Gentoo伯克利子系统之六:使用bpf实现xdp的例子

dummy@example.com (batsom) — Sat, 13 Jul 2024 03:55:52 +0000

本篇文章参考《Linux Observability with BPF》中第7章的例子，主要功能是借助于ip命令作为前端，对其他主机访问tcp的8000端口进行限制，这里需要使用较新版本的iproute2软件工具包.

1. 下载编译iproute2 工具包，使用最新的ip命令，支持配置xdp

git clone git://git.kernel.org/pub/scm/linux/kernel/git/shemminger/iproute2.git

在编译iproute2时，需要开启支持libbpf的选项信息，在iproute2目录下配置使用下面的配置选项信息

./configure --libbpf_force=on --LIBBPF_DIR=/usr/local/lib64

执行上面的命令，可能出现下面的错误信息，

确定libbpf的pk-config配置文件位置，/usr/local/lib64/pkgconfig/libbpf.pc 使用

export PKG_CONFIG_PATH=/usr/local/lib64/pkgconfig/ 导入libbpf的配置文件，

使用pkg-config --list-all | grep libbpf 查看是否配置libbpf

然后执行，make && make install 进行安装。

2. 编写bpf程序

本bpf程序对于访问本机的tcp的协议的8000端口进行限制，

#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
#include 
 
 
 
static __always_inline int get_dport(void *trans_data, void *data_end, int protocol)
 
{
 
    struct tcphdr *th;
 
    struct udphdr *uh;
 
 
    switch (protocol) {
 
        case IPPROTO_TCP:
 
            th = (struct tcphdr *)trans_data;
 
            if ((void*)(th + 1) > data_end)
 
                return -1;
 
            return th->dest;
 
        case IPPROTO_UDP:
 
            uh = (struct udphdr *)trans_data;
 
            if ((void *)(uh + 1) > data_end)
 
                return -1;
 
            return uh->dest;
 
        default:
 
            return 0;
 
    }
 
 
}
 
 
SEC("mysection")
 
int myprogram(struct xdp_md *ctx) {
 
  void *data = (void *)(long)ctx->data;
 
  void *data_end = (void *)(long)ctx->data_end;
 
  char fmt[] = "source = %d \n";
 
  struct iphdr *ip;
 
  int dport;
 
  int hdport;
 
  struct ethhdr *eth = data;
 
  struct iphdr *iph = data + sizeof(struct ethhdr);
 
 
    if ((void *)(iph + 1) > data_end) {
 
        return XDP_DROP;
 
    }
 
 
  dport = get_dport(iph + 1, data_end,iph->protocol);
 
 
  if (dport == -1 || dport == bpf_htons(8000)) {
 
        bpf_trace_printk(fmt,sizeof(fmt),bpf_ntohs(dport));
 
      return XDP_DROP;
 
  }
 
 
  return XDP_PASS;
 
}
 
char _license [] SEC ("license") = "GPL";

使用下面的命令进行编译：clang -g -c -O2 -target bpf -c program.c -o program.o

编译完成后，使用下面的ip命令对某个网卡进行价值xdp文件。

ip link set dev eth0 xdp obj program.o sec mysection

通过上面的命令加载后，在接口上出现加载的xdp的类型和ID，表明加载成功。

使用python3 -m http.server在本地主机上其中http服务器，并监听8000端口。

使用另一台主机上使用nmap命令扫描对方监听的端口。nmap -sS 10.9.4.222，扫描结果如下：

ip link set dev eth0 xdp off 关闭加载的xdp程序。再次使用nmap扫描

Gentoo中文社区 / Gentoo伯克利子系统之六:使用bpf实现xdp的例子

Gentoo伯克利子系统之六:使用bpf实现xdp的例子