统计网络数据包的数量: ```c #include <linux/bpf.h> #include <linux/if_ether.h> #include <linux/ip.h> SEC("filter") int count_packets(struct __sk_buff *skb) { struct ethhdr *eth = bpf_hdr_pointer(skb); struct iphdr *ip = (struct iphdr *)(eth + 1); if (eth->h_proto == htons(ETH_P_IP)) { bpf_trace_printk("Received IP packet\n"); return XDP_PASS; } return XDP_DROP; } ``` 这个示例使用eBPF过滤器来统计接收到的IP数据包数量。 5. 加载和运行eBPF程序: - 使用ip命令加载eBPF程序: ``` $ ip link set dev <interface> xdp obj <ebpf_program.o> sec <section_name> ``` - 验证eBPF程序是否成功加载并生效。 希望这些步骤和示例能够帮助您入门eBPF开发实践
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值