eBPF编程

标签：

简介

         如果读取数据包时eBPF程序想要读取超过数据包边界的内容，eBPF程序将会被停止执行。

硬件架构

寄存器

* R0       - return value from in-kernel function, and exit value for eBPF program

* R1 - R5  - arguments from eBPF program to in-kernel function

* R6 - R9  - callee saved registers that in-kernel function will preserve

* R10      - read-only frame pointer to access stack

R1-R5是函数调用的参数寄存器，每次调用了之后这几个寄存器的值可能被改变，所以需要每次调用其他函数后都要重新填充。这5个寄存器被映射到对应平台的实际的参数寄存器，在x86-64下，寄存器的映射方法如下：

    R0 - rax

   R1 - rdi

   R2 - rsi

   R3 - rdx

   R4 - rcx

   R5 - r8

   R6 - rbx

   R7 - r13

   R8 - r14

   R9 - r15

R10 – rbp

因为x86-64规定rdi, rsi,rdx, rcx, r8, r9用来做参数传递，rbx, r12 - r15用来做调用者保留。

         R6-R9会在eBPF调用其他函数前后保持一致，所以可以用来放eBPF变量。

函数调用

         一个eBPF函数被调用的时候会自动带一个参数ctx传递给eBPF程序，放在R1里，（在__bpf_prog_run()函数中实现），这个ctx对于用作filter的eBPF程序来说是skb，对于用作seccomp来说是seccomp_data。所以可以看出，一个使用xt_bpf模块的eBPF过滤程序的原理是在约定的hook点，eBPF被调用，skb被作为第一个参数传进eBPF程序，执行完毕，返回值R0作为判断这个包处理结果的返回值（是否丢弃等）。

指令编码

指令类型类型

         在指令编码上，使用8位进行编码，针对不同的指令，这8位的使用情况是不同的，但LSB的最后3位都是用来存储指令类型的。指令主要有如下几种类型：

BPF_LD   0x00

BPF_LDX  0x01

BPF_ST   0x02

BPF_STX  0x03

BPF_ALU  0x04

BPF_JMP  0x05

BPF_ALU64 0x07

         以上是表示指令编码的最后3位。BPF_JMP是跳转类型的指令，目前有10个。BPF_ALU和BPF_ALU64是运算类指令，目前有14个。而剩下的则是加载与存储类型的指令。也就是说eBPF一共有3大类指令：跳转、运算、加载与存储。

跳转：BPF_JMP

当最后3位是BPF_ALU或BPF_JMP时，8位的指令编码如上，中间一位有两种取值，表示这个指令使用的源寄存器：

         可以看出这一位如果是BPF_X(0)，使用src_reg作为源寄存器，如果是BPF_K(1)，则使用32位的立即数作为源寄存器。

最后3位是BPF_JMP时，操作符包括：

 BPF_JA    0x00

 BPF_JEQ   0x10

 BPF_JGT   0x20

 BPF_JGE   0x30

 BPF_JSET  0x40

 BPF_JNE   0x50  /* eBPF only: jump != */

 BPF_JSGT  0x60  /* eBPF only: signed ‘>‘ */

 BPF_JSGE  0x70  /* eBPF only: signed ‘>=‘ */

 BPF_CALL  0x80  /* eBPF only: function call */

 BPF_EXIT  0x90  /* eBPF only: function return */

运算：BPF_ALU和BPF_ALU64

当最后3位是BPF_ALU或者是BPF_ALU64时：

 BPF_ADD   0x00

 BPF_SUB   0x10

 BPF_MUL   0x20

 BPF_DIV   0x30

 BPF_OR    0x40

 BPF_AND   0x50

 BPF_LSH   0x60

 BPF_RSH   0x70

 BPF_NEG   0x80

 BPF_MOD   0x90

 BPF_XOR   0xa0

 BPF_MOV   0xb0  /* eBPF only: mov reg to reg */

 BPF_ARSH  0xc0  /* eBPF only: sign extending shift right */

 BPF_END   0xd0  /* eBPF only: endianness conversion */

举例

BPF_XOR | BPF_K| BPF_ALU 意味着：src_reg = src_reg ^ imm32

BPF_MOV | BPF_X| BPF_ALU ：将src_reg的值移动到dst_reg

BPF_ADD | BPF_X| BPF_ALU64 ：dst_reg = dst_reg + src_reg

加载与存储

加载与存储指令也有多个，每个可以操作的数据的大小是不一样的，这个大小的区别在中间2个位：

BPF_W   0x00：4个字节

  BPF_H  0x08 ：2个字节

  BPF_B  0x10  ：1个字节

  BPF_DW 0x18  ：8个字节

前3个位的mode包括：

BPF_IMM 0x00  /* used for 32-bit mov inclassic BPF and 64-bit in eBPF */

 BPF_ABS  0x20

 BPF_IND  0x40

 BPF_MEM  0x60

 BPF_LEN  0x80  /* classic BPF only, reserved in eBPF */

 BPF_MSH  0xa0  /* classic BPF only, reserved in eBPF */

 BPF_XADD 0xc0  /* eBPF only,exclusive add */

         其中BPF_ABS和BPF_IND只能用在数据包处理上，在这时，R6里面是输入数据包sk_buff，R0是输出数据包。

  bpf_mov R6, R1 /* save ctx */

   bpf_mov R2, 2

   bpf_mov R3, 3

   bpf_mov R4, 4

   bpf_mov R5, 5

   bpf_call foo

   bpf_mov R7, R0 /* save foo() return value */

   bpf_mov R1, R6 /* restore ctx for next call */

   bpf_mov R2, 6

   bpf_mov R3, 7

   bpf_mov R4, 8

   bpf_mov R5, 9

   bpf_call bar

   bpf_add R0, R7

bpf_exit

翻译成x86-64是：

push %rbp

    mov %rsp,%rbp

    sub $0x228,%rsp

    mov %rbx,-0x228(%rbp)

    mov%r13,-0x220(%rbp)

    mov %rdi,%rbx

    mov $0x2,%esi

    mov $0x3,%edx

    mov $0x4,%ecx

    mov $0x5,%r8d

    callq foo

    mov %rax,%r13

    mov %rbx,%rdi

    mov $0x2,%esi

    mov $0x3,%edx

    mov $0x4,%ecx

    mov $0x5,%r8d

    callq bar

    add %r13,%rax

    mov -0x228(%rbp),%rbx

    mov -0x220(%rbp),%r13

    leaveq

    retq

在c就是：

    u64 bpf_filter(u64 ctx)

    {

        return foo(ctx, 2, 3, 4, 5) + bar(ctx,6, 7, 8, 9);

    }

可行的bpf开发方法：

使用tcpdump、使用iptables

llvm、内核提供的编译器、iovisitor的uBPF编译器

BPF CompilerCollection (BCC)这个工具集包含很多用来观测内核性能的工具，全部使用eBPF，并且提供了python的外部编程能力。其也是使用llvm用作底层编译器，并且整合了llvm中对bpf支持的最新进展。但是要求内核支持版本是4.1。

使用llvm编译并插入eBPF

使用llvm，使用llvm可以使用如下命令编译：

clang-3.7 -O2 -target bpf -c sockex1_kern.c-o soc1.o -I/lib/modules/3.19.0-15-generic/build/include-I/lib/modules/3.19.0-15-generic/build/arch/x86/include/uapi/

         这样可以编译一个包含了map和eBPF代码的elf文件。然而这个文件并不是用来直接插入内核的eBPf程序代码，它只是一个包含了需要插入内核的各种信息的一个集合体，内核代码在sample/bpf/里面有提供解析这个文件的代码逻辑，可以自动实现解析和插入内核。

         但是这种有个缺点，这种都是使用的bpf系统调用进行插入的eBPF代码，然而这个系统调用只支持插入到特定的内核位置：

BPF_PROG_TYPE_SOCKET_FILTER,    //附在某一个socket上，只对某一个socket产生影响。

BPF_PROG_TYPE_KPROBE,          //附在kprobe上

BPF_PROG_TYPE_SCHED_CLS,       //附在cls_bpf分类模块上

BPF_PROG_TYPE_SCHED_ACT,       //附在act_bpf模块上

         可以看到，无法插入到我们希望的hook点上（因为hook点是netfilter的基础设施，netfilter使用xt_bpf来支持bpf，所以就没有在系统调用层级支持）。而类型BPF_PROG_TYPE_SOCKET_FILTER的bpf，即使是使用raw，得到的数据也只是一份拷贝。这就注定了这个机制只能用来分析，不能用来做过滤。所以，目前这条路不通，过滤只能采用xt_bpf。

使用xt_bpf

         这是iptables的扩展，可以使用-m参数传递bpf代码进内核。我们可以使用内核提供的bpf编译程序编译代码，或者是tcpdump –ddd，或者是iptables的nfbpf_compile.c程序。但是这三个编译得到的都是cBPF代码。iptables的用户端程序也只支持cBPF代码。所以使用xt_bpf模块的合理选择应该是使用cBPF编程。

         如果要使用eBPF编程，可行的方法是在自己实现钩子函数中执行eBPF，或者是复用在xt_bpf的代码。

eBPF编程

标签：

原文地址：http://blog.csdn.net/ljy1988123/article/details/50818421