slab memory的错误类型(2)

本文深入探讨了内存泄露现象,具体分析了在使用 slab 缓存机制时出现的问题,包括对象未被正确释放后仍被访问的情况。通过实例展示了内存地址的覆盖现象,并解释了打开 slab_debug 开关后可能导致的 crash。同时,提供了关于如何在 slab 缓存中正确使用对象的建议,以及如何避免内存泄露的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/******************************************************************/

1] use the object after free:

/*调用kmem_cache_free后,object就是inactive的,当有申请就会被分配
 *一段时间后可能被回收。
 *如果不打开slab_debug是不会有问题的,只是内容被改变而已; 打开则crash
 **/

[   13.072735:0] Slab corruption (Tainted: G        W   ): my_cache start=ee14f478, len=32
[   13.081033:0] Redzone: 0x9f911029d74e35b/0x9f911029d74e35b.
[   13.087072:0] Last user: [<c02a3ec4>](slab_test+0x78/0xcc)
[   13.101280:0] 000: dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd  ................
[   13.109835:0] 010: dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd dd  ................
[   13.128925:0] Prev obj: start=ee14f440, len=32
[   13.146059:0] Redzone: 0x9f911029d74e35b/0x9f911029d74e35b.
[   13.152306:0] Last user: [<  (null)>](0x0)
[   13.156688:0] 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b  kkkkkkkkkkkkkkkk
[   13.165924:0] 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b a5  kkkkkkkkkkkkkkk.
[   13.175003:0] Next obj: start=ee14f4b0, len=32
[   13.180320:0] Redzone: 0x9f911029d74e35b/0x9f911029d74e35b.
[   13.187112:0] Last user: [<  (null)>](0x0)
[   13.191314:0] 000: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b  kkkkkkkkkkkkkkkk
[   13.203392:0] 010: 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b 6b a5  kkkkkkkkkkkkkkk.
[   13.212974:0] ------------[ cut here ]------------
[   13.217779:0] kernel BUG at mm/slab.c:2037!
[   13.221967:0] Internal error: Oops - BUG: 0 [#1] PREEMPT SMP ARM
[   13.227966:0] Modules linked in: memalloc
[   13.232018:0] CPU: 0    Tainted: G        W     (3.4.0-gc093057-dirty #596)
[   13.238986:0] PC is at check_poison_obj+0x194/0x1b4
[   13.243868:0] LR is at console_unlock+0x1c8/0x1d8

[   14.198441:0] Backtrace:
[   14.201081:0] [<c00d59fc>] (check_poison_obj+0x0/0x1b4) from [<c00d6938>] (slab_destroy+0x50/0x148)
[   14.210096:0] [<c00d68e8>] (slab_destroy+0x0/0x148) from [<c00d6d9c>] (drain_freelist+0xa0/0xc8)
[   14.218845:0]  r8:ee14c1f0 r7:ee14c204 r6:00000001 r5:ee14ea00 r4:ee14c1e0
[   14.225564:0] r3:00000000
[   14.228377:0] [<c00d6cfc>] (drain_freelist+0x0/0xc8) from [<c00d6ea4>] (cache_reap+0xe0/0x140)
[   14.236963:0] [<c00d6dc4>] (cache_reap+0x0/0x140) from [<c004240c>] (process_one_work+0x274/0x420)
[   14.245883:0]  r7:00000000 r6:c1130100 r5:c112b620 r4:ed8f5f20
[   14.251752:0] [<c0042198>] (process_one_work+0x0/0x420) from [<c0042954>] (worker_thread+0x1c4/0x2c4)
[   14.260940:0] [<c0042790>] (worker_thread+0x0/0x2c4) from [<c0048ad8>] (kthread+0x98/0xa4)
[   14.269177:0] [<c0048a40>] (kthread+0x0/0xa4) from [<c002e0d0>] (do_exit+0x0/0x758)

2] the used size beyond the application:

int slab_test(void)
{
    void *object;

    pr_err("slab_test: Cache name is %s\n", my_cachep->name);
    pr_err("slab_test: Cache object size is %d\n", kmem_cache_size(my_cachep));
    object = kmem_cache_alloc(my_cachep,GFP_KERNEL );
    if (object){
        pr_err("slab_test: get an object size 32 but used as 64 %p\n", object);
        memset(object, 0xDD, 64);
    }
    if(0){
        kmem_cache_free(my_cachep, object );
        memset(object, 0xee, 64);
    }
    trace_printk("slab_test: trace printk %p\n", object);
    pr_err("slab_test: after free but write still %p\n", object);

    return 0;
}

<3>[    4.509251:1] slabtest_driver_init
<3>[    4.513412:1] slab_test: Cache name is my_cache
<3>[    4.517997:1] slab_test: Cache object size is 32
<3>[    4.522887:1] slab_test: get an object size 32 but used as 64 ee296478
<3>[    4.529506:1] slab_test: after free but write still ee296478

ee296478 and ee2c0470
这里可能有点疑问:打印出来是 ee2c0478, 通过命令kmem看到怎是ee2c0470.
不用忘了,如果slab_debug开关打开,会加上read zone and user caller等。


crash> kmem -S my_cache
CACHE    NAME                 OBJSIZE  ALLOCATED     TOTAL  SLABS  SSIZE
ee17fa00 my_cache                  56          1        67      1     4k

SLAB      MEMORY    TOTAL  ALLOCATED  FREE
ee2c0000  ee2c0128     67          1    66
FREE / [ALLOCATED]

crash> rd FREE: ee2c0ef0 /*正常的还没使用的object*/
ee2c0ef0:  9d74e35b 09f91102 6b6b6b6b 6b6b6b6b   [.t.....kkkkkkkk
ee2c0f00:  6b6b6b6b 6b6b6b6b 6b6b6b6b 6b6b6b6b   kkkkkkkkkkkkkkkk
ee2c0f10:  6b6b6b6b a56b6b6b 9d74e35b 09f91102   kkkkkkk.[.t.....
[4*3*4 +2*4 = 48+8 =56]

/*如果写入的数据超过界限,也就是向后写,后面数据会被覆盖*/
crash> rd [ALLOCATED] ee2c0470
ee2c0470:  635688c0 d84156c5 dddddddd dddddddd   ..Vc.VA.........
ee2c0480:  dddddddd dddddddd dddddddd dddddddd   ................
ee2c0490:  dddddddd dddddddd dddddddd dddddddd   ................
ee2c04a0:  dddddddd dddddddd dddddddd dddddddd   ................
ee2c04b0:  dddddddd dddddddd
32有效字节的对象,却写入了64,结果就是覆盖。

/*请注意:此时看 kmalloc的 cache: size-xxx, 是没有包含red zone and user call的,但是

 *poison element是起作用的,why?

 **/

crash> kmem -S size-32
CACHE    NAME                 OBJSIZE  ALLOCATED     TOTAL  SLABS  SSIZE
ee000080 size-32                   32      13959     16498    146     4k

crash> rd e82176c0 0x30
e82176c0:  6b6b6b6b 6b6b6b6b 6b6b6b6b 6b6b6b6b   kkkkkkkkkkkkkkkk
e82176d0:  6b6b6b6b 6b6b6b6b 6b6b6b6b a56b6b6b   kkkkkkkkkkkkkkk.
<think>嗯,用户要求我详细解释Linux内存管理,特别是DMA和缓存一致性的机制。首先需要回顾一下Linux内存管理的基础知识。Linux使用分页机制,物理内存被划分成页帧,通常大小为4KB。内核通过伙伴系统管理这些页帧,处理分配和释放。另外,slab分配器用于高效管理内核对象的小内存分配,比如task_struct这样的结构体。 接下来是DMA部分。DMA允许外设直接访问内存而不经过CPU,这能提升数据传输效率。但这里有个问题:外设和CPU可能看到不同的内存视图。比如,CPU可能有缓存,而外设直接访问物理内存。所以需要解决一致性问题。在x86架构中,由于硬件保证了缓存一致性,可能不需要软件干预。但像ARM这样的架构可能需要软件维护一致性,比如使用dma_map_single这样的API来同步缓存。 缓存一致性机制方面,需要理解Linux提供的不同映射方式。一致性DMA缓冲区通过dma_alloc_coherent分配,保证CPU和外设看到的是一致的,通常用于长期使用的缓冲区。流式DMA映射使用dma_map_single等函数,适用于一次性传输,需要显式同步缓存。还有分散/聚集映射,处理分散的内存块。 用户可能还关心同步操作,比如dma_sync_single_for_device和dma_sync_single_for_cpu,这些函数在数据传递前后同步缓存,确保双方看到正确的数据。另外,设备树(Device Tree)或ACPI表的作用也很重要,它们描述了外设的DMA能力,比如地址范围和支持的寻址模式。 硬件方面,IOMMU的作用不可忽视。它提供地址转换和访问保护,类似MMU但针对外设。比如Intel的VT-d和ARM的SMMU,能防止外设错误访问内存,提升安全性。同时,IOMMU也参与缓存一致性,比如将外设的请求转换成正确的缓存协议。 还要考虑不同架构的差异。比如在无缓存一致性的架构中,软件必须处理所有同步,而在有硬件支持的架构中,可能更简单。此外,用户可能想知道如何调试DMA问题,比如缓存一致性问题导致的系统崩溃。这时候,DMA调试工具如CONFIG_DMA_API_DEBUG就很有用,可以检测未映射的访问或缓存同步错误。 最后,应用场景方面,网络和存储驱动大量使用DMA,比如网卡接收数据包时直接存入内存,然后通过中断通知CPU。这时候,正确的缓存同步确保CPU读取的是最新数据。另外,用户可能对CMA(连续内存分配器)感兴趣,它在启动时保留大块连续内存供DMA使用,避免运行时内存碎片问题。</think>## Linux内存管理详解:DMA与缓存一致性机制 ### 一、内存管理基础架构 1. **物理内存管理** Linux使用**伙伴系统**管理物理页帧,将内存划分为$2^n$大小的块,解决外部碎片问题: ```c struct zone { struct free_area free_area[MAX_ORDER]; // 不同阶的空闲列表 }; ``` 同时**slab分配器**管理内核对象缓存(如`task_struct`, `inode`),解决内部碎片: ```c struct kmem_cache *task_struct_cache = KMEM_CACHE(task_struct, SLAB_PANIC); ``` 2. **虚拟地址空间** - 用户空间:通过**页表**实现虚拟→物理映射($V_{addr} \xrightarrow{PTE} P_{addr}$) - 内核空间:直接映射区(`__va(phys_addr)`)与vmalloc区(非连续物理页) ### 二、DMA机制详解 #### 1. DMA工作流程 ```mermaid sequenceDiagram CPU->>设备驱动: 启动DMA传输 设备驱动->>DMA控制器: 设置源/目标地址 DMA控制器->>内存: 直接读写数据 内存-->>DMA控制器: 传输完成 DMA控制器->>CPU: 发送中断 ``` #### 2. DMA缓冲区类型 | 类型 | 分配API | 特点 | 适用场景 | |---------------------|--------------------|-----------------------------|-----------------------| | 一致性DMA缓冲区 | `dma_alloc_coherent` | CPU/设备缓存自动同步 | 长期共享数据(如控制块) | | 流式DMA映射 | `dma_map_single` | 需显式缓存同步 | 单次传输(网络包等) | | 分散/聚集映射 | `dma_map_sg` | 处理物理分散的内存块 | 文件I/O操作 | ### 三、缓存一致性机制 #### 1. 硬件一致性(如x86) CPU缓存通过**MESI协议**自动维护一致性: $$ \text{Modified} \leftrightarrow \text{Exclusive} \leftrightarrow \text{Shared} \leftrightarrow \text{Invalid} $$ 设备通过**总线监听**参与一致性协议(如PCIe的Snooping) #### 2. 软件维护一致性 在无硬件支持架构(如早期ARM)需手动处理: ```c // 数据传输前清洗CPU缓存 dma_map_single(dev, addr, size, DMA_TO_DEVICE); // 数据接收后失效CPU缓存 dma_map_single(dev, addr, size, DMA_FROM_DEVICE); ``` #### 3. IOMMU关键作用 ```mermaid graph LR 设备-->|DMA请求| IOMMU IOMMU-->|物理地址| 内存 IOMMU-.->|TLB缓存| 页表 ``` - **地址翻译**:设备VA → 物理PA(`/sys/kernel/iommu_groups`) - **访问控制**:阻止非法内存访问(如DMA攻击) - **缓存整合**:将设备请求转为一致性协议(如AXI ACE) ### 四、实战案例:网卡驱动 ```c // 1. 分配一致性描述符环 ring_desc = dma_alloc_coherent(dev, size, &ring_dma, GFP_KERNEL); // 2. 接收数据包时 dma_sync_single_for_cpu(dev, rx_buf_dma, len, DMA_FROM_DEVICE); // 3. 发送完成后 dma_unmap_single(dev, tx_buf_dma, len, DMA_TO_DEVICE); ``` > 当CPU处理接收包时,必须调用`dma_sync_single_for_cpu()`确保看到设备写入的最新数据[^2] ### 五、性能优化技术 1. **CMA(连续内存分配器)** 启动时预留连续物理内存:`cma=64M@0x30000000` 2. **SWIOTLB** 当设备DMA地址范围受限时(如32位设备访问64位内存): ```c swiotlb_bounce(orig_addr, tlb_addr, size, DMA_TO_DEVICE); ``` 3. **DMA池** 小对象专用分配器避免碎片: ```c dma_pool_create("small_bufs", dev, 128, 16, 0); ``` --- **典型问题排查**:若出现DMA数据损坏: 1. 检查`dma_map/unmap`配对 2. 验证IOMMU配置(`dmesg | grep iommu`) 3. 使用`CONFIG_DMA_API_DEBUG=y`跟踪映射泄漏
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值