Linux eBPF & XDP Networking Primer

Saadaval ka:

Linux eBPF & XDP Network Primer

Praktiline juhend BPF programmide, XDP konksude ja kernel-bypass pakettide töötlemise kohta võrgu inseneridele.

1. Mis on eBPF?

eBPF (Extended Berkeley Packet Filter) on Linuxi kerneli alamsüsteem, mis võimaldab käivitada kerneli sees liivakastiga programme ilma kerneli lähtekoodi muutmata või kerneli mooduleid laadimata. Programme kontrollib kerneli baitkoodi kontrollija enne täitmist, tagades ohutuse.

Võrgustiku loomiseks lisavad eBPF-programmid kerneli võrgu virnas ja saab kontrollida, muuta, ümber suunata või kukutada pakette. Peamine eelis või kerneli moodulid on jõudlus ja programmeeritavus: eBPF programmid on JIT-kompileeritud emakeelkoodile ja saavad jagada olekut (võtmeväärtusega kauplused jagatud kerneli ja kasutajaruumi vahel).

Konks	Asukoht	latentsus	Kasuta
XDP	NIC draiver enne sk buffi määramist	Madalaim	DDoS langus, koormuse tasakaalustamine
tc sissepääs/väljasurve	Pärast sk buff jaotamist	Madalamad	Liikluse kujundamine, märgistamine, ümbersuunamine
pistikupesa filter	Sokli vastuvõtu asukoht	Keskmine	tcpdump- stiilis filtreerimine
kprobe/jälgimispunkt	Kerneli funktsiooni sisestamine/väljumine	Varies	Jälgitavus, jälgimine

2. XDP konksupunktid

XDP (eXpress Data Path) programmid töötavad võrgu pinu varaseimas võimalikus punktis - NIC-draiveris, enne kui kernel eraldab See tähendab:

Native XDP
Üldine XDPsk_buff
Laaditud XDP

XDP programm tagastab ühe viiest kohtuotsusest:

Tagastamiskood	Action
`XDP_DROP`	Viska pakend kohe maha – väikseim latentsusajaga vette tagasi laskmine
`XDP_PASS`	Üleslaadimine tavalisele võrgule
`XDP_TX`	Sama liidese tagasi saatmine (põrkumine)
`XDP_REDIRECT`	Ümbersuunamine teisele liidesele või AF XDP soklile
`XDP_ABORTED`	Vea asukoht – lohistamine jäljesündmusega

3. XDP paketi kukkumise näide

Järgmine programm eemaldab kõik UDP paketid eBPF-kaardile salvestatud lähtekoodi IP-st, võimaldades kasutajaruumi juhtimistasandil blokiloendit käivitada.

// xdp_drop_udp.c — Drop UDP from IPs in a BPF map
#include 
#include 
#include 
#include 
#include 

// BPF map: src IP → drop flag (1 = drop)
struct {
    __uint(type, BPF_MAP_TYPE_HASH);
    __uint(max_entries, 1024);
    __type(key, __u32);    // source IPv4 address
    __type(value, __u32);  // 1 = block
} blocklist SEC(".maps");

SEC("xdp")
int xdp_drop_udp(struct xdp_md *ctx) {
    void *data     = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;

    // Parse Ethernet header
    struct ethhdr *eth = data;
    if ((void *)(eth + 1) > data_end) return XDP_PASS;
    if (eth->h_proto != __constant_htons(ETH_P_IP)) return XDP_PASS;

    // Parse IPv4 header
    struct iphdr *ip = (void *)(eth + 1);
    if ((void *)(ip + 1) > data_end) return XDP_PASS;
    if (ip->protocol != IPPROTO_UDP) return XDP_PASS;

    // Check blocklist map
    __u32 src = ip->saddr;
    __u32 *val = bpf_map_lookup_elem(&blocklist, &src);
    if (val && *val == 1) return XDP_DROP;

    return XDP_PASS;
}

char _license[] SEC("license") = "GPL";

Piiride kontrollimine on kohustuslik.data_end

Laadi ja kinnita :

# Compile
clang -O2 -target bpf -c xdp_drop_udp.c -o xdp_drop_udp.o

# Attach to interface (native XDP)
ip link set eth0 xdp obj xdp_drop_udp.o sec xdp

# Add an IP to the blocklist via bpftool
bpftool map update name blocklist key 0x01 0x02 0x03 0x04 value 0x01 0x00 0x00 0x00

# Remove XDP program
ip link set eth0 xdp off

4. AF XDP: Kernel-Bypass

AF_XDPXDP_REDIRECT

Põhikomponendid:

UMEM
Sõrmused
Koopia nullrežiim

AF XDP sobib ideaalselt kohandatud pakettide töötlemiseks liinikiirusel ilma DPDK töö keerukuseta (ei ole tohutuid lehti, põhikasutuseks ei ole vaja CPU pinningut).

5. tc BPF: liikluse kujundamine ja filtreerimine

tcclsactsk_buff

// tc_mark.c — Mark packets with DSCP EF (46) for VoIP traffic on port 5060
#include 
#include 
#include 
#include 
#include 

SEC("classifier")
int tc_mark_voip(struct __sk_buff *skb) {
    void *data     = (void *)(long)skb->data;
    void *data_end = (void *)(long)skb->data_end;

    struct ethhdr *eth = data;
    if ((void *)(eth + 1) > data_end) return TC_ACT_OK;
    if (eth->h_proto != __constant_htons(ETH_P_IP)) return TC_ACT_OK;

    struct iphdr *ip = (void *)(eth + 1);
    if ((void *)(ip + 1) > data_end) return TC_ACT_OK;
    if (ip->protocol != IPPROTO_UDP) return TC_ACT_OK;

    struct udphdr *udp = (void *)(ip + 1);
    if ((void *)(udp + 1) > data_end) return TC_ACT_OK;

    // Mark SIP traffic (port 5060) with DSCP EF (46 = 0xB8 in TOS byte)
    if (udp->dest == __constant_htons(5060) || udp->source == __constant_htons(5060)) {
        // DSCP EF = 46, shifted left 2 bits in TOS field = 184 (0xB8)
        bpf_skb_store_bytes(skb, offsetof(struct iphdr, tos) + sizeof(struct ethhdr),
                            &((__u8){184}), 1, BPF_F_RECOMPUTE_CSUM);
    }
    return TC_ACT_OK;
}

char _license[] SEC("license") = "GPL";

# Attach tc BPF program
tc qdisc add dev eth0 clsact
tc filter add dev eth0 egress bpf da obj tc_mark.o sec classifier

6. määra piiramine eBPF kaartidega

EBPF-kaardid võimaldavad riigipõhist töötlemist. Järgmine muster rakendab lähtekoodi IP-määra piiramist, kasutades sümboolset ämbrit, mis on salvestatud :

// Conceptual token bucket per source IP — checks tokens, drops if exceeded
struct ratelimit_entry {
    __u64 tokens;        // current token count
    __u64 last_update;   // nanoseconds timestamp
};

struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, 65536);
    __type(key, __u32);                     // source IP
    __type(value, struct ratelimit_entry);
} rate_map SEC(".maps");

// In XDP program:
// 1. bpf_ktime_get_ns() — get current time
// 2. Lookup entry for src IP
// 3. Refill tokens: tokens += (elapsed_ns / 1e9) * rate_pps
// 4. If tokens >= 1: decrement and XDP_PASS
// 5. Else: XDP_DROP

7. bpftool & bpftrace Introspect

Kaks olulist tööriista live eBPF programmidega töötamiseks:

# bpftool — inspect loaded programs and maps
bpftool prog list                         # list all loaded eBPF programs
bpftool prog show id 42                   # details for program ID 42
bpftool prog dump xlated id 42            # disassemble to eBPF bytecode
bpftool prog dump jited id 42            # dump JIT-compiled native code
bpftool map list                          # list all BPF maps
bpftool map dump name blocklist           # dump all entries in map "blocklist"
bpftool map update name blocklist \
    key 192 168 1 100 value 1 0 0 0       # add entry (network byte order)

# bpftrace — DTrace-style one-liners for kernel tracing
# Count XDP drops per second
bpftrace -e 'tracepoint:xdp:xdp_exception { @drops[args->action] = count(); } interval:s:1 { print(@drops); clear(@drops); }'

# Trace tcp_retransmit_skb — show retransmit events with comm name
bpftrace -e 'kprobe:tcp_retransmit_skb { printf("%s retransmit\n", comm); }'

# Histogram of packet sizes on eth0
bpftrace -e 'tracepoint:net:netif_receive_skb /args->name == "eth0"/ { @size = hist(args->len); }'

8. Võrdlus: eBPF/XDP vs DPDK vs RDMA

Funktsioon	eBPF/XDP	DPDK	RDMA
Kerneli kaasamine	Minimaalne (XDP juhil)	Puudub (täielik ümbersõit)	Puuduvad (RDMA NIC)
Mälumudel	Standard + AF XDP UMEM	Nõutavad suured leheküljed	Registreeritud mälupiirkonnad
Maksimaalne läbilaskevõime	~ 100 Gbps native XDP	> 100 Gbps	200+ Gbps (InfiniBand)
CPU kasutamine	Madal (sündmustepõhine)	Kõrged (püsipoldi südamikud)	Nullilähedane (mahalaaditud)
Operatsioonide keerukus	Madala tasemega tööriistad	Kõrged – spetsiaalsed südamikud, tohutud leheküljed	Kõrgtehnoloogiline riidehooldus
Kasutusjuhtum	DDoS leevendus, LB, vaatlus	Virtuaalsed ruuterid, NFV, pakettgen	Hoidla (NVMe-oF), HPC MPI
Keel	Piiratud C / rooste	C/Roste	Tegusõnad API (C)

Rusikareegel: