网络报文分析利器eBPF
对于网络工程师来说,使用Wireshark抓取报文并进行分析,是分析问题过程中再平常不过的一件事了。对于使用者简单的功能,其实现可能是复杂的,BPF(Berkeley Packet Filter )就是这种。
BPF是Wireshark的后端技术,也可以说是命令行工具tcpdump的后端技术。因为Wireshark和tcmdump依赖的都是libpcap库,而libpcap库使用的就是BPF技术。linux kernle从2.1版本开始支持BPF功能,而eBPF正是对于BPF的增强,传统的BPF技术一般称之为cBPF。
从名字上可以看出,BPF技术的初衷是作为包过滤工具。因为网络中存在各种报文,而分析问题,查看协议的时候只关系某些特征的报文,因此包过滤功能就格外有用。我们可以试着想一想,如果让我们设计一个包过滤工具如何去做?一般的想法是在驱动收包或者发包的地方,添加钩子或者内核模块,逐个包进行比较,如果过滤规则比较复杂,则每个报文都需要花费大量的指令去处理。这样的效果是处理速度慢,同时也会影响正常报文的处理,比如过滤机制影响了TCP收发包的时延判断,导致TCP连接本身受影响。
为了提升上述包过滤性能,BPF对过滤机制进行了优化。简单来说,BPF在内核实现了一个包过滤虚拟机,用户态程序(tcpdump)通过系统调用,将BPF字节码数据发送给内核的BPF机制,BPF机制在驱动层面对每个报文执行字节码,同时将过滤后的报文通知到用户态的程序。
eBPF对经典BPF机制进行了扩展,增加了更多的寄存器,同时将字长从32位增加到64位,以便可以在单个周期内处理更多的数据。eBPF在内核中支持JIT即时编译,机器指令和寄存器可以一一对应;同时增加了Verifier验证器,以保证在内核中执行的字节码是安全的。同时eBPF还允许有限调用其他模块的特定接口,扩展了eBPF的功能。