目录
深入理解BPF指令
x86格式的输出如下
BPF 指令的加载和执行过程
跟踪系统调用
eBPF运行时在内核中有五个模块组成
- eBPF辅助函数:用于eBPF程序与内核模块交互的函数
- eBPF验证器:确保eBPF程序的安全
- 11个64位寄存器,一个程序计数器和一个512字节的栈组成的存储模块
- 编译器:将eBPF字节码编译成本地机器指令
- BPF映射(map):提供大块存储,可以被应用空间程序访问。
深入理解BPF指令
以上一期的实验一为例,查询BPF在运行时的指令码
#bpftool prog list38: cgroup_device tag 03b4eaae2f14641a gplloaded_at 2022-08-20T10:29:46+0800 uid 1000xlated 296B jited 162B memlock 4096B map_ids 1
109: kprobe name hello tag 7e400057bc2e722a gplloaded_at 2022-08-20T11:52:24+0800 uid 0xlated 200B jited 115B memlock 4096B map_ids 8btf_id 108
109是eBPF程序编号,kprobe是程序的类型,hello是程序的名字
根据编号,导出eBPF程序的指令
root@root:~# sudo bpftool prog dump xlated id 254
int hello_world(void * ctx):
; int hello_world(void *ctx)0: (b7) r1 = 33
; ({ char _fmt[] = "Hello, World!"; bpf_trace_printk_(_fmt, sizeof(_fmt)); });1: (6b) *(u16 *)(r10 -4) = r12: (b7) r1 = 16848287833: (63) *(u32 *)(r10 -8) = r14: (18) r1 = 0x57202c6f6c6c65486: (7b) *(u64 *)(r10 -16) = r17: (bf) r1 = r10
; 8: (07) r1 += -16
; ({ char _fmt[] = "Hello, World!"; bpf_trace_printk_(_fmt, sizeof(_fmt)); });9: (b7) r2 = 1410: (85) call bpf_trace_printk#-64016
; return 0;11: (b7) r0 = 012: (95) exit
- 中括号的十六进制数值表示BPF指令码参考IOVisor BPF 文档
如第0行的0xb7表示为64位寄存器复制
- 括号后面的部分,就是BPF指令的伪代码
- 借助R10寄存器从栈中把字符串“Hello world!”读出来
- 向R2寄存器写入字符串长度14,即Hello world!”的长度
- 调用BPF辅助函数bpf_trace_printk输出字符串
- 向R0寄存器写入0,表示程序的返回值0
总结:先通过 R1 和 R2 寄存器设置了 bpf_trace_printk 的参数,然后调用 bpf_trace_printk 函数输出字符串,最后再通过 R0 寄存器返回。
x86格式的输出如下
# bpftool prog dump jited id 254
int hello_world(void * ctx):
bpf_prog_38dd440716c4900f_hello_world:
; int hello_world(void *ctx)0: nopl 0x0(%rax,%rax,1)5: xchg %ax,%ax7: push %rbp8: mov %rsp,%rbpb: sub $0x10,%rsp12: mov $0x21,%edi
; ({ char _fmt[] = "Hello, World!"; bpf_trace_printk_(_fmt, sizeof(_fmt)); });17: mov %di,-0x4(%rbp)1b: mov $0x646c726f,%edi20: mov %edi,-0x8(%rbp)23: movabs $0x57202c6f6c6c6548,%rdi2d: mov %rdi,-0x10(%rbp)31: mov %rbp,%rdi
;34: add $0xfffffffffffffff0,%rdi
; ({ char _fmt[] = "Hello, World!"; bpf_trace_printk_(_fmt, sizeof(_fmt)); });38: mov $0xe,%esi3d: call 0xffffffffd8c7e834
; return 0;42: xor %eax,%eax44: leave45: retBPF 指令的加载和执行过程
# -ebpf表示只跟踪bpf系统调用
sudo strace -v -f -ebpf ./hello.py输出如下
bpf(BPF_PROG_LOAD,{prog_type=BPF_PROG_TYPE_SOCKET_FILTER, insn_cnt=2, insns=[{code=BPF_JMP|BPF_K|BPF_CALL, dst_reg=BPF_REG_0, src_reg=BPF_REG_0, off=0, imm=0xa0}, {code=BPF_JMP|BPF_K|BPF_EXIT, dst_reg=BPF_REG_0, src_reg=BPF_REG_0, off=0, imm=0}],license="GPL", log_level=0, log_size=0, log_buf=NULL, kern_version=KERNEL_VERSION(0, 0, 0), prog_flags=0, prog_name="", prog_ifindex=0, expected_attach_type=BPF_CGROUP_INET_INGRESS, prog_btf_fd=0, func_info_rec_size=0, func_info=NULL, func_info_cnt=0, line_info_rec_size=0, line_info=NULL, line_info_cnt=0, attach_btf_id=0, attach_prog_fd=0}, 116) = 3bpf(BPF_PROG_LOAD,{prog_type=BPF_PROG_TYPE_KPROBE,insn_cnt=13,insns=[{code=BPF_ALU64|BPF_K|BPF_MOV, dst_reg=BPF_REG_1, src_reg=BPF_REG_0, off=0, imm=0x21},
{code=BPF_STX|BPF_H|BPF_MEM, dst_reg=BPF_REG_10, src_reg=BPF_REG_1, off=-4, imm=0},
{code=BPF_ALU64|BPF_K|BPF_MOV, dst_reg=BPF_REG_1, src_reg=BPF_REG_0, off=0, imm=0x646c726f},
{code=BPF_STX|BPF_W|BPF_MEM, dst_reg=BPF_REG_10, src_reg=BPF_REG_1, off=-8, imm=0},
{code=BPF_LD|BPF_DW|BPF_IMM, dst_reg=BPF_REG_1, src_reg=BPF_REG_0, off=0, imm=0x6c6c6548},
{code=BPF_LD|BPF_W|BPF_IMM, dst_reg=BPF_REG_0, src_reg=BPF_REG_0, off=0, imm=0x57202c6f},
{code=BPF_STX|BPF_DW|BPF_MEM, dst_reg=BPF_REG_10, src_reg=BPF_REG_1, off=-16, imm=0},
{code=BPF_ALU64|BPF_X|BPF_MOV, dst_reg=BPF_REG_1, src_reg=BPF_REG_10, off=0, imm=0},
{code=BPF_ALU64|BPF_K|BPF_ADD, dst_reg=BPF_REG_1, src_reg=BPF_REG_0, off=0, imm=0xfffffff0},
{code=BPF_ALU64|BPF_K|BPF_MOV, dst_reg=BPF_REG_2, src_reg=BPF_REG_0, off=0, imm=0xe},
{code=BPF_JMP|BPF_K|BPF_CALL, dst_reg=BPF_REG_0, src_reg=BPF_REG_0, off=0, imm=0x6},
{code=BPF_ALU64|BPF_K|BPF_MOV, dst_reg=BPF_REG_0, src_reg=BPF_REG_0, off=0, imm=0},
{code=BPF_JMP|BPF_K|BPF_EXIT, dst_reg=BPF_REG_0, src_reg=BPF_REG_0, off=0, imm=0}],license="GPL", log_level=0, log_size=0, log_buf=NULL, kern_version=KERNEL_VERSION(5, 15, 39), prog_flags=0, prog_name="hello_world", prog_ifindex=0, expected_attach_type=BPF_CGROUP_INET_INGRESS, prog_btf_fd=3, func_info_rec_size=8, func_info=0x559ef2f15440, func_info_cnt=1, line_info_rec_size=16, line_info=0x559ef2f34400, line_info_cnt=5, attach_btf_id=0, attach_prog_fd=0, fd_array=NULL},
144) = 4
函数bpf原型,上面的bpf输出与原型对应
int bpf(int cmd, union bpf_attr *attr, unsigned int size);1、参数BPF_PROG_LOAD,表示加载BPF程序
2、bpf_attr表示BPF程序的属性
- prog_type 表示程序类型,如BPF_PROG_TYPE_KPEOBE
- insn_cnt 表示指令条数
- insns 包含具体的每条指令
- prog_name BPF程序的名字
3、size大小
把eBPF程序加载到内核之外,还需要对跟踪的事件进行绑定,kprobe和uprobe都是通过perf_event_open函数来完成的。
跟踪系统调用
- bpf系统调用,加载BPF程序
- 通过sys/bus/event_source/devices/kprobe/type 查询kprobe类型的事件
- 调用perf_event_open创建性能监控事件,6 表示查询到的事件 PERF_TYPE_XX
- 通过ioctl的PERF_EVENT_IOC_SET_BPF命令,将BPF程序绑定到性能事件
参考:
bpf-docs/eBPF.md at master · iovisor/bpf-docs · GitHub
BPF Internals | USENIX
