【问题标题】:Why ebpf program inside samples/bpf doesn't work?为什么 samples/bpf 中的 ebpf 程序不起作用?
【发布时间】:2019-07-31 13:28:50
【问题描述】:

目标:在4.18.0内核源码树的samples/bpf目录下编写一个新的ebpf例子,编译并执行。

问题:在我运行 sudo ./mine 时编译后它就终止了。

mine_kern.c

#include <uapi/linux/bpf.h>
#include <uapi/linux/if_ether.h>
#include <uapi/linux/ip.h>
#include <linux/in.h>
#include <linux/if_packet.h>
#include "bpf_helpers.h" 

int icmp_filter(struct __sk_buff *skb){

        int proto = load_byte(skb, ETH_HLEN + offsetof(struct iphdr, protocol));
        if(proto == IPPROTO_ICMP && skb->pkt_type == PACKET_OUTGOING){
           return -1;
        } else {
           return 0;
        }
}

char _license[] SEC("license") = "GPL";

mine_user.c

#include <stdio.h>
#include <assert.h>
#include <linux/bpf.h>
#include <bpf/bpf.h>
#include "bpf_load.h"
#include "sock_example.h"
#include <unistd.h>
#include <arpa/inet.h>    

int main(int ac, char **argv)
{
    char filename[256];
    FILE *f;
    int i, sock;

    snprintf(filename, sizeof(filename), "%s_kern.o", argv[0]);

    if (load_bpf_file(filename)) {
        printf("%s", bpf_log_buf);
        return 1;
    }   

    sock = open_raw_sock("lo");

    assert(setsockopt(sock, SOL_SOCKET, SO_ATTACH_BPF, prog_fd,
              sizeof(prog_fd[0])) == 0);

    f = popen("ping -c5 localhost", "r");
    (void) f;

    char buf[65535];

    for(i=0; i<20; i++){
           int res = recvfrom(sock, buf, sizeof(buf), 0, NULL, 0);
           printf("res=%d\n", res);
     } 

     return 0;
}

我还修改了samples/bpf 中的Makefile,在需要的地方添加了mine_user.cmine_kern.c问题:这段代码有什么问题?

【问题讨论】:

  • 您是否尝试过调试您的用户空间程序?
  • 我试图放一些 printf 并且它进入第一个 if 是因为返回 1 而终止;陈述。此外,如果 printf(%s, bpf_log_buf) 不打印任何内容。

标签: c kernel bpf ebpf


【解决方案1】:

由于load_bpf_file() 加载函数的方式,您需要将BPF 程序函数放在单独的ELF 部分中。例如,我可以加载程序:

SEC("socket")
int icmp_filter(struct __sk_buff *skb){
        ...
}

之后,我在运行程序时看到一连串的res=-1。这是因为您的套接字被open_raw_sock() 设置为非阻塞,来自sock_example.h

sock = socket(PF_PACKET, SOCK_RAW|SOCK_NONBLOCK|SOCK_CLOEXEC, htons(ETH_P_ALL));

因此,当没有要接收的数据包时,recvfrom() 只需返回-1(并将errno 设置为-EGAIN——顺便说一下,您应该考虑打印strerror(errno))而不是等待数据包.所以你可能也想改变它。

【讨论】:

  • 再次感谢! 1) SEC() 是否需要特定名称?因为我尝试使用像 SEC("mine") 这样的随机名称但它不起作用(mine_user mine_kern 是文件的名称)。然后我尝试了我在另一个示例中看到的一个(例如 SEC("socket1") 并且它工作正常 2)为什么以非阻塞方式打开套接字?我可以在没有 SOCK_NONBLOCK 的情况下自己打开套接字还是不鼓励?
  • 您的案例中没有使用 libbpf。您使用了bpf_load.c,它需要一个特定的前缀,在您的情况下:socket。见the code。对于 2) 这只是示例的编码方式,再次查看代码/commit log:用户应用程序不读取套接字,只是 BPF 映射。我不明白为什么不鼓励打开经典的阻塞套接字。
  • bpf_load.c 的大部分内容早于 libbpf。这导致 BPF 程序使用各种加载器的情况。今天,大多数已经转移到 libbpf,这应该是处理 BPF 目标文件和程序的参考。一些样本仍然使用bpf_load.c(那个文件甚至可能包含来自 libbpf 本身的一些东西,我不记得了)。随意尝试这个加载器,但如果你构建一个严肃的项目,肯定会选择 libbpf(并在内核树之外构建你的程序,它可能会让你的生活更轻松)。
  • 您不需要自己使用系统调用,libbpf 会为您处理。除了标题/包含,3) 与 1) 相同。你可以从树的 libbpf 中获取它,a GitHub mirror 你可以像任何其他 C 库一样下载、安装和使用它。你看过我提供的例子吗? bpf-samples 使用树外的 libbpf 来构建程序(libbpf GitHub 存储库作为 Git 子模块添加)。除了构建它之外,bpftool 可以处理任何 BPF 内容,而不仅仅是内核中的示例。
  • 不,bpf() 手册页已经完全过时了。关于权限,大多数命令和程序类型都需要此功能,但 not for socket filters 或某些 cgroup 的东西。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2019-02-08
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2013-01-26
  • 2016-04-20
相关资源
最近更新 更多