1. eBPF چیست؟
eBPF (فیلتر بسته برکلی توسعه یافته) یک زیرسیستم هسته لینوکس است که به شما امکان می دهد برنامه های sandboxed را در داخل هسته بدون تغییر کد منبع هسته یا بارگذاری ماژول های هسته اجرا کنید. برنامه ها قبل از اجرا توسط یک تأیید کننده بایت کد هسته تأیید می شوند و ایمنی را تضمین می کنند.
برای شبکه، برنامههای eBPF به آن متصل میشوندنقاط قلابدر پشته شبکه هسته و می تواند بسته ها را بازرسی، اصلاح، تغییر مسیر یا رها کند. مزیت کلیدی بیش ازiptablesیا ماژولهای هسته عملکرد و قابلیت برنامهریزی هستند: برنامههای eBPF به کدهای بومی JIT کامپایل میشوند و میتوانند حالت را از طریق به اشتراک بگذارند.نقشه ها(ذخیرههای کلید-مقدار مشترک بین هسته و فضای کاربر).
| قلاب | مکان | تأخیر | استفاده از مورد |
|---|---|---|---|
| XDP | درایور NIC، قبل از تخصیص sk_buff | پایین ترین | افت DDoS، تعادل بار |
| ورود/خروج tc | پس از تخصیص sk_buff | کم | شکل دهی ترافیک، علامت گذاری، تغییر مسیر |
| فیلتر سوکت | مسیر دریافت سوکت | متوسط | فیلتر کردن به سبک tcpdump |
| kprobe/tracepoint | ورود/خروج تابع هسته | متفاوت است | قابلیت مشاهده، ردیابی |
2. XDP Hook Points
برنامههای XDP (مسیر داده eXpress) در اولین نقطه ممکن در پشته شبکه اجرا میشوند - در داخل درایور NIC، قبل از اینکه هسته یک را تخصیص دهد.sk_buff. این یعنی:
- XDP بومی: درایور به صورت بومی از XDP پشتیبانی می کند (Intel i40e، Mellanox mlx5، و غیره). سریعترین - در زمینه درایور اجرا می شود.
- XDP عمومی: بازگشت برای رانندگان بدون پشتیبانی بومی. دنبالش می دود
sk_buffتخصیص - هنوز سریعتر از iptables است، اما نه به سرعت بومی. - دانلود XDP: برنامه روی خود NIC ASIC اجرا می شود. به سخت افزار SmartNIC (مانند نترونوم) نیاز دارد. هزینه CPU صفر
یک برنامه XDP یکی از پنج حکم را برمیگرداند:
| کد بازگشت | اقدام |
|---|---|
XDP_DROP | بسته را فوراً رها کنید - کمترین تأخیر را کنار بگذارید |
XDP_PASS | به پشته شبکه عادی منتقل کنید |
XDP_TX | همان رابط را به عقب منتقل کنید (جهش) |
XDP_REDIRECT | به یک رابط دیگر یا سوکت AF_XDP هدایت شوید |
XDP_ABORTED | مسیر خطا - رها کردن با رویداد ردیابی |
3. XDP Packet Drop مثال
برنامه زیر تمام بستههای UDP را از یک IP منبع ذخیره شده در نقشه eBPF حذف میکند و به یک صفحه کنترل فضای کاربر اجازه میدهد تا لیست بلاکها را در زمان اجرا بهروزرسانی کند.
// xdp_drop_udp.c — Drop UDP from IPs in a BPF map
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/udp.h>
#include <bpf/bpf_helpers.h>
// BPF map: src IP → drop flag (1 = drop)
struct {
__uint(type, BPF_MAP_TYPE_HASH);
__uint(max_entries, 1024);
__type(key, __u32); // source IPv4 address
__type(value, __u32); // 1 = block
} blocklist SEC(".maps");
SEC("xdp")
int xdp_drop_udp(struct xdp_md *ctx) {
void *data = (void *)(long)ctx->data;
void *data_end = (void *)(long)ctx->data_end;
// Parse Ethernet header
struct ethhdr *eth = data;
if ((void *)(eth + 1) > data_end) return XDP_PASS;
if (eth->h_proto != __constant_htons(ETH_P_IP)) return XDP_PASS;
// Parse IPv4 header
struct iphdr *ip = (void *)(eth + 1);
if ((void *)(ip + 1) > data_end) return XDP_PASS;
if (ip->protocol != IPPROTO_UDP) return XDP_PASS;
// Check blocklist map
__u32 src = ip->saddr;
__u32 *val = bpf_map_lookup_elem(&blocklist, &src);
if (val && *val == 1) return XDP_DROP;
return XDP_PASS;
}
char _license[] SEC("license") = "GPL";data_end. هر عملیات حسابی اشاره گر باید توسط یک بررسی کرانه ها دنبال شود وگرنه برنامه بارگذاری نمی شود.بارگیری و باip:
# Compile
clang -O2 -target bpf -c xdp_drop_udp.c -o xdp_drop_udp.o
# Attach to interface (native XDP)
ip link set eth0 xdp obj xdp_drop_udp.o sec xdp
# Add an IP to the blocklist via bpftool
bpftool map update name blocklist key 0x01 0x02 0x03 0x04 value 0x01 0x00 0x00 0x00
# Remove XDP program
ip link set eth0 xdp off4. AF_XDP: Kernel-Bypass
AF_XDPیک خانواده سوکت است که با XDP ترکیب شده استXDP_REDIRECTحکم، بسته ها را مستقیماً به یک منطقه حافظه فضای کاربر (UMEM) بدون دخالت هسته در هر بسته تحویل می دهد. این پاسخ اکوسیستم eBPF به مدل بای پس هسته DPDK است.
اجزای کلیدی:
- UMEM: یک منطقه حافظه ثبت شده در فضای کاربر که به فریم تقسیم می شود. از طریق حافظه مشترک بین هسته و فضای کاربر به اشتراک گذاشته می شود.
- حلقه ها: چهار حلقه بدون قفل در هر سوکت: پر (فضای کاربری → هسته با فریم های آزاد)، تکمیل (هسته → فضای کاربر با فریم های انجام شده TX)، حلقه RX (هسته → فضای کاربر با فریم های دریافتی)، حلقه TX (فضای کاربری → هسته با فریم هایی برای ارسال).
- حالت صفر کپی: اگر درایور از آن پشتیبانی کند، فریمها بدون هیچ کپی منتقل میشوند - فقط یک نشانگر.
AF_XDP برای پردازش بسته های سفارشی با نرخ خط و بدون پیچیدگی عملیاتی DPDK ایده آل است (بدون نیاز به صفحات بزرگ، بدون نیاز به پین کردن CPU برای استفاده اساسی).
5. tc BPF: Traffic Shaping & Filtering
tc(کنترل ترافیک) برنامه های BPF در ضمیمهclsactqdisc و می تواند در هنگام ورود یا خروج اجرا شود. بر خلاف XDP، آنها کامل را می بینندsk_buffو می تواند به ابرداده های سوکت، VLAN ها و هدرهای تونل دسترسی داشته باشد.
// tc_mark.c — Mark packets with DSCP EF (46) for VoIP traffic on port 5060
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/udp.h>
#include <bpf/bpf_helpers.h>
SEC("classifier")
int tc_mark_voip(struct __sk_buff *skb) {
void *data = (void *)(long)skb->data;
void *data_end = (void *)(long)skb->data_end;
struct ethhdr *eth = data;
if ((void *)(eth + 1) > data_end) return TC_ACT_OK;
if (eth->h_proto != __constant_htons(ETH_P_IP)) return TC_ACT_OK;
struct iphdr *ip = (void *)(eth + 1);
if ((void *)(ip + 1) > data_end) return TC_ACT_OK;
if (ip->protocol != IPPROTO_UDP) return TC_ACT_OK;
struct udphdr *udp = (void *)(ip + 1);
if ((void *)(udp + 1) > data_end) return TC_ACT_OK;
// Mark SIP traffic (port 5060) with DSCP EF (46 = 0xB8 in TOS byte)
if (udp->dest == __constant_htons(5060) || udp->source == __constant_htons(5060)) {
// DSCP EF = 46, shifted left 2 bits in TOS field = 184 (0xB8)
bpf_skb_store_bytes(skb, offsetof(struct iphdr, tos) + sizeof(struct ethhdr),
&((__u8){184}), 1, BPF_F_RECOMPUTE_CSUM);
}
return TC_ACT_OK;
}
char _license[] SEC("license") = "GPL";# Attach tc BPF program
tc qdisc add dev eth0 clsact
tc filter add dev eth0 egress bpf da obj tc_mark.o sec classifier6. محدود کردن نرخ با نقشه های eBPF
نقشه های eBPF پردازش حالت را امکان پذیر می کند. الگوی زیر با استفاده از یک سطل توکن ذخیره شده در a، محدودیت نرخ IP به ازای منبع را پیاده سازی می کندBPF_MAP_TYPE_LRU_HASH:
// Conceptual token bucket per source IP — checks tokens, drops if exceeded
struct ratelimit_entry {
__u64 tokens; // current token count
__u64 last_update; // nanoseconds timestamp
};
struct {
__uint(type, BPF_MAP_TYPE_LRU_HASH);
__uint(max_entries, 65536);
__type(key, __u32); // source IP
__type(value, struct ratelimit_entry);
} rate_map SEC(".maps");
// In XDP program:
// 1. bpf_ktime_get_ns() — get current time
// 2. Lookup entry for src IP
// 3. Refill tokens: tokens += (elapsed_ns / 1e9) * rate_pps
// 4. If tokens >= 1: decrement and XDP_PASS
// 5. Else: XDP_DROP7. bpftool & bpftrace Introspection
دو ابزار ضروری برای کار با برنامه های eBPF زنده:
# bpftool — inspect loaded programs and maps
bpftool prog list # list all loaded eBPF programs
bpftool prog show id 42 # details for program ID 42
bpftool prog dump xlated id 42 # disassemble to eBPF bytecode
bpftool prog dump jited id 42 # dump JIT-compiled native code
bpftool map list # list all BPF maps
bpftool map dump name blocklist # dump all entries in map "blocklist"
bpftool map update name blocklist \
key 192 168 1 100 value 1 0 0 0 # add entry (network byte order)# bpftrace — DTrace-style one-liners for kernel tracing
# Count XDP drops per second
bpftrace -e 'tracepoint:xdp:xdp_exception { @drops[args->action] = count(); } interval:s:1 { print(@drops); clear(@drops); }'
# Trace tcp_retransmit_skb — show retransmit events with comm name
bpftrace -e 'kprobe:tcp_retransmit_skb { printf("%s retransmit\n", comm); }'
# Histogram of packet sizes on eth0
bpftrace -e 'tracepoint:net:netif_receive_skb /args->name == "eth0"/ { @size = hist(args->len); }'8. مقایسه: eBPF/XDP در مقابل DPDK در مقابل RDMA
| ویژگی | eBPF/XDP | DPDK | RDMA |
|---|---|---|---|
| درگیری هسته | حداقل (XDP در درایور) | هیچ (با عبور کامل) | هیچ (RDMA NIC) |
| مدل حافظه | استاندارد + AF_XDP UMEM | صفحات عظیم مورد نیاز است | مناطق حافظه ثبت شده |
| حداکثر توان عملیاتی | ~ 100 گیگابیت بر ثانیه XDP بومی | > 100 گیگابیت بر ثانیه | 200+ گیگابیت در ثانیه (InfiniBand) |
| استفاده از CPU | کم (رویداد محور) | بالا (هسته های نظرسنجی شلوغ) | نزدیک به صفر (تخلیه شده) |
| پیچیدگی عملیات | ابزارهای استاندارد پایین | هسته های اختصاصی بالا، صفحات بزرگ | مدیریت پارچه بالا |
| مورد استفاده | کاهش DDoS، LB، قابلیت مشاهده | روترهای مجازی، NFV، نسل بسته | ذخیره سازی (NVMe-oF)، HPC MPI |
| زبان | C / Rust محدود | ج / زنگ | افعال API (C) |