0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

保证BPF程序安全的BPF验证器介绍

Linux阅码场 来源:Linux内核之旅 作者:梁金荣 2021-05-03 11:27 次阅读

1. 前言

我们可以使用BPF对Linux内核进行跟踪,收集我们想要的内核数据,从而对Linux中的程序进行分析和调试。与其它的跟踪技术相比,使用BPF的主要优点是几乎可以访问Linux内核和应用程序的任何信息,同时,BPF对系统性能影响很小,执行效率很高,而且开发人员不需要因为收集数据而修改程序。

本文将介绍保证BPF程序安全的BPF验证器,然后以BPF程序的工具集BCC为例,分享kprobes和tracepoints类型的BPF程序的使用及程序编写示例。

2. BPF验证器

BPF借助跟踪探针收集信息并进行调试和分析,与其它依赖于重新编译内核的工具相比,BPF程序的安全性更高。重新编译内核引入外部模块的方式,可能会因为程序的错误而产生系统奔溃。BPF程序的验证器会在BPF程序加载到内核之前分析程序,消除这种风险。

BPF验证器执行的第一项检查是对BPF虚拟机加载的代码进行静态分析,目的是确保程序能够按照预期结束。验证器在进行第一项检查时所做工作为:

程序不包含控制循环;

程序不会执行超过内核允许的最大指令数;

程序不包含任何无法到达的指令;

程序不会超出程序界限。

BPF验证器执行的第二项检查是对BPF程序进行预运行,所做工作为:

分析BPF程序执行的每条指令,确保不会执行无效指令;

检查所有内存指针是否可以正确访问和引用;

预运行将程序控制流的执行结果通知验证器,确保BPF程序最终都会执行BPF_EXIT指令。

3. 内核探针 kprobes

内核探针可以跟踪大多数内核函数,并且系统损耗最小。当跟踪的内核函数被调用时,附加到探针的BPF代码将被执行,之后内核将恢复正常模式。

3.1 kprobes类BPF程序的优缺点

优点 动态跟踪内核,可跟踪的内核函数众多,能够提取内核绝大部分信息。

缺点 没有稳定的应用程序二进制接口,可能随着内核版本的演进而更改。

3.2 kprobes

kprobe程序允许在执行内核函数之前插入BPF程序。当内核执行到kprobe挂载的内核函数时,先运行BPF程序,BPF程序运行结束后,返回继续开始执行内核函数。下面是一个使用kprobe的bcc程序示例,功能是监控内核函数kfree_skb函数,当此函数触发时,记录触发它的进程pid,进程名字和触发次数,并打印出触发此函数的进程pid,进程名字和触发次数:

#!/usr/bin/python3

# coding=utf-8

from __future__ import print_function

from bcc import BPF

from time import sleep

# define BPF program

bpf_program = “”“

#include 《uapi/linux/ptrace.h》

struct key_t{

u64 pid;

};

BPF_HASH(counts, struct key_t);

int trace_kfree_skb(struct pt_regs *ctx) {

u64 zero = 0, *val, pid;

pid = bpf_get_current_pid_tgid() 》》 32;

struct key_t key = {};

key.pid = pid;

val = counts.lookup_or_try_init(&key, &zero);

if (val) {

(*val)++;

}

return 0;

}

”“”

def pid_to_comm(pid):

try:

comm = open(“/proc/%s/comm” % pid, “r”).read().rstrip()

return comm

except IOError:

return str(pid)

# load BPF

b = BPF(text=bpf_program)

b.attach_kprobe(event=“kfree_skb”, fn_name=“trace_kfree_skb”)

# header

print(“Tracing kfree_skb.。. Ctrl-C to end.”)

print(“%-10s %-12s %-10s” % (“PID”, “COMM”, “DROP_COUNTS”))

while 1:

sleep(1)

for k, v in sorted(b[“counts”].items(),key = lambda counts: counts[1].value):

print(“%-10d %-12s %-10d” % (k.pid, pid_to_comm(k.pid), v.value))

该bcc程序主要包括两个部分,一部分是python语言,一部分是c语言。python部分主要做的工作是BPF程序的加载和操作BPF程序的map,并进行数据处理。c部分会被llvm编译器编译为BPF字节码,经过BPF验证器验证安全后,加载到内核中执行。python和c中出现的陌生函数可以查下面这两个手册,在此不再赘述:

python部分遇到的陌生函数可以查这个手册: 点此跳转

c部分中遇到的陌生函数可以查这个手册: 点此跳转

需要说明的是,该BPF程序类型是kprobe,它是在这里进行程序类型定义的:

b.attach_kprobe(event=“kfree_skb”, fn_name=“trace_kfree_skb”)

b.attach_kprobe()指定了该BPF程序类型为kprobe;

event=“kfree_skb”指定了kprobe挂载的内核函数为kfree_skb;

fn_name=“trace_kfree_skb”指定了当检测到内核函数kfree_skb时,执行程序中的trace_kfree_skb函数;

BPF程序的第一个参数总为ctx,该参数称为上下文,提供了访问内核正在处理的信息,依赖于正在运行的BPF程序的类型。CPU将内核正在执行任务的不同信息保存在寄存器中,借助内核提供的宏可以访问这些寄存器,如PT_REGS_RC。

程序运行结果如下:

e2411330-a100-11eb-8b86-12bb97331649.png

3.3 kretprobes

相比于内核探针kprobe程序,kretprobe程序是在内核函数有返回值时插入BPF程序。当内核执行到kretprobe挂载的内核函数时,先执行内核函数,当内核函数返回时执行BPF程序,运行结束后返回。

以上面的BPF程序为例,若要使用kretprobe,可以这样修改:

b.attach_kretprobe(event=“kfree_skb”, fn_name=“trace_kfree_skb”)

b.attach_kretprobe()指定了该BPF程序类型为kretprobe,kretprobe类型的BPF程序将在跟踪的内核函数有返回值时执行BPF程序;

event=“kfree_skb”指定了kretprobe挂载的内核函数为kfree_skb;

fn_name=“trace_kfree_skb”指定了当内核函数kfree_skb有返回值时,执行程序中的trace_kfree_skb函数;

4. 内核静态跟踪点 tracepoint

tracepoint是内核静态跟踪点,它与kprobe类程序的主要区别在于tracepoint由内核开发人员在内核中编写和修改。

4.1 tracepoint 程序的优缺点

优点 跟踪点是静态的,ABI更稳定,不随内核版本的变化而致不可用。

缺点 跟踪点是内核人员添加的,不会全面涵盖内核的所有子系统。

4.2 tracepoint 可用跟踪点

系统中所有的跟踪点都定义在/sys/kernel/debug/traceing/events目录中:

e24d14fa-a100-11eb-8b86-12bb97331649.png

使用命令perf list 也可以列出可使用的tracepoint点:

e2629bc2-a100-11eb-8b86-12bb97331649.png

对于bcc程序来说,以监控kfree_skb为例,tracepoint程序可以这样写:

b.attach_tracepoint(tp=“skb:kfree_skb”, fn_name=“trace_kfree_skb”)

bcc遵循tracepoint命名约定,首先是指定要跟踪的子系统,这里是“skb:”,然后是子系统中的跟踪点“kfree_skb”:

e29048b0-a100-11eb-8b86-12bb97331649.png

5. 总结

本文主要介绍了保证BPF程序安全的BPF验证器,然后以BPF程序的工具集BCC为例,分享了kprobes和tracepoints类型的BPF程序的使用及程序编写示例。本文分享的是内核跟踪,那么用户空间程序该如何跟踪呢,这将在后面的文章中逐步分享,感谢阅读。

原文标题:梁金荣:使用eBPF追踪LINUX内核

文章出处:【微信公众号:Linuxer】欢迎添加关注!文章转载请注明出处。

责任编辑:haq

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 内核
    +关注

    关注

    3

    文章

    1372

    浏览量

    40281
  • Linux
    +关注

    关注

    87

    文章

    11294

    浏览量

    209342
收藏 人收藏

    评论

    相关推荐

    如何进行电子连接的测试与验证

    连接在各种应用场景下都能稳定、安全地工作。 二、测试与验证的方法 1. 电气性能测试 接触电阻测试 :测量连接端子之间的电阻值,确保接触性能良好,减少信号损失。使用接触电阻测试仪进
    的头像 发表于 12-20 09:49 103次阅读

    智能安全配电装置在临时展会场所中如何保证用电安全

    与敷设、设备的维护和管理等方面介绍了其安全保障技术,以保证此临时类场所中用电的安全。 【关键词】 临时展会、展摊;电气安全;智能
    的头像 发表于 12-12 09:17 90次阅读
    智能<b class='flag-5'>安全</b>配电装置在临时展会场所中如何<b class='flag-5'>保证</b>用电<b class='flag-5'>安全</b>

    电子设备滤波的种类 影响水质的滤波类型

    于去除高频噪声,如音频系统中的嘶嘶声。 高通滤波(High Pass Filter,HPF) : 特性:允许高频信号通过,同时衰减低频信号。 应用:常用于去除低频噪声,如交流电源中的嗡嗡声,以及去除直流成分。 带通滤波(Band Pass Filter,
    的头像 发表于 11-27 15:52 212次阅读

    Parker派克防爆电机在实际应用中的安全性能如何保证

    Parker防爆电机通过防爆外壳、国际安全标准、专用防爆认证、低火花设计、定制化绕组、应用案例验证及温度管理,确保实际应用中的安全性能,防止爆炸风险,保障安全
    的头像 发表于 11-21 10:58 87次阅读
    Parker派克防爆电机在实际应用中的<b class='flag-5'>安全</b>性能如何<b class='flag-5'>保证</b>?

    AWR1843 DMM接口介绍验证测试

    电子发烧友网站提供《AWR1843 DMM接口介绍验证测试.pdf》资料免费下载
    发表于 09-27 10:26 0次下载
    AWR1843 DMM接口<b class='flag-5'>介绍</b>和<b class='flag-5'>验证</b>测试

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    BPF-F1250+带通滤波规格书

    AD品牌电子元器件
    发表于 07-17 12:55 0次下载

    西门子推出Solido IP验证套件,为下一代IC设计提供端到端的芯片质量保证

    西门子集成的验证套件能够在整个IC设计周期内提供无缝的IP质量保证,为IP开发团队提供完整的工作流程 西门子工业软件日前推出Solido IP验证套件(Solido IP Validation
    发表于 05-24 10:36 396次阅读

    请问NFC数据传输如何保证数据安全

    NFC数据传输如何保证数据安全
    发表于 04-07 06:18

    奇瑞汽车股份有限公司发布“数据验证方法、设备、服务及存储介质”

    该专利涉及车联网科技领域,具体而言是一套数据验证程序,包括提取车辆设备的标识符和接入时刻,然后据此生成校验令牌,以作证服务与设备间数据交互的安全性。相比既有的技术,这种方法更能有效防
    的头像 发表于 03-19 16:53 746次阅读
    奇瑞汽车股份有限公司发布“数据<b class='flag-5'>验证</b>方法、设备、服务<b class='flag-5'>器</b>及存储介质”

    探索aarch64架构上使用ftrace的BPF LSM

    笔者在MacBook M2上搭建Linux虚拟机上开发eBPF程序时,遇到一些LSM eBPF类型程序无法运行的问题,哪怕是5.15内核的ubuntu server,依旧无法正常运行。显然
    的头像 发表于 01-25 09:30 724次阅读

    基于功能安全的汽车嵌入式软件单元验证技术研究

    ,对满足功能安全ASIL等级的汽车嵌入式软件单元验证技术进行详细介绍,从而提高软件质量,减少软件安全隐患,对汽车嵌入式软件开发和测试工作具有一定的指导意义。
    的头像 发表于 01-07 11:27 1047次阅读
    基于功能<b class='flag-5'>安全</b>的汽车嵌入式软件单元<b class='flag-5'>验证</b>技术研究

    RZ/G验证的Linux软件包V2.1.20-RT 修补程序应用指南

    电子发烧友网站提供《RZ/G验证的Linux软件包V2.1.20-RT 修补程序应用指南.pdf》资料免费下载
    发表于 01-03 14:12 0次下载
    RZ/G<b class='flag-5'>验证</b>的Linux软件包V2.1.20-RT 修补<b class='flag-5'>程序</b>应用指南

    来自“理工男”的安全守护!星纪元ET通过“NESTA 六维电安全”技术验证

    安全是一切技术的保障,也是奇瑞对用户始终如一的承诺!“理工男”传承26年的安全基因,在“塔尖明珠”星途星纪元上体现得更加淋漓尽致。 12月29日,中汽中心公布最新消息,根据新能源汽车电安全技术
    的头像 发表于 01-02 15:15 474次阅读
    来自“理工男”的<b class='flag-5'>安全</b>守护!星纪元ET通过“NESTA 六维电<b class='flag-5'>安全</b>”技术<b class='flag-5'>验证</b>

    AtomGit教程 | 使用AtomGit双因素验证保障您的账户安全

    。 本文将向您介绍双因素认证的概念、优势以及AtomGit双因素验证的使用 。 什么是双因素认证? 双因素认证,也称为两步验证,是一种安全认证方法。它结合了两种不同形式的认证方式来确认
    的头像 发表于 12-28 15:55 611次阅读
    AtomGit教程 | 使用AtomGit双因素<b class='flag-5'>验证</b>保障您的账户<b class='flag-5'>安全</b>