slab memory的错误类型(2)

最新推荐文章于 2021-04-30 02:51:03 发布
最新推荐文章于 2021-04-30 02:51:03 发布
阅读量2.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: memory
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011279649/article/details/17998507
本文深入探讨了内存泄露现象,具体分析了在使用 slab 缓存机制时出现的问题,包括对象未被正确释放后仍被访问的情况。通过实例展示了内存地址的覆盖现象,并解释了打开 slab_debug 开关后可能导致的 crash。同时,提供了关于如何在 slab 缓存中正确使用对象的建议,以及如何避免内存泄露的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/******************************************************************/

1] use the object after free:

/*调用kmem_cache_free后,object就是inactive的,当有申请就会被分配
 *一段时间后可能被回收。
 *如果不打开slab_debug是不会有问题的,只是内容被改变而已; 打开则crash
 **/
[   13.072735:0] Slab corruption (Tainted: G        W   ): my_cache start=ee14f478, len=32
[   13.081033:0] Redzone: 0x9f911029d74e35b/0x9f911029d74e35b.
[   13.087072:0] Last user: [<c02a3ec4>](slab_test+0x78/0xcc)
[   13.101280:0] 000: dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd  ................
[   13.109835:0] 010: dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd  ................
[   13.128925:0] Prev obj: start=ee14f440, len=32
[   13.146059:0] Redzone: 0x9f911029d74e35b/0x9f911029d74e35b.
[   13.152306:0] Last user: [<  (null)>](0x0)
[   13.156688:0] 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b  kkkkkkkkkkkkkkkk
[   13.165924:0] 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b a5  kkkkkkkkkkkkkkk.
[   13.175003:0] Next obj: start=ee14f4b0, len=32
[   13.180320:0] Redzone: 0x9f911029d74e35b/0x9f911029d74e35b.
[   13.187112:0] Last user: [<  (null)>](0x0)
[   13.191314:0] 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b  kkkkkkkkkkkkkkkk
[   13.203392:0] 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b a5  kkkkkkkkkkkkkkk.
[   13.212974:0] ------------[ cut here ]------------
[   13.217779:0] kernel BUG at mm/slab.c:2037!
[   13.221967:0] Internal error: Oops - BUG: 0 [#1] PREEMPT SMP ARM
[   13.227966:0] Modules linked in: memalloc
[   13.232018:0] CPU: 0    Tainted: G        W     (3.4.0-gc093057-dirty #596)
[   13.238986:0] PC is at check_poison_obj+0x194/0x1b4
[   13.243868:0] LR is at console_unlock+0x1c8/0x1d8

[   14.198441:0] Backtrace:
[   14.201081:0] [<c00d59fc>] (check_poison_obj+0x0/0x1b4) from [<c00d6938>] (slab_destroy+0x50/0x148)
[   14.210096:0] [<c00d68e8>] (slab_destroy+0x0/0x148) from [<c00d6d9c>] (drain_freelist+0xa0/0xc8)
[   14.218845:0]  r8:ee14c1f0 r7:ee14c204 r6:00000001 r5:ee14ea00 r4:ee14c1e0
[   14.225564:0] r3:00000000
[   14.228377:0] [<c00d6cfc>] (drain_freelist+0x0/0xc8) from [<c00d6ea4>] (cache_reap+0xe0/0x140)
[   14.236963:0] [<c00d6dc4>] (cache_reap+0x0/0x140) from [<c004240c>] (process_one_work+0x274/0x420)
[   14.245883:0]  r7:00000000 r6:c1130100 r5:c112b620 r4:ed8f5f20
[   14.251752:0] [<c0042198>] (process_one_work+0x0/0x420) from [<c0042954>] (worker_thread+0x1c4/0x2c4)
[   14.260940:0] [<c0042790>] (worker_thread+0x0/0x2c4) from [<c0048ad8>] (kthread+0x98/0xa4)
[   14.269177:0] [<c0048a40>] (kthread+0x0/0xa4) from [<c002e0d0>] (do_exit+0x0/0x758)

2] the used size beyond the application:

int slab_test(void)
{
    void *object;

    pr_err("slab_test: Cache name is %s\n", my_cachep->name);
    pr_err("slab_test: Cache object size is %d\n", kmem_cache_size(my_cachep));
    object = kmem_cache_alloc(my_cachep,GFP_KERNEL );
    if (object){
        pr_err("slab_test: get an object size 32 but used as 64 %p\n", object);
        memset(object, 0xDD, 64);
    }
    if(0){
        kmem_cache_free(my_cachep, object );
        memset(object, 0xee, 64);
    }
    trace_printk("slab_test: trace printk %p\n", object);
    pr_err("slab_test: after free but write still %p\n", object);

    return 0;
}

<3>[    4.509251:1] slabtest_driver_init
<3>[    4.513412:1] slab_test: Cache name is my_cache
<3>[    4.517997:1] slab_test: Cache object size is 32
<3>[    4.522887:1] slab_test: get an object size 32 but used as 64 ee296478
<3>[    4.529506:1] slab_test: after free but write still ee296478

ee296478 and ee2c0470
这里可能有点疑问:打印出来是 ee2c0478, 通过命令kmem看到怎是ee2c0470.
不用忘了,如果slab_debug开关打开,会加上read zone and user caller等。

crash> kmem -S my_cache
CACHE    NAME                 OBJSIZE  ALLOCATED     TOTAL  SLABS  SSIZE
ee17fa00 my_cache                  56          1        67      1     4k

SLAB      MEMORY    TOTAL  ALLOCATED  FREE
ee2c0000  ee2c0128     67          1    66
FREE / [ALLOCATED]

crash> rd FREE: ee2c0ef0 /*正常的还没使用的object*/
ee2c0ef0:  9d74e35b 09f91102 6b6b6b6b 6b6b6b6b   [.t.....kkkkkkkk
ee2c0f00:  6b6b6b6b 6b6b6b6b 6b6b6b6b 6b6b6b6b   kkkkkkkkkkkkkkkk
ee2c0f10:  6b6b6b6b a56b6b6b 9d74e35b 09f91102   kkkkkkk.[.t.....
[4*3*4 +2*4 = 48+8 =56]

/*如果写入的数据超过界限,也就是向后写,后面数据会被覆盖*/
crash> rd [ALLOCATED] ee2c0470
ee2c0470:  635688c0 d84156c5 dddddddd dddddddd   ..Vc.VA.........
ee2c0480:  dddddddd dddddddd dddddddd dddddddd   ................
ee2c0490:  dddddddd dddddddd dddddddd dddddddd   ................
ee2c04a0:  dddddddd dddddddd dddddddd dddddddd   ................
ee2c04b0:  dddddddd dddddddd
32有效字节的对象,却写入了64,结果就是覆盖。

/*请注意:此时看 kmalloc的 cache: size-xxx, 是没有包含red zone and user call的,但是

 *poison element是起作用的,why?

 **/

crash> kmem -S size-32
CACHE    NAME                 OBJSIZE  ALLOCATED     TOTAL  SLABS  SSIZE
ee000080 size-32                   32      13959     16498    146     4k

crash> rd e82176c0 0x30
e82176c0:  6b6b6b6b 6b6b6b6b 6b6b6b6b 6b6b6b6b   kkkkkkkkkkkkkkkk
e82176d0:  6b6b6b6b 6b6b6b6b 6b6b6b6b a56b6b6b   kkkkkkkkkkkkkkk.
41、Linux内核Slab分配器详解
grass的博客
06-20 24
本文深入解析了Linux内核中的Slab分配器,介绍了其设计目的、工作机制以及如何通过Slab缓存提高内存分配和释放的效率。文章详细描述了Slab分配器的API使用方法、内存释放的最佳实践,以及常见的问题和解决方案。此外,还提供了查看Slab缓存状态的工具和技巧,帮助开发者更好地管理内核内存,优化系统性能。
14 内核开发-slab 子系统,kmalloc、kzalloc 和 kfree
jxusthusiwen的专栏
04-28 1078
slab 是一个子系统,用于管理内核对象(如文件系统inode 和套接字缓冲区)的内存分配。它使用一种称为 slab 缓存的机制来减少内存碎片并提高分配和释放性能。kmalloc 和 kzalloc 是函数,用于从内核堆中分配内存。kmalloc 分配的内存未初始化,而 kzalloc 分配的内存被清零。kfree 是一个函数,用于释放先前由 kmalloc 或 kzalloc 分配的内存。kmalloc 和 kzalloc 函数用于从 slab 缓存中分配对象。
怎样分析crash dump(内存错误)
热门推荐
u011279649的专栏
02-13 1万+
Memory错误 在内核中,内存是以cache的形式组织的,每个对象类型对应一个cache,如(inod_cache,dentry_cache, buffer_head,vm_area_strutct等);每个cache包含多个slab(slab由一个或多个页组成,这些页物理上是连续的);每个slab包含多个初始化的对象。 Cache可以分为两类【kmalloc使用的和其他】,当然他们是用
linux内存泄漏进程挂掉,一次解决Linux内核内存泄漏实战全过程-嵌入式系统-与非网...
weixin_30332669的博客
04-30 339
什么是内存泄漏:程序向系统申请内存,使用完不需要之后,不释放内存还给系统回收,造成申请的内存被浪费.发现系统中内存使用量随着时间的流逝,消耗的越来越多,例如下图所示:接下来的排查思路是:1.监控系统中每个用户进程消耗的PSS (使用pmap工具(pmap pid)).PSS:按比例报告的物理内存,比如进程A占用20M物理内存,进程B和进程A共享5M物理内存,那么进程A的PSS就是(20 - 5) ...
宋牧春: Linux内核slab内存的越界检查——SLUB_DEBUG
Linux阅码场
02-08 8087
本文简介:SLAB内存分配器-SLUB的DEBUG功能,如何帮忙检测内存越界(out-of-bounds)和访问已经释放的内存(use-after-free)。本文目录:1. 前言2. SLUB DEBUG功能3. object layout4. SLUB DEBUG原理5. slabinfo作者简介:宋牧春,linux内核爱好者,2017年6月本科毕业于江苏大学。现就职于一家手机研发公司,任职B
KASAN实现原理
weixin_33966095的博客
03-06 1016
2019独角兽企业重金招聘Python工程师标准>>> ...
extmem.rar_memory
09-24
其中,"external memory segment"通常指的是那些不直接位于系统物理内存中的存储区域,例如闪存(Flash Memory)或其他类型的非易失性存储器。这些外部存储器可能用于扩展系统的主内存,或者作为特定设备(如固态...
Buddy算法和slab分配器
runner668的博客
04-18 1652
伙伴Buddy算法解决了外部碎片问题.内核在每个zone区管理着可用的页面,按2的幂级(order)大小排成链表队列,存放在free_area数组。具体buddy管理基于位图,其分配回收页面的算法描述如下,buddy算法举例描述:假设我们的系统内存只有16个页面RAM。因为RAM只有16个页面,我们只需用四个级别(orders)的伙伴位图(因为最大连续内存大小为16个页面),如下图所示。  ord...
memcached源码分析-----slab automove和slab rebalance
luotuo44的专栏
01-22 4461
转载请注明出处: 需求:         考虑这样的一个情景:在一开始,由于业务原因向memcached存储大量长度为1KB的数据,也就是说memcached服务器进程里面有很多大小为1KB的item。现在由于业务调整需要存储大量10KB的数据,并且很少使用1KB的那些数据了。由于数据越来越多,内存开始吃紧。大小为10KB的那些item频繁访问,并且由于内存不够
zephyr笔记 2.3.1 Memmory Slabs
IoT小能手
04-28 816
1 前言 memory slab 是一个内核对象,它允许从指定的内存区域动态分配内存块。 memory slab 中的所有内存块都有一个固定大小,可以高效地分配和释放它们,避免出现内存碎片问题。 我正在学习 Zephyr,一个很可能会用到很多物联网设备上的操作系统,如果你也感兴趣,可点此查看帖子zephyr学习笔记汇总。 2 概念 可以定义任意数量的 memory slab。每个 me...
内存管理三 内核内存检测KASAN
frank_zyp的博客
09-07 1万+
一、简介:         Kasan 是 Kernel Address Sanitizer 的缩写,它是一个动态检测内存错误的工具,主要功能是检查内存越界访问和使用已释放的内存等问题。KASAN可以检测的内存异常包括:slab-out-of-bounds/user-after-free/stack-out-of-bounds/global-out-of-bounds等。 (1)环境要求: ...
详解slab机制(4) slab初始化
u010246947的专栏
08-21 1804
2.4、Slab初始化: 最后才描述初始化,原因就是在不理解slab的原理和使用,不理解cache,空看初始化会白费很多时间和精力; 其实看到这里,应该可以对slab的初始化能猜出大概了,在start_kernel的mm_init函数中调用函数kmem_cache_init初始化slab,为了能创建各种长度的cache,尤其是struct array和struct kmem_list3这两
linux内存占用问题调查——slab
赶路人儿
05-22 7799
1、问题描述: 最近在维护一台CentOS服务器的时候,发现内存无端"损失"了许多,free和ps统计的结果相差十几个G,登上去发现: $ free -g total used free shared buffers cached Mem: 15 15 0
Linux Kernel 模块内存泄露查找 (2)
一个程序员的修炼之路
06-19 1万+
在之前的一篇博文<<Linux Kernel模块内存泄露的一种查找思路>>中,我介绍了一种查找内核内存泄露的一种方法。这不才几个月,又有客户埋怨:使用了产品5天左右后,Suse服务器由于内存耗尽而Crash。O My God,不会吧,在我机器上跑的好好的哇(程序员常用名言 嘿嘿)。 那么就让我们一起来看看,苦逼的博主是如何确定问题并且找到问题的....
Linux 内核内存泄露工具使用
Tony的专栏
06-04 2809
1. 内核添加内存泄漏功能选项        kernel memory leak detector        kernel debugging        memory leak debugging        Compile kernel with debug info        通过make menuconfig 进入配置选项界面进入kernel hacking -->
linux的crash之hardlock排查记录
weixin_33857679的博客
10-23 431
3.10.0-327的内核,crash记录如下: KERNEL: vmlinux DUMPFILE: vmcore [PARTIAL DUMP] CPUS: 48 DATE: Wed Oct 18 20:37:18 2017 UPTIME: 1 days, 09:43:06LOAD AVERAGE: 13.42, 10.66, 9.48 ...
Kernel Panic (Kdump) 解析实例之二
存储老小伙的专栏
09-27 1913
1) 这个panic跟内存使用越界有关。先来看看导致panic的call trace和寄存器。   RIP: 0010:[] [] elv_rqhash_add+0x81/0xa0   RSP: 0018:ffff880142c7da68 EFLAGS: 00010002 RAX: ffff88013f9de800 RBX: ffffffdb6ab92554 RCX: ffff88017
Linux Memory Management covering details about DMA and Coherent Cache
最新发布
08-10
<think>嗯,用户要求我详细解释Linux内存管理,特别是DMA和缓存一致性的机制。首先需要回顾一下Linux内存管理的基础知识。Linux使用分页机制,物理内存被划分成页帧,通常大小为4KB。内核通过伙伴系统管理这些页帧,处理分配和释放。另外,slab分配器用于高效管理内核对象的小内存分配,比如task_struct这样的结构体。 接下来是DMA部分。DMA允许外设直接访问内存而不经过CPU,这能提升数据传输效率。但这里有个问题:外设和CPU可能看到不同的内存视图。比如,CPU可能有缓存,而外设直接访问物理内存。所以需要解决一致性问题。在x86架构中,由于硬件保证了缓存一致性,可能不需要软件干预。但像ARM这样的架构可能需要软件维护一致性,比如使用dma_map_single这样的API来同步缓存。 缓存一致性机制方面,需要理解Linux提供的不同映射方式。一致性DMA缓冲区通过dma_alloc_coherent分配,保证CPU和外设看到的是一致的,通常用于长期使用的缓冲区。流式DMA映射使用dma_map_single等函数,适用于一次性传输,需要显式同步缓存。还有分散/聚集映射,处理分散的内存块。 用户可能还关心同步操作,比如dma_sync_single_for_device和dma_sync_single_for_cpu,这些函数在数据传递前后同步缓存,确保双方看到正确的数据。另外,设备树(Device Tree)或ACPI表的作用也很重要,它们描述了外设的DMA能力,比如地址范围和支持的寻址模式。 硬件方面,IOMMU的作用不可忽视。它提供地址转换和访问保护,类似MMU但针对外设。比如Intel的VT-d和ARM的SMMU,能防止外设错误访问内存,提升安全性。同时,IOMMU也参与缓存一致性,比如将外设的请求转换成正确的缓存协议。 还要考虑不同架构的差异。比如在无缓存一致性的架构中,软件必须处理所有同步,而在有硬件支持的架构中,可能更简单。此外,用户可能想知道如何调试DMA问题,比如缓存一致性问题导致的系统崩溃。这时候,DMA调试工具如CONFIG_DMA_API_DEBUG就很有用,可以检测未映射的访问或缓存同步错误。 最后,应用场景方面,网络和存储驱动大量使用DMA,比如网卡接收数据包时直接存入内存,然后通过中断通知CPU。这时候,正确的缓存同步确保CPU读取的是最新数据。另外,用户可能对CMA(连续内存分配器)感兴趣,它在启动时保留大块连续内存供DMA使用,避免运行时内存碎片问题。</think>## Linux内存管理详解:DMA与缓存一致性机制 ### 一、内存管理基础架构 1. **物理内存管理** Linux使用**伙伴系统**管理物理页帧,将内存划分为$2^n$大小的块,解决外部碎片问题: ```c struct zone { struct free_area free_area[MAX_ORDER]; // 不同阶的空闲列表 }; ``` 同时**slab分配器**管理内核对象缓存(如`task_struct`, `inode`),解决内部碎片: ```c struct kmem_cache *task_struct_cache = KMEM_CACHE(task_struct, SLAB_PANIC); ``` 2. **虚拟地址空间** - 用户空间:通过**页表**实现虚拟→物理映射($V_{addr} \xrightarrow{PTE} P_{addr}$) - 内核空间:直接映射区(`__va(phys_addr)`)与vmalloc区(非连续物理页) ### 二、DMA机制详解 #### 1. DMA工作流程 ```mermaid sequenceDiagram CPU->>设备驱动: 启动DMA传输 设备驱动->>DMA控制器: 设置源/目标地址 DMA控制器->>内存: 直接读写数据 内存-->>DMA控制器: 传输完成 DMA控制器->>CPU: 发送中断 ``` #### 2. DMA缓冲区类型 | 类型 | 分配API | 特点 | 适用场景 | |---------------------|--------------------|-----------------------------|-----------------------| | 一致性DMA缓冲区 | `dma_alloc_coherent` | CPU/设备缓存自动同步 | 长期共享数据(如控制块) | | 流式DMA映射 | `dma_map_single` | 需显式缓存同步 | 单次传输(网络包等) | | 分散/聚集映射 | `dma_map_sg` | 处理物理分散的内存块 | 文件I/O操作 | ### 三、缓存一致性机制 #### 1. 硬件一致性(如x86) CPU缓存通过**MESI协议**自动维护一致性: $$ \text{Modified} \leftrightarrow \text{Exclusive} \leftrightarrow \text{Shared} \leftrightarrow \text{Invalid} $$ 设备通过**总线监听**参与一致性协议(如PCIe的Snooping) #### 2. 软件维护一致性 在无硬件支持架构(如早期ARM)需手动处理: ```c // 数据传输前清洗CPU缓存 dma_map_single(dev, addr, size, DMA_TO_DEVICE); // 数据接收后失效CPU缓存 dma_map_single(dev, addr, size, DMA_FROM_DEVICE); ``` #### 3. IOMMU关键作用 ```mermaid graph LR 设备-->|DMA请求| IOMMU IOMMU-->|物理地址| 内存 IOMMU-.->|TLB缓存| 页表 ``` - **地址翻译**:设备VA → 物理PA(`/sys/kernel/iommu_groups`) - **访问控制**:阻止非法内存访问(如DMA攻击) - **缓存整合**:将设备请求转为一致性协议(如AXI ACE) ### 四、实战案例:网卡驱动 ```c // 1. 分配一致性描述符环 ring_desc = dma_alloc_coherent(dev, size, &ring_dma, GFP_KERNEL); // 2. 接收数据包时 dma_sync_single_for_cpu(dev, rx_buf_dma, len, DMA_FROM_DEVICE); // 3. 发送完成后 dma_unmap_single(dev, tx_buf_dma, len, DMA_TO_DEVICE); ``` > 当CPU处理接收包时,必须调用`dma_sync_single_for_cpu()`确保看到设备写入的最新数据[^2] ### 五、性能优化技术 1. **CMA(连续内存分配器)** 启动时预留连续物理内存:`cma=64M@0x30000000` 2. **SWIOTLB** 当设备DMA地址范围受限时(如32位设备访问64位内存): ```c swiotlb_bounce(orig_addr, tlb_addr, size, DMA_TO_DEVICE); ``` 3. **DMA池** 小对象专用分配器避免碎片: ```c dma_pool_create("small_bufs", dev, 128, 16, 0); ``` --- **典型问题排查**:若出现DMA数据损坏: 1. 检查`dma_map/unmap`配对 2. 验证IOMMU配置(`dmesg | grep iommu`) 3. 使用`CONFIG_DMA_API_DEBUG=y`跟踪映射泄漏
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值