如果读取数据包时eBPF程序想要读取超过数据包边界的内容,eBPF程序将会被停止执行。
寄存器
* R0 - return value from in-kernel function, and exit value for eBPF program
* R1 - R5 - arguments from eBPF program to in-kernel function
* R6 - R9 - callee saved registers that in-kernel function will preserve
* R10 - read-only frame pointer to access stack
R1-R5是函数调用的参数寄存器,每次调用了之后这几个寄存器的值可能被改变,所以需要每次调用其他函数后都要重新填充。这5个寄存器被映射到对应平台的实际的参数寄存器,在x86-64下,寄存器的映射方法如下:
R0 - rax
R1 - rdi
R2 - rsi
R3 - rdx
R4 - rcx
R5 - r8
R6 - rbx
R7 - r13
R8 - r14
R9 - r15
R10 – rbp
因为x86-64规定rdi, rsi,rdx, rcx, r8, r9用来做参数传递,rbx, r12 - r15用来做调用者保留。
R6-R9会在eBPF调用其他函数前后保持一致,所以可以用来放eBPF变量。
函数调用
一个eBPF函数被调用的时候会自动带一个参数ctx传递给eBPF程序,放在R1里,(在__bpf_prog_run()函数中实现),这个ctx对于用作filter的eBPF程序来说是skb,对于用作seccomp来说是seccomp_data。所以可以看出,一个使用xt_bpf模块的eBPF过滤程序的原理是在约定的hook点,eBPF被调用,skb被作为第一个参数传进eBPF程序,执行完毕,返回值R0作为判断这个包处理结果的返回值(是否丢弃等)。
指令编码
指令类型类型
在指令编码上,使用8位进行编码,针对不同的指令,这8位的使用情况是不同的,但LSB的最后3位都是用来存储指令类型的。指令主要有如下几种类型:
BPF_LD 0x00
BPF_LDX 0x01
BPF_ST 0x02
BPF_STX 0x03
BPF_ALU 0x04
BPF_JMP 0x05
BPF_ALU64 0x07
以上是表示指令编码的最后3位。BPF_JMP是跳转类型的指令,目前有10个。BPF_ALU和BPF_ALU64是运算类指令,目前有14个。而剩下的则是加载与存储类型的指令。也就是说eBPF一共有3大类指令:跳转、运算、加载与存储。
跳转:BPF_JMP
当最后3位是BPF_ALU或BPF_JMP时,8位的指令编码如上,中间一位有两种取值,表示这个指令使用的源寄存器:
可以看出这一位如果是BPF_X(0),使用src_reg作为源寄存器,如果是BPF_K(1),则使用32位的立即数作为源寄存器。
最后3位是BPF_JMP时,操作符包括:
BPF_JA 0x00
BPF_JEQ 0x10
BPF_JGT 0x20
BPF_JGE 0x30
BPF_JSET 0x40
BPF_JNE 0x50 /* eBPF only: jump != */
BPF_JSGT 0x60 /* eBPF only: signed '>' */
BPF_JSGE 0x70 /* eBPF only: signed '>=' */
BPF_CALL 0x80 /* eBPF only: function call */
BPF_EXIT 0x90 /* eBPF only: function return */
运算:BPF_ALU和BPF_ALU64
当最后3位是BPF_ALU或者是BPF_ALU64时:
BPF_ADD 0x00
BPF_SUB 0x10
BPF_MUL 0x20
BPF_DIV 0x30
BPF_OR 0x40
BPF_AND 0x50
BPF_LSH 0x60
BPF_RSH 0x70
BPF_NEG 0x80
BPF_MOD 0x90
BPF_XOR 0xa0
BPF_MOV 0xb0 /* eBPF only: mov reg to reg */
BPF_ARSH 0xc0 /* eBPF only: sign extending shift right */
BPF_END 0xd0 /* eBPF only: endianness conversion */
举例
BPF_XOR | BPF_K| BPF_ALU 意味着:src_reg = src_reg ^ imm32
BPF_MOV | BPF_X| BPF_ALU :将src_reg的值移动到dst_reg
BPF_ADD | BPF_X| BPF_ALU64 :dst_reg = dst_reg + src_reg
加载与存储
加载与存储指令也有多个,每个可以操作的数据的大小是不一样的,这个大小的区别在中间2个位:
BPF_W 0x00:4个字节
BPF_H 0x08 :2个字节
BPF_B 0x10 :1个字节
BPF_DW 0x18 :8个字节
前3个位的mode包括:
BPF_IMM 0x00 /* used for 32-bit mov inclassic BPF and 64-bit in eBPF */
BPF_ABS 0x20
BPF_IND 0x40
BPF_MEM 0x60
BPF_LEN 0x80 /* classic BPF only, reserved in eBPF */
BPF_MSH 0xa0 /* classic BPF only, reserved in eBPF */
BPF_XADD 0xc0 /* eBPF only,exclusive add */
其中BPF_ABS和BPF_IND只能用在数据包处理上,在这时,R6里面是输入数据包sk_buff,R0是输出数据包。
bpf_mov R6, R1 /* save ctx */
bpf_mov R2, 2
bpf_mov R3, 3
bpf_mov R4, 4
bpf_mov R5, 5
bpf_call foo
bpf_mov R7, R0 /* save foo() return value */
bpf_mov R1, R6 /* restore ctx for next call */
bpf_mov R2, 6
bpf_mov R3, 7
bpf_mov R4, 8
bpf_mov R5, 9
bpf_call bar
bpf_add R0, R7
bpf_exit
翻译成x86-64是:
push %rbp
mov %rsp,%rbp
sub $0x228,%rsp
mov %rbx,-0x228(%rbp)
mov%r13,-0x220(%rbp)
mov %rdi,%rbx
mov $0x2,%esi
mov $0x3,%edx
mov $0x4,%ecx
mov $0x5,%r8d
callq foo
mov %rax,%r13
mov %rbx,%rdi
mov $0x2,%esi
mov $0x3,%edx
mov $0x4,%ecx
mov $0x5,%r8d
callq bar
add %r13,%rax
mov -0x228(%rbp),%rbx
mov -0x220(%rbp),%r13
leaveq
retq
在c就是:
u64 bpf_filter(u64 ctx)
{
return foo(ctx, 2, 3, 4, 5) + bar(ctx,6, 7, 8, 9);
}
使用tcpdump、使用iptables
iptables -A INPUT \
-p udp --dport 53 \
-m bpf --bytecode "14,0 0 0 20,177 0 0 0,12 0 0 0,7 0 0 0,64 0 00,21 0 7 124090465,64 0 0 4,21 0 5 1836084325,64 0 0 8,21 0 3 56848237,80 0 012,21 0 1 0,6 0 0 1,6 0 0 0," \
-j DROP
llvm、内核提供的编译器、iovisitor的uBPF编译器
BPF CompilerCollection (BCC)这个工具集包含很多用来观测内核性能的工具,全部使用eBPF,并且提供了python的外部编程能力。其也是使用llvm用作底层编译器,并且整合了llvm中对bpf支持的最新进展。但是要求内核支持版本是4.1。
使用llvm编译并插入eBPF
使用llvm,使用llvm可以使用如下命令编译:
clang-3.7 -O2 -target bpf -c sockex1_kern.c-o soc1.o -I/lib/modules/3.19.0-15-generic/build/include-I/lib/modules/3.19.0-15-generic/build/arch/x86/include/uapi/
这样可以编译一个包含了map和eBPF代码的elf文件。然而这个文件并不是用来直接插入内核的eBPf程序代码,它只是一个包含了需要插入内核的各种信息的一个集合体,内核代码在sample/bpf/里面有提供解析这个文件的代码逻辑,可以自动实现解析和插入内核。
但是这种有个缺点,这种都是使用的bpf系统调用进行插入的eBPF代码,然而这个系统调用只支持插入到特定的内核位置:
BPF_PROG_TYPE_SOCKET_FILTER, //附在某一个socket上,只对某一个socket产生影响。
BPF_PROG_TYPE_KPROBE, //附在kprobe上
BPF_PROG_TYPE_SCHED_CLS, //附在cls_bpf分类模块上
BPF_PROG_TYPE_SCHED_ACT, //附在act_bpf模块上
可以看到,无法插入到我们希望的hook点上(因为hook点是netfilter的基础设施,netfilter使用xt_bpf来支持bpf,所以就没有在系统调用层级支持)。而类型BPF_PROG_TYPE_SOCKET_FILTER的bpf,即使是使用raw,得到的数据也只是一份拷贝。这就注定了这个机制只能用来分析,不能用来做过滤。所以,目前这条路不通,过滤只能采用xt_bpf。
使用xt_bpf
这是iptables的扩展,可以使用-m参数传递bpf代码进内核。我们可以使用内核提供的bpf编译程序编译代码,或者是tcpdump –ddd,或者是iptables的nfbpf_compile.c程序。但是这三个编译得到的都是cBPF代码。iptables的用户端程序也只支持cBPF代码。所以使用xt_bpf模块的合理选择应该是使用cBPF编程。
如果要使用eBPF编程,可行的方法是在自己实现钩子函数中执行eBPF,或者是复用在xt_bpf的代码。