[eBPF] sockops类型运行梳理

原创 已于 2023-12-20 22:43:21 修改 · 1.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #linux

于 2023-12-20 22:40:42 首次发布
本文详细介绍了eBPF的sockops程序类型如何在Linux内核的socket事件中实现埋点,以及如何通过tcp_connect函数触发BPF程序执行,展示了从内核源码到实际应用的完整流程。

[eBPF] sockops类型运行梳理

BPF_PROG_TYPE_SOCK_OPS程序类型

内核中socket事件(本质是各函数)中的埋点,能够在socket的生命周期每个节点执行BPF程序。

  • 进入Linux内核的commit
  • session定义SEC_DEF("sockops", SOCK_OPS, BPF_CGROUP_SOCK_OPS, SEC_ATTACHABLE_OPT)
  • 参数,由BPF_PROG_TYPE(BPF_PROG_TYPE_SOCK_OPS, sock_ops, struct bpf_sock_ops, struct bpf_sock_ops_kern)可知:bpf程序的入参是bpf_sock_ops,对应内核中的上下文是bpf_sock_ops_kern。
  • 使用场景:参考博客

示例代码

__section("sockops") // 加载到 ELF 中的 `sockops` 区域,有 socket operations 时触发执行
int bpf_sockmap(struct bpf_sock_ops *skops)
{
   
   
    switch (skops->op) {
   
   
        case BPF_SOCK_OPS_PASSIVE_ESTABLISHED_CB: // 被动建连
        case BPF_SOCK_OPS_ACTIVE_ESTABLISHED_CB:  // 主动建连
            if (skops->family == 2) {
   
                // AF_INET
                bpf_sock_ops_ipv4(skops);         // 将 socket 信息记录到到 sockmap
            }
            break;
        default:
            break;
    }
    return 0;
}

Hook位置梳理

  1. tcp_output.c,中核心函数int tcp_connect(struct sock *sk)一开始就埋了点:
// https://elixir.bootlin.com/linux/v6.6.4/source/net/ipv4/tcp_output.c#L3946
/* Build a SYN and send it off. */
int tcp_connect(struct sock *sk)
{
   
   
	struct tcp_sock *tp = tcp_sk(sk);
	struct sk_buff *buff;
	int err;
最低0.47元/天 解锁文章
14、eBPF 程序类型及相关机制解析
e6f7g8h9i的博客
09-01 39
本文详细解析了eBPF程序的上下文与类型,深入探讨了辅助函数、返回码、BPF内核函数(Kfuncs)以及不同程序类型的适用场景。文章还对追踪相关程序类型,如Kprobes、Kretprobes、Fentry/Fexit、Tracepoints等进行了详细分析,并通过对比表格帮助开发者更好地选择适合的追踪机制。此外,文章提供了操作步骤流程图、实际应用案例及注意事项,全面介绍了eBPF在内核和用户空间事件追踪中的应用。
4、eBPF 映射类型与功能详解
最新发布
svm4gardener的博客
08-24 73
本文详细解析了 eBPF 的多种映射类型,包括数组、哈希表、性能和环形缓冲区,以及程序数组映射的使用场景和实现方式。通过具体示例代码展示了如何利用 eBPF 进行系统调用监控,并使用尾调用来实现 eBPF 程序之间的高效切换。同时,文章还介绍了相关的辅助函数、上下文信息的获取方式以及开发实践中的注意事项,帮助开发者更好地理解和应用 eBPF 技术。
ebpf sockops 功能分析
already_skb的专栏
02-18 2059
ebpf sockops 实现原理 大家肯定好奇为什么通过ebpf sockops可以提取我们想要的数据 ? 正常来说实现方式有两种,第一种是关键路径上埋钩子函数;第二种是kprobe的粘贴插入。 ebpf sockops 是通过第一种实现的,在关键路径上埋钩子函数了,所以想要扩展功能难哦,一般在内核版本升级时可以提前规划埋好钩子函数。 ebpf sockops 支持那些功能 ebpf sockops支持那些功能(关键看在什么路径上埋了钩子函数),看 下面代码吧 ...
ebpf sockops 代码解读
already_skb的专栏
02-19 1831
2032 static inline int tcp_call_bpf(struct sock *sk, int op, u32 nargs, u32 *args) 2033 { 2034 struct bpf_sock_ops_kern sock_ops; 2035 int ret; 2036 2037 memset(&sock_ops, 0, offsetof(struct bpf_sock_ops_kern, temp)); 2038 .
eBPF/sockmap实现socket转发offload
热门推荐
TCP/IP
12-25 1万+
我们已经对eBPF将网络转发offload到XDP(eXpress Data Path)耳熟能详,作为Linux内核的一把 “瑞士军刀” ,eBPF能做的事情可不止一件,它是一个多面手。 socket数据offload问题 通过代理服务器在两个TCP接连之间转发数据是一个非常常见的需求,特别是在CDN的场景下,然而这个代理服务器也是整条路径中的瓶颈之所在,代理服务器的七层转发行为极大地消耗着单机性...
使用socket BPF
03-16 2439
转自:http://blog.donews.com/quickmouse/archive/2004/11/17/173266.aspx 第一次听说socket BPF的东西是CTO说sniffer要注意效率问题,需要针对规则设定一定的过滤规则,这样可以减少程序在用户空间和内核空间的切换。于是就去google那个东西了。不过结果并不是很理想的,似乎研究这个的人不多。从方方面面的情况看,似乎用lib
BPF程序类型
金荣的个人技术博客
03-09 1382
1 前言 根据BPF程序的主要目的,可以将其分为两类。一类是跟踪,一类是网络。 1.1 跟踪 跟踪类程序可以提供系统行为和系统硬件的直接信息。它们可以访问特定内存区域,从运行进程中提取执行跟踪信息。还可以直接访问为每个特定进程分配的资源,包括文件描述符、CPU和内存。 1.2 网络 网络类程序可以检测和控制系统的网络流量。它们可以对网络接口的数据包进行过滤,甚至可以完全拒绝数据包。可以将BPF程序附加到网络驱动程序接受数据包的网络事件上,也可以将BPF程序附加到数据包传递给用户空间的网络事件上。 2. BP
基于eBPF的PHP运行时性能分析
赣州远创君协互联网科技有限公司旗下官方博客
05-09 590
eBPF技术通过内核态与用户态的协同观测架构,实现了对PHP运行时的深度追踪与性能分析。其核心原理包括探针机制、零拷贝数据采集和安全验证机制,能够实时捕获PHP-FPM的请求处理链路,并监测OPcache命中率、内存泄漏和协程调度等关键性能指标。在生产环境中,bpftrace、bpftop和BCC工具集等eBPF工具链可用于PHP函数级追踪、慢查询分析和协程阻塞检测。
BPF程序类型及其原理
zhjwang的博客
08-05 6742
bpf都可以干啥 为了回到这个问题,我们在bpf.h中看到了一些bpf类型的枚举定义: enum bpf_prog_type { BPF_PROG_TYPE_UNSPEC, BPF_PROG_TYPE_SOCKET_FILTER, BPF_PROG_TYPE_KPROBE, BPF_PROG_TYPE_SCHED_CLS, BPF_PROG_TYPE_SCHED_ACT, BPF_PROG_TYPE_TRACEPOINT, BPF_PROG_TYPE_
linux用户态内核态通信,内核态与用户态通信 之 sockopt
weixin_32679187的博客
04-29 3218
转自:http://blog.youkuaiyun.com/jk110333/article/details/8642261用户态与内核态交互通信的方法不止一种,sockopt是比较方便的一个,写法也简单.缺点就是使用copy_from_user()/copy_to_user()完成内核和用户的通信,效率其实不高,多用在传递控制选项信息,不适合做大量的数据传输用户态函数:发送:int setsock...
性能优化实战|使用eBPF代替iptables优化服务网格数据面性能
极客重生
02-10 2312
目前以 Istio[1] 为代表的服务网格普遍使用 Sidecar 架构,并使用 iptables 将流量劫持到 Sidecar 代理,优点是对应用程序无侵入,但是 Sidecar 代理会...
云原生网络篇——万级节点服务网格与智能流量治理
如果相遇,那么你好哦~
03-02 908
2023年双十一期间,某电商平台的支付网关因瞬时流量激增导致服务网格控制面崩溃,造成2.7亿元交易失败。而另一家跨国流媒体公司通过智能流量治理系统,在跨三大洲的云环境中实现了200万QPS的稳定传输。这两个案例揭示了云原生时代的核心网络法则——网络不仅是连接器,更是智能中枢。 本文将深入解析支撑百万级节点的网络架构核心技术,聚焦三大核心战场: ​服务网格控制面如何突破百万QPS性能瓶颈(延迟降低90%) ​强化学习算法怎样实现动态精准限流(资源利用率提升40%) ​跨云流量编排引擎如何统一调度混合云流量
TCP-BPF :通过BPF定制TCP行为
u013396019的博客
11-15 4365
TCP-BPF :通过BPF定制TCP行为 TCP-BPF是近期由facebook工程师发明,推送到内核的。 它的设计初衷是提供一种新的定制TCP参数和行为的机制。例如可以灵活的修改tcp 缓冲区大小,SYN RTO, SYN-ACK RTO 参数等。那么这种新的机制有什么神奇之处?过去的机制又有何短处?且听下文。 介绍 Linux 本身提供了一些机制可以修改TCP的一些参数。 setsockopt 我们知道当我们建立了socket 之后,可以通过setsockopt 修改一些TCP的参数,例如SO_R
内核ebpf基础知识
开源&&分享
08-03 1292
2014 年初,Alexei Starovoitov 实现了 eBPF(extended Berkeley Packet Filter)。经过重新设计,eBPF 演进为一个通用执行引擎,可基于此开发性能分析工具、软件定义网络等诸多场景。
使用 eBPF 技术实现更快的网络数据包传输
hanfengzxh的博客
03-22 897
通过 eBPF 的引入,我们缩短了同节点通信数据包的 datapath,跳过了内核网络栈直接连接两个对端的 socket。这种设计适用于同 pod 两个应用的通信以及同节点上两个 pod 的通信。[^1]: 该辅助函数将引用的 socket 添加或者更新到 sockethashmap中,程序的输入作为键值对的值。详细信息可参考中的。[^2]: 该辅助函数将msg转发到 socket map 中key对应的 socket。关注"云原生指北"微信公众号(转载本站文章请注明作者和出处。
常见的 eBPF 程序类型和 ctx 类型对应表
CeerDecy的博客
10-28 1153
在开发ebpf程序的时候如何确定ctx上下文的类型呢?:在kprobe和kretprobe程序中,ctx是类型,表示寄存器上下文。可以通过ctx访问被监控函数的参数或返回值。:根据具体的 tracepoint 事件,ctx类型会是与事件定义相对应的struct。:每个 tracepoint 都有一个特定的上下文结构,通常可以在中找到。例如,的ctx类型是。示例:在 XDP 程序中,ctx是类型,用于访问网络数据包的元数据和数据指针。:在 socket filter 程序中,ctx是。
抽丝剥茧:从 Linux 源码探索 eBPF 的实现
hanfengzxh的博客
04-01 1109
去年学习 eBPF,分享过,都是面向 eBPF 的应用。为了准备下一篇文章,这次决定从 Linux 源码入手,深入了解 eBPF 的工作原理。因此这篇又是一篇学习笔记,假如你对 eBPF 的工作原理也感兴趣,不如跟随我的脚步一起。文章中若有任何问题,请不吝赐教。这里不会再对 eBPF 进行过多的介绍,可以参考我的另一篇,结合可以了解 eBPF 的基本内容以及其在网络加速方面的应用。接下来我们还是使用中的程序为例, 配合源码探索 eBPF 的工作原理。
使用 EBPF加速 ISTIO 数据平面
NewTyun的博客
01-25 1368
‍新钛云服已为您服务1382天介绍:服务网格是处理服务间通信的基础设施层。它负责构成现代云原生应用程序的复杂服务拓扑来可靠地交付请求。Istio 是迄今为止最受欢迎的服务网格,因为它有非常...
libbpf eBPF对TCP下手了
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
04-17 3605
eBPF这项新技术会成为又一个内核玩家们的新圣地。 而我对eBPF了解的越多,就愈发追捧这门技术,乃至有些痴迷,“eBPF造万物”的字眼快要在我嘴里破口而出,背后的原因,是内核给了eBPF足够的空间,去接管系统的一切。 但作为一个TCP玩家,学习eBPF的目的自然还是注重眼前。TCP是我现在的工作,所以我只好把目光从全局回缩一下,先捣鼓捣鼓eBPF对TCP的玩法。 BPF是我的出发点,所以我总想着在这玩出点什么名堂。 以往刚接触eBPF,会偏执的认为这只是一个白盒测试,最有价值的是在于可以追踪应用程序/内核
ebpf程序类型
03-08
### eBPF 程序类型及其用途 #### 1. Socket 过滤器 (Socket Filters) 这类程序用于过滤到达套接字的数据包。通过挂载到特定的 socket 上,能够决定哪些数据包应该传递给应用程序,哪些应当被丢弃。这使得开发者能够在应用层面上实现高效的流量控制机制。 ```c SEC("socket") int sock_filter(struct __sk_buff *skb) { // 对传入的数据包执行某些操作... } ``` 这种类型的 BPF 程序可以直接访问 `struct __sk_buff` 提供的信息[^3],从而允许对网络数据包的内容进行深入分析和处理。 #### 2. Kprobe 和 Uprobes Kprobes 允许在内核函数入口处插入探测点;Uprobes 则是在用户空间进程中设置断点。这两种探针都可以触发关联的 BPF 程序运行,以便收集性能统计数据或调试信息。 ```c // 定义一个kprobe事件处理器 SEC("kprobe/do_sys_open") int handle_do_sys_open(struct pt_regs *ctx){ // 执行日志记录或其他动作... } // 用户态uprobe示例 SEC("uprobe/bin/bash:/usr/bin/bash:do_execve") int uprobe_handler(struct pt_regs *ctx, const char *filename) { // 处理execve调用... } ``` 此类程序对于追踪系统行为非常有用,并且可以通过 bpftool 工具与 kallsyms 结合使用来解析辅助函数地址[^1]。 #### 3. TC Classifier and Action Programs TC(Traffic Control)分类器负责根据预定义规则区分不同类别的网络流;而动作程序则决定了如何处置这些已分类的数据包——比如重新路由、修改报文头部等。两者共同作用于Linux Traffic Control子系统之上。 ```bash # 使用tc命令加载ebpf程序作为qdisc的一部分 $ tc qdisc add dev eth0 clsact $ tc filter add dev eth0 ingress bpf da obj classifier.o sec prog ``` 上述配置将使指定网卡上的所有进入流量经过由 ebpf 编写的分类逻辑判断后再做相应处理。 #### 4. XDP (eXpress Data Path) XDP 是一种位于驱动层面的工作模式,它让 BPF 程序尽可能早地介入到数据接收路径当中,以此获得极低延迟下的高性能表现。适用于构建高速防火墙、DDoS防护等功能模块。 ```c SEC("xdp") int xdp_drop_all(struct xdp_md *ctx) { return XDP_DROP; } ``` 此代码片段展示了一个简单的 XDP 程序实例,该程序会无条件拒绝所有收到的数据帧。 #### 5. Tracepoints Tracepoint 类型的 BPF 程序可以附加到预先设定好的跟踪点上,当达到某个感兴趣的事件时就会激活对应的回调函数。这种方式提供了轻量级的日志记录能力而不必担心引入过多开销。 ```c SEC("tracepoint/block:block_rq_issue") int trace_block_request(struct trace_event_raw_block_rq *ctx) { // 记录磁盘I/O请求详情... } ``` 以上就是几种常见的 eBPF 应用场景概述。每种类型都有其独特的优势所在,可以根据实际需求灵活选用合适的方案来进行开发实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值