0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

保證BPF程序安全的BPF驗證器介紹

Linux閱碼場 ? 來源:Linux內(nèi)核之旅 ? 作者:梁金榮 ? 2021-05-03 11:27 ? 次閱讀

1. 前言

我們可以使用BPF對Linux內(nèi)核進行跟蹤,收集我們想要的內(nèi)核數(shù)據(jù),從而對Linux中的程序進行分析和調(diào)試。與其它的跟蹤技術(shù)相比,使用BPF的主要優(yōu)點是幾乎可以訪問Linux內(nèi)核和應(yīng)用程序的任何信息,同時,BPF對系統(tǒng)性能影響很小,執(zhí)行效率很高,而且開發(fā)人員不需要因為收集數(shù)據(jù)而修改程序。

本文將介紹保證BPF程序安全的BPF驗證器,然后以BPF程序的工具集BCC為例,分享kprobes和tracepoints類型的BPF程序的使用及程序編寫示例。

2. BPF驗證器

BPF借助跟蹤探針收集信息并進行調(diào)試和分析,與其它依賴于重新編譯內(nèi)核的工具相比,BPF程序的安全性更高。重新編譯內(nèi)核引入外部模塊的方式,可能會因為程序的錯誤而產(chǎn)生系統(tǒng)奔潰。BPF程序的驗證器會在BPF程序加載到內(nèi)核之前分析程序,消除這種風險。

BPF驗證器執(zhí)行的第一項檢查是對BPF虛擬機加載的代碼進行靜態(tài)分析,目的是確保程序能夠按照預(yù)期結(jié)束。驗證器在進行第一項檢查時所做工作為:

程序不包含控制循環(huán);

程序不會執(zhí)行超過內(nèi)核允許的最大指令數(shù);

程序不包含任何無法到達的指令;

程序不會超出程序界限。

BPF驗證器執(zhí)行的第二項檢查是對BPF程序進行預(yù)運行,所做工作為:

分析BPF程序執(zhí)行的每條指令,確保不會執(zhí)行無效指令;

檢查所有內(nèi)存指針是否可以正確訪問和引用;

預(yù)運行將程序控制流的執(zhí)行結(jié)果通知驗證器,確保BPF程序最終都會執(zhí)行BPF_EXIT指令。

3. 內(nèi)核探針 kprobes

內(nèi)核探針可以跟蹤大多數(shù)內(nèi)核函數(shù),并且系統(tǒng)損耗最小。當跟蹤的內(nèi)核函數(shù)被調(diào)用時,附加到探針的BPF代碼將被執(zhí)行,之后內(nèi)核將恢復(fù)正常模式。

3.1 kprobes類BPF程序的優(yōu)缺點

優(yōu)點 動態(tài)跟蹤內(nèi)核,可跟蹤的內(nèi)核函數(shù)眾多,能夠提取內(nèi)核絕大部分信息。

缺點 沒有穩(wěn)定的應(yīng)用程序二進制接口,可能隨著內(nèi)核版本的演進而更改。

3.2 kprobes

kprobe程序允許在執(zhí)行內(nèi)核函數(shù)之前插入BPF程序。當內(nèi)核執(zhí)行到kprobe掛載的內(nèi)核函數(shù)時,先運行BPF程序,BPF程序運行結(jié)束后,返回繼續(xù)開始執(zhí)行內(nèi)核函數(shù)。下面是一個使用kprobe的bcc程序示例,功能是監(jiān)控內(nèi)核函數(shù)kfree_skb函數(shù),當此函數(shù)觸發(fā)時,記錄觸發(fā)它的進程pid,進程名字和觸發(fā)次數(shù),并打印出觸發(fā)此函數(shù)的進程pid,進程名字和觸發(fā)次數(shù):

#!/usr/bin/python3

# coding=utf-8

from __future__ import print_function

from bcc import BPF

from time import sleep

# define BPF program

bpf_program = “”“

#include 《uapi/linux/ptrace.h》

struct key_t{

u64 pid;

};

BPF_HASH(counts, struct key_t);

int trace_kfree_skb(struct pt_regs *ctx) {

u64 zero = 0, *val, pid;

pid = bpf_get_current_pid_tgid() 》》 32;

struct key_t key = {};

key.pid = pid;

val = counts.lookup_or_try_init(&key, &zero);

if (val) {

(*val)++;

}

return 0;

}

”“”

def pid_to_comm(pid):

try:

comm = open(“/proc/%s/comm” % pid, “r”).read().rstrip()

return comm

except IOError:

return str(pid)

# load BPF

b = BPF(text=bpf_program)

b.attach_kprobe(event=“kfree_skb”, fn_name=“trace_kfree_skb”)

# header

print(“Tracing kfree_skb.。. Ctrl-C to end.”)

print(“%-10s %-12s %-10s” % (“PID”, “COMM”, “DROP_COUNTS”))

while 1:

sleep(1)

for k, v in sorted(b[“counts”].items(),key = lambda counts: counts[1].value):

print(“%-10d %-12s %-10d” % (k.pid, pid_to_comm(k.pid), v.value))

該bcc程序主要包括兩個部分,一部分是python語言,一部分是c語言。python部分主要做的工作是BPF程序的加載和操作BPF程序的map,并進行數(shù)據(jù)處理。c部分會被llvm編譯器編譯為BPF字節(jié)碼,經(jīng)過BPF驗證器驗證安全后,加載到內(nèi)核中執(zhí)行。python和c中出現(xiàn)的陌生函數(shù)可以查下面這兩個手冊,在此不再贅述:

python部分遇到的陌生函數(shù)可以查這個手冊: 點此跳轉(zhuǎn)

c部分中遇到的陌生函數(shù)可以查這個手冊: 點此跳轉(zhuǎn)

需要說明的是,該BPF程序類型是kprobe,它是在這里進行程序類型定義的:

b.attach_kprobe(event=“kfree_skb”, fn_name=“trace_kfree_skb”)

b.attach_kprobe()指定了該BPF程序類型為kprobe;

event=“kfree_skb”指定了kprobe掛載的內(nèi)核函數(shù)為kfree_skb;

fn_name=“trace_kfree_skb”指定了當檢測到內(nèi)核函數(shù)kfree_skb時,執(zhí)行程序中的trace_kfree_skb函數(shù);

BPF程序的第一個參數(shù)總為ctx,該參數(shù)稱為上下文,提供了訪問內(nèi)核正在處理的信息,依賴于正在運行的BPF程序的類型。CPU將內(nèi)核正在執(zhí)行任務(wù)的不同信息保存在寄存器中,借助內(nèi)核提供的宏可以訪問這些寄存器,如PT_REGS_RC。

程序運行結(jié)果如下:

e2411330-a100-11eb-8b86-12bb97331649.png

3.3 kretprobes

相比于內(nèi)核探針kprobe程序,kretprobe程序是在內(nèi)核函數(shù)有返回值時插入BPF程序。當內(nèi)核執(zhí)行到kretprobe掛載的內(nèi)核函數(shù)時,先執(zhí)行內(nèi)核函數(shù),當內(nèi)核函數(shù)返回時執(zhí)行BPF程序,運行結(jié)束后返回。

以上面的BPF程序為例,若要使用kretprobe,可以這樣修改:

b.attach_kretprobe(event=“kfree_skb”, fn_name=“trace_kfree_skb”)

b.attach_kretprobe()指定了該BPF程序類型為kretprobe,kretprobe類型的BPF程序?qū)⒃诟櫟膬?nèi)核函數(shù)有返回值時執(zhí)行BPF程序;

event=“kfree_skb”指定了kretprobe掛載的內(nèi)核函數(shù)為kfree_skb;

fn_name=“trace_kfree_skb”指定了當內(nèi)核函數(shù)kfree_skb有返回值時,執(zhí)行程序中的trace_kfree_skb函數(shù);

4. 內(nèi)核靜態(tài)跟蹤點 tracepoint

tracepoint是內(nèi)核靜態(tài)跟蹤點,它與kprobe類程序的主要區(qū)別在于tracepoint由內(nèi)核開發(fā)人員在內(nèi)核中編寫和修改。

4.1 tracepoint 程序的優(yōu)缺點

優(yōu)點 跟蹤點是靜態(tài)的,ABI更穩(wěn)定,不隨內(nèi)核版本的變化而致不可用。

缺點 跟蹤點是內(nèi)核人員添加的,不會全面涵蓋內(nèi)核的所有子系統(tǒng)。

4.2 tracepoint 可用跟蹤點

系統(tǒng)中所有的跟蹤點都定義在/sys/kernel/debug/traceing/events目錄中:

e24d14fa-a100-11eb-8b86-12bb97331649.png

使用命令perf list 也可以列出可使用的tracepoint點:

e2629bc2-a100-11eb-8b86-12bb97331649.png

對于bcc程序來說,以監(jiān)控kfree_skb為例,tracepoint程序可以這樣寫:

b.attach_tracepoint(tp=“skb:kfree_skb”, fn_name=“trace_kfree_skb”)

bcc遵循tracepoint命名約定,首先是指定要跟蹤的子系統(tǒng),這里是“skb:”,然后是子系統(tǒng)中的跟蹤點“kfree_skb”:

e29048b0-a100-11eb-8b86-12bb97331649.png

5. 總結(jié)

本文主要介紹了保證BPF程序安全的BPF驗證器,然后以BPF程序的工具集BCC為例,分享了kprobes和tracepoints類型的BPF程序的使用及程序編寫示例。本文分享的是內(nèi)核跟蹤,那么用戶空間程序該如何跟蹤呢,這將在后面的文章中逐步分享,感謝閱讀。

原文標題:梁金榮:使用eBPF追蹤LINUX內(nèi)核

文章出處:【微信公眾號:Linuxer】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

責任編輯:haq

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 內(nèi)核
    +關(guān)注

    關(guān)注

    3

    文章

    1372

    瀏覽量

    40303
  • Linux
    +關(guān)注

    關(guān)注

    87

    文章

    11310

    瀏覽量

    209626
收藏 人收藏

    評論

    相關(guān)推薦

    如何進行電子連接的測試與驗證

    連接在各種應(yīng)用場景下都能穩(wěn)定、安全地工作。 二、測試與驗證的方法 1. 電氣性能測試 接觸電阻測試 :測量連接端子之間的電阻值,確保接觸性能良好,減少信號損失。使用接觸電阻測試儀進
    的頭像 發(fā)表于 12-20 09:49 ?184次閱讀

    智能安全配電裝置在臨時展會場所中如何保證用電安全

    與敷設(shè)、設(shè)備的維護和管理等方面介紹了其安全保障技術(shù),以保證此臨時類場所中用電的安全。 【關(guān)鍵詞】 臨時展會、展攤;電氣安全;智能
    的頭像 發(fā)表于 12-12 09:17 ?105次閱讀
    智能<b class='flag-5'>安全</b>配電裝置在臨時展會場所中如何<b class='flag-5'>保證</b>用電<b class='flag-5'>安全</b>

    電子設(shè)備濾波的種類 影響水質(zhì)的濾波類型

    于去除高頻噪聲,如音頻系統(tǒng)中的嘶嘶聲。 高通濾波(High Pass Filter,HPF) : 特性:允許高頻信號通過,同時衰減低頻信號。 應(yīng)用:常用于去除低頻噪聲,如交流電源中的嗡嗡聲,以及去除直流成分。 帶通濾波(Band Pass Filter,
    的頭像 發(fā)表于 11-27 15:52 ?247次閱讀

    Parker派克防爆電機在實際應(yīng)用中的安全性能如何保證?

    Parker防爆電機通過防爆外殼、國際安全標準、專用防爆認證、低火花設(shè)計、定制化繞組、應(yīng)用案例驗證及溫度管理,確保實際應(yīng)用中的安全性能,防止爆炸風險,保障安全。
    的頭像 發(fā)表于 11-21 10:58 ?104次閱讀
    Parker派克防爆電機在實際應(yīng)用中的<b class='flag-5'>安全</b>性能如何<b class='flag-5'>保證</b>?

    AWR1843 DMM接口介紹驗證測試

    電子發(fā)燒友網(wǎng)站提供《AWR1843 DMM接口介紹驗證測試.pdf》資料免費下載
    發(fā)表于 09-27 10:26 ?0次下載
    AWR1843 DMM接口<b class='flag-5'>介紹</b>和<b class='flag-5'>驗證</b>測試

    內(nèi)核程序漏洞介紹

    電子發(fā)燒友網(wǎng)站提供《內(nèi)核程序漏洞介紹.pdf》資料免費下載
    發(fā)表于 08-12 09:38 ?0次下載

    BPF-F1250+帶通濾波規(guī)格書

    AD品牌電子元器件
    發(fā)表于 07-17 12:55 ?0次下載

    西門子推出Solido IP驗證套件,為下一代IC設(shè)計提供端到端的芯片質(zhì)量保證

    西門子集成的驗證套件能夠在整個IC設(shè)計周期內(nèi)提供無縫的IP質(zhì)量保證,為IP開發(fā)團隊提供完整的工作流程 西門子工業(yè)軟件日前推出Solido?IP驗證套件(Solido IP Validation
    發(fā)表于 05-24 10:36 ?407次閱讀

    請問NFC數(shù)據(jù)傳輸如何保證數(shù)據(jù)安全?

    NFC數(shù)據(jù)傳輸如何保證數(shù)據(jù)安全
    發(fā)表于 04-07 06:18

    奇瑞汽車股份有限公司發(fā)布“數(shù)據(jù)驗證方法、設(shè)備、服務(wù)及存儲介質(zhì)”

    該專利涉及車聯(lián)網(wǎng)科技領(lǐng)域,具體而言是一套數(shù)據(jù)驗證程序,包括提取車輛設(shè)備的標識符和接入時刻,然后據(jù)此生成校驗令牌,以作證服務(wù)與設(shè)備間數(shù)據(jù)交互的安全性。相比既有的技術(shù),這種方法更能有效防
    的頭像 發(fā)表于 03-19 16:53 ?782次閱讀
    奇瑞汽車股份有限公司發(fā)布“數(shù)據(jù)<b class='flag-5'>驗證</b>方法、設(shè)備、服務(wù)<b class='flag-5'>器</b>及存儲介質(zhì)”

    程序驗證通過,但在1.8版IDE上不能下載

    為什么程序驗證通過,但在1.8版IDE上不能下載,將程序復(fù)制到1.6版IDE上就可以下載。
    發(fā)表于 03-14 21:08

    探索aarch64架構(gòu)上使用ftrace的BPF LSM

    筆者在MacBook M2上搭建Linux虛擬機上開發(fā)eBPF程序時,遇到一些LSM eBPF類型程序無法運行的問題,哪怕是5.15內(nèi)核的ubuntu server,依舊無法正常運行。顯然
    的頭像 發(fā)表于 01-25 09:30 ?755次閱讀

    基于功能安全的汽車嵌入式軟件單元驗證技術(shù)研究

    ,對滿足功能安全ASIL等級的汽車嵌入式軟件單元驗證技術(shù)進行詳細介紹,從而提高軟件質(zhì)量,減少軟件安全隱患,對汽車嵌入式軟件開發(fā)和測試工作具有一定的指導(dǎo)意義。
    的頭像 發(fā)表于 01-07 11:27 ?1063次閱讀
    基于功能<b class='flag-5'>安全</b>的汽車嵌入式軟件單元<b class='flag-5'>驗證</b>技術(shù)研究

    面向系統(tǒng)級芯片驗證的硬件平臺介紹

    當設(shè)計的規(guī)模動輒幾十億門,系統(tǒng)驗證時間不斷的增加,硬件驗證系統(tǒng)幾乎是驗證工程師不可或缺的利器,因此對高性能硬件驗證系統(tǒng)提出了更多的需求。
    的頭像 發(fā)表于 01-05 10:06 ?864次閱讀

    RZ/G驗證的Linux軟件包V2.1.20-RT 修補程序應(yīng)用指南

    電子發(fā)燒友網(wǎng)站提供《RZ/G驗證的Linux軟件包V2.1.20-RT 修補程序應(yīng)用指南.pdf》資料免費下載
    發(fā)表于 01-03 14:12 ?0次下載
    RZ/G<b class='flag-5'>驗證</b>的Linux軟件包V2.1.20-RT 修補<b class='flag-5'>程序</b>應(yīng)用指南