BPF_PROG_TYPE_SOCKET_FILTER 功能实现

2023-10-08 00:50

本文主要是介绍BPF_PROG_TYPE_SOCKET_FILTER 功能实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

BPF_PROG_TYPE_SOCKET_FILTER,从宏字面意思比较容易想到实现的是socket filter功能,它区别于sockops和tracepoint等功能,需要额外借助setsockopt能力将功能函数和socket绑定,功能才能真正生效。

如何定该类型

在内核态功能函数中定义SEC("socketxxxx"),则会被解析为BPF_PROG_TYPE_SOCKET_FILTER类型功能。

比如内核中实现的三个example程序:
samples/bpf/sockex1_kern.c --->SEC("socket1")
samples/bpf/sockex1_user.c
samples/bpf/sockex2_kern.c --->SEC("socket2")
samples/bpf/sockex2_user.c
samples/bpf/sockex3_kern.c --->SEC("socket3")
samples/bpf/sockex3_user.c

功能程序加载

这个没什么好讲的,程序肯定是装载到了内核,内核定义了一个数据结构

 478 struct bpf_prog {479         u16                     pages;          /* Number of allocated pages */480         u16                     jited:1,        /* Is our filter JIT'ed? */481                                 jit_requested:1,/* archs need to JIT the prog */482                                 undo_set_mem:1, /* Passed set_memory_ro() checkpoint */483                                 gpl_compatible:1, /* Is filter GPL compatible? */484                                 cb_access:1,    /* Is control block accessed? */485                                 dst_needed:1,   /* Do we need dst entry? */486                                 blinded:1,      /* Was blinded */487                                 is_func:1,      /* program is a bpf function */488                                 kprobe_override:1, /* Do we override a kprobe? */489                                 has_callchain_buf:1; /* callchain buffer allocated? */490         enum bpf_prog_type      type;           /* Type of BPF program */491         enum bpf_attach_type    expected_attach_type; /* For some prog types */492         u32                     len;            /* Number of filter blocks */493         u32                     jited_len;      /* Size of jited insns in bytes */494         u8                      tag[BPF_TAG_SIZE];495         struct bpf_prog_aux     *aux;           /* Auxiliary fields */496         struct sock_fprog_kern  *orig_prog;     /* Original BPF program */497         unsigned int            (*bpf_func)(const void *ctx,498                                             const struct bpf_insn *insn);499         /* Instructions for interpreter */500         union {501                 struct sock_filter      insns[0];502                 struct bpf_insn         insnsi[0];503         };504 };

该数据解决在内核态功能函数被解析后逐渐初始化,并且最终初始化完整。

那么struct bpf_prog对象是如何被外部引用的呢 ?  通过文件的方式实现。

在linux内核中万物都可以定位为文件,通过文件的方式让隐晦的内容呈现给用户,用户通过文件fd的方式就可以快速的获取struct bpf_prog对象。片段代码如下:

1366         err = bpf_prog_new_fd(prog);
1367         if (err < 0) {
1368                 /* failed to allocate fd.
1369                  * bpf_prog_put() is needed because the above
1370                  * bpf_prog_alloc_id() has published the prog
1371                  * to the userspace and the userspace may
1372                  * have refcnt-ed it through BPF_PROG_GET_FD_BY_ID.
1373                  */
1374                 bpf_prog_put(prog);
1375                 return err;
1376         }

prog就是功能型函数的存储对象,通过bpf_prog_new_fd最终实现了和文件关联,并且后续可以通过文件方式关联找到struct bpf_prog对象,事实上setsockopt就是这么实现将struct bpf_prog对象和sock关联的。

功能程序关联

struct bpf_prog对象肯定要和sock关联,然后才能在sock关键路径上被调用执行。

 11 int main(int ac, char **argv)12 {13         char filename[256];14         FILE *f;15         int i, sock;1617         snprintf(filename, sizeof(filename), "%s_kern.o", argv[0]);1819         if (load_bpf_file(filename)) {20                 printf("%s", bpf_log_buf);21                 return 1;22         }2324         sock = open_raw_sock("lo");2526         assert(setsockopt(sock, SOL_SOCKET, SO_ATTACH_BPF, prog_fd,27                           sizeof(prog_fd[0])) == 0);

26行代码正式将prog对象和sock关联。

setsockopt 的关键代码片段:

1906                 if (level == SOL_SOCKET)
1907                         err =
1908                             sock_setsockopt(sock, level, optname, optval,
1909                                             optlen);
1910                 else939         case SO_ATTACH_BPF:940                 ret = -EINVAL;941                 if (optlen == sizeof(u32)) {942                         u32 ufd;943944                         ret = -EFAULT;945                         if (copy_from_user(&ufd, optval, sizeof(ufd)))946                                 break;947948                         ret = sk_attach_bpf(ufd, sk);949                 }950                 break;1570 int sk_attach_bpf(u32 ufd, struct sock *sk)
1571 {
1572         struct bpf_prog *prog = __get_bpf(ufd, sk);
1573         int err;
1574
1575         if (IS_ERR(prog))
1576                 return PTR_ERR(prog);
1577
1578         err = __sk_attach_prog(prog, sk);
1579         if (err < 0) {
1580                 bpf_prog_put(prog);
1581                 return err;
1582         }
1583
1584         return 0;
1585 }1176 static struct bpf_prog *__bpf_prog_get(u32 ufd, enum bpf_prog_type *attach_type,
1177                                        bool attach_drv)
1178 {
1179         struct fd f = fdget(ufd);
1180         struct bpf_prog *prog;
1181
1182         prog = ____bpf_prog_get(f);
1183         if (IS_ERR(prog))
1184                 return prog;
1185         if (!bpf_prog_get_ok(prog, attach_type, attach_drv)) {
1186                 prog = ERR_PTR(-EINVAL);
1187                 goto out;
1188         }
1189
1190         prog = bpf_prog_inc(prog);
1191 out:
1192         fdput(f);
1193         return prog;
1194 }
1195

功能挂载点

前面已经将了功能函数需要通过setsockopt实现和sock的关联,具体是存储在sock什么对象上 ? 

1430 static int __sk_attach_prog(struct bpf_prog *prog, struct sock *sk)
1431 {
1432         struct sk_filter *fp, *old_fp;
1433
1434         fp = kmalloc(sizeof(*fp), GFP_KERNEL);
1435         if (!fp)
1436                 return -ENOMEM;
1437
1438         fp->prog = prog;
1439
1440         if (!__sk_filter_charge(sk, fp)) {
1441                 kfree(fp);
1442                 return -ENOMEM;
1443         }
1444         refcount_set(&fp->refcnt, 1);
1445
1446         old_fp = rcu_dereference_protected(sk->sk_filter,
1447                                            lockdep_sock_is_held(sk));
1448         rcu_assign_pointer(sk->sk_filter, fp);
1449
1450         if (old_fp)
1451                 sk_filter_uncharge(sk, old_fp);
1452
1453         return 0;
1454 }

最终prog对象指向了sk->sk_filter->prog。

功能函数执行

到这里已经很明显了,直接在内核过滤sk_filter就能找到相关的代码了。

 481 int sock_queue_rcv_skb(struct sock *sk, struct sk_buff *skb)482 {483         int err;484485         err = sk_filter(sk, skb);486         if (err)487                 return err;488489         return __sock_queue_rcv_skb(sk, skb);490 }

sk_filter就是BPF_PROG_TYPE_SOCKET_FILTER埋点函数。

raw_rcv -> raw_rcv_skb -> sock_queue_rcv_skb。

需要注意的是sk_filter看到的skb为拷贝后的副本。

这篇关于BPF_PROG_TYPE_SOCKET_FILTER 功能实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/161570

相关文章

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

C++11第三弹:lambda表达式 | 新的类功能 | 模板的可变参数

🌈个人主页: 南桥几晴秋 🌈C++专栏: 南桥谈C++ 🌈C语言专栏: C语言学习系列 🌈Linux学习专栏: 南桥谈Linux 🌈数据结构学习专栏: 数据结构杂谈 🌈数据库学习专栏: 南桥谈MySQL 🌈Qt学习专栏: 南桥谈Qt 🌈菜鸡代码练习: 练习随想记录 🌈git学习: 南桥谈Git 🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈�

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

工厂ERP管理系统实现源码(JAVA)

工厂进销存管理系统是一个集采购管理、仓库管理、生产管理和销售管理于一体的综合解决方案。该系统旨在帮助企业优化流程、提高效率、降低成本,并实时掌握各环节的运营状况。 在采购管理方面,系统能够处理采购订单、供应商管理和采购入库等流程,确保采购过程的透明和高效。仓库管理方面,实现库存的精准管理,包括入库、出库、盘点等操作,确保库存数据的准确性和实时性。 生产管理模块则涵盖了生产计划制定、物料需求计划、

C++——stack、queue的实现及deque的介绍

目录 1.stack与queue的实现 1.1stack的实现  1.2 queue的实现 2.重温vector、list、stack、queue的介绍 2.1 STL标准库中stack和queue的底层结构  3.deque的简单介绍 3.1为什么选择deque作为stack和queue的底层默认容器  3.2 STL中对stack与queue的模拟实现 ①stack模拟实现