Linux eBPF & XDP Networking Primer
Linux eBPF & XDP Networking Primer
Praktischer Leitfaden für BPF-Programme, XDP-Hooks und Kernel-Bypass-Paketverarbeitung für Netzwerktechniker.
1. Was ist eBPF?
eBPF (extended Berkeley Packet Filter) ist ein Linux-Kernel-Subsystem, mit dem Sie sandboxierte Programme im Kernel ausführen können, ohne den Kernel-Quellencode zu ändern oder Kernel-Module zu laden. Programme werden vor der Ausführung durch einen Kernel-Bytecode-Überwacher überprüft, um die Sicherheit zu gewährleisten.
Für die Vernetzung befestigen eBPF-Programme im Netzwerkstapel des Kernels und kann Pakete inspizieren, modifizieren, umleiten oder fallen. Der Schlüsselvorteil gegenüber oder Kernel-Module sind Leistung und Programmierbarkeit: eBPF-Programme sind JIT-kompiliert in nativen Code und können über (Schlüsselspeicher zwischen Kernel und Benutzerraum geteilt).
| Hook | Standort | Latenz | Anwendungsfall |
|---|---|---|---|
| XDP | NIC Treiber, vor sk buff Zuordnung | Niedrigsten | DDoS Drop, Lastausgleich |
| tc ingress/egress | Nach sk buff Zuweisung | Niedrig | Verkehrsformung, Markierung, Umleitung |
| Netzteil | Socket empfangen Pfad | Mittel | Filterung im tcpdump-Stil |
| ksonde/tracepoint | Kernel Funktionseintrag/Ausgang | Varianten | Beobachtungsfähigkeit, Verfolgung |
2. XDP Hakenpunkte
XDP (eXpress Data Path)-Programme laufen frühestmöglich im Netzwerkstapel - innerhalb des NIC-Treibers, bevor der Kernel einen Das bedeutet:
- Native XDP
-
Generisches XDP
sk_buff - Offloaded XDP
Ein XDP-Programm gibt eine von fünf Urteilen zurück:
| Zurück zur Übersicht | Aktion |
|---|---|
XDP_DROP |
Paket sofort fallen lassen – niedrigster Latenzdisard |
XDP_PASS |
Passen Sie bis zu normalen Netzstapel |
XDP_TX |
Senden Sie die gleiche Schnittstelle zurück (bounce) |
XDP_REDIRECT |
Weiterleiten an eine andere Schnittstelle oder AF XDP-Steckdose |
XDP_ABORTED |
Fehlerpfad — Fall mit Spurenereignis |
3. XDP Packet Drop Beispiel
Das folgende Programm reduziert alle UDP-Pakete aus einer Quell-IP, die in einer eBPF-Karte gespeichert ist, sodass eine Benutzerspace-Kontrollebene die Blockliste zu Laufzeit aktualisieren kann.
// xdp_drop_udp.c — Drop UDP from IPs in a BPF map
#include
#include
#include
#include
#include
// BPF map: src IP → drop flag (1 = drop)
struct {
__uint(type, BPF_MAP_TYPE_HASH);
__uint(max_entries, 1024);
__type(key, __u32); // source IPv4 address
__type(value, __u32); // 1 = block
} blocklist SEC(".maps");
SEC("xdp")
int xdp_drop_udp(struct xdp_md *ctx) {
void *data = (void *)(long)ctx->data;
void *data_end = (void *)(long)ctx->data_end;
// Parse Ethernet header
struct ethhdr *eth = data;
if ((void *)(eth + 1) > data_end) return XDP_PASS;
if (eth->h_proto != __constant_htons(ETH_P_IP)) return XDP_PASS;
// Parse IPv4 header
struct iphdr *ip = (void *)(eth + 1);
if ((void *)(ip + 1) > data_end) return XDP_PASS;
if (ip->protocol != IPPROTO_UDP) return XDP_PASS;
// Check blocklist map
__u32 src = ip->saddr;
__u32 *val = bpf_map_lookup_elem(&blocklist, &src);
if (val && *val == 1) return XDP_DROP;
return XDP_PASS;
}
char _license[] SEC("license") = "GPL"; data_end
Last und Befestigung mit :
# Compile
clang -O2 -target bpf -c xdp_drop_udp.c -o xdp_drop_udp.o
# Attach to interface (native XDP)
ip link set eth0 xdp obj xdp_drop_udp.o sec xdp
# Add an IP to the blocklist via bpftool
bpftool map update name blocklist key 0x01 0x02 0x03 0x04 value 0x01 0x00 0x00 0x00
# Remove XDP program
ip link set eth0 xdp off4. AF XDP: Kernel-Bypass
AF_XDPXDP_REDIRECT
Schlüsselkomponenten:
- UMEM
- Ringe
- Zero-Copy-Modus
AF XDP ist ideal für die benutzerdefinierte Paketverarbeitung mit Zeilenrate ohne die operative Komplexität von DPDK (keine riesige Seiten, keine CPU-Pinning für den Grundgebrauch erforderlich).
5. tc BPF: Verkehrs Shaping & Filter
tcclsactsk_buff
// tc_mark.c — Mark packets with DSCP EF (46) for VoIP traffic on port 5060
#include
#include
#include
#include
#include
SEC("classifier")
int tc_mark_voip(struct __sk_buff *skb) {
void *data = (void *)(long)skb->data;
void *data_end = (void *)(long)skb->data_end;
struct ethhdr *eth = data;
if ((void *)(eth + 1) > data_end) return TC_ACT_OK;
if (eth->h_proto != __constant_htons(ETH_P_IP)) return TC_ACT_OK;
struct iphdr *ip = (void *)(eth + 1);
if ((void *)(ip + 1) > data_end) return TC_ACT_OK;
if (ip->protocol != IPPROTO_UDP) return TC_ACT_OK;
struct udphdr *udp = (void *)(ip + 1);
if ((void *)(udp + 1) > data_end) return TC_ACT_OK;
// Mark SIP traffic (port 5060) with DSCP EF (46 = 0xB8 in TOS byte)
if (udp->dest == __constant_htons(5060) || udp->source == __constant_htons(5060)) {
// DSCP EF = 46, shifted left 2 bits in TOS field = 184 (0xB8)
bpf_skb_store_bytes(skb, offsetof(struct iphdr, tos) + sizeof(struct ethhdr),
&((__u8){184}), 1, BPF_F_RECOMPUTE_CSUM);
}
return TC_ACT_OK;
}
char _license[] SEC("license") = "GPL"; # Attach tc BPF program
tc qdisc add dev eth0 clsact
tc filter add dev eth0 egress bpf da obj tc_mark.o sec classifier6. Rate Limiting mit eBPF Maps
eBPF-Karten ermöglichen eine staatliche Verarbeitung. Das folgende Muster implementiert eine Per-Source-IP-Ratenbegrenzung mit einem in einem :
// Conceptual token bucket per source IP — checks tokens, drops if exceeded
struct ratelimit_entry {
__u64 tokens; // current token count
__u64 last_update; // nanoseconds timestamp
};
struct {
__uint(type, BPF_MAP_TYPE_LRU_HASH);
__uint(max_entries, 65536);
__type(key, __u32); // source IP
__type(value, struct ratelimit_entry);
} rate_map SEC(".maps");
// In XDP program:
// 1. bpf_ktime_get_ns() — get current time
// 2. Lookup entry for src IP
// 3. Refill tokens: tokens += (elapsed_ns / 1e9) * rate_pps
// 4. If tokens >= 1: decrement and XDP_PASS
// 5. Else: XDP_DROP7. bpftool & bpftrace Introspection
Zwei wesentliche Werkzeuge für die Arbeit mit Live-eBPF-Programmen:
# bpftool — inspect loaded programs and maps
bpftool prog list # list all loaded eBPF programs
bpftool prog show id 42 # details for program ID 42
bpftool prog dump xlated id 42 # disassemble to eBPF bytecode
bpftool prog dump jited id 42 # dump JIT-compiled native code
bpftool map list # list all BPF maps
bpftool map dump name blocklist # dump all entries in map "blocklist"
bpftool map update name blocklist \
key 192 168 1 100 value 1 0 0 0 # add entry (network byte order)# bpftrace — DTrace-style one-liners for kernel tracing
# Count XDP drops per second
bpftrace -e 'tracepoint:xdp:xdp_exception { @drops[args->action] = count(); } interval:s:1 { print(@drops); clear(@drops); }'
# Trace tcp_retransmit_skb — show retransmit events with comm name
bpftrace -e 'kprobe:tcp_retransmit_skb { printf("%s retransmit\n", comm); }'
# Histogram of packet sizes on eth0
bpftrace -e 'tracepoint:net:netif_receive_skb /args->name == "eth0"/ { @size = hist(args->len); }'8. Vergleich: eBPF/XDP gegen DPDK gegen RDMA
| Merkmal | EBPF/XDP | DPDK | RDMA |
|---|---|---|---|
| Kernkapitalbeteiligung | Minimal (XDP im Treiber) | Keine (vollständige Bypass) | Keine (RDMA NIC) |
| Speichermodell | Standard + AF XDP UMEM | Hugepages erforderlich | Registrierte Speicherbereiche |
| Maximaler Durchsatz | ~100 Gbps native XDP | > 100 Gbps | 200+ Gbps (InfiniBand) |
| Nutzung der CPU | Niedrig (ventgetrieben) | Hohe (busy-poll Kerne) | Nahe Null (ausgeladen) |
| Unmögliche Komplexität | Niedrig — Standardwerkzeuge | Hohe — dedizierte Kerne, riesige Seiten | Hoch — Stoffmanagement |
| Anwendungsfall | DDoS Minderung, LB, Beobachtbarkeit | Virtuelle Router, NFV, Paket Gen | Speicher (NVMe-oF), HPC MPI |
| Sprache | Eingeschränkt C / Rust | C / Rust | Verbs API (C) |