本篇介绍
XDP(Express Data Path)是一个安全,可编程,高性能的网络数据包处理器,可以集成bpf程序。本篇主要介绍xdp的使用以及现实中的使用场景。
XDP介绍
xdp可以想对于tc在更早阶段对收到的数据包作出处理,比如丢弃,转发,修改,还是让数据包继续进入下一个协议栈。xdp程序主要是通过bpf系统调用来执行bpf程序。
接下来了解一些相关概念,首先是操作模式。xdp拥有3个操作模式:
Native XDP 这个是默认的模式,xdp bpf会在网卡驱动收包的较早路径上执行,不过需要网卡驱动支持。
Offloaded XDP xdp bpf车给你需会直接在网卡上执行,不需要在cpu上执行,这样比native xdp 性能高。
Generic XDP 上述两个模式均对驱动有要求,而这个模式则没有任何要求,可以用来作为测试模式使用。
xdp包处理器
是内核中的一个模块,在数据包出现在RX队列上就可以开始按照xdp程序处理,可以按照“busy polling”模式来处理,这样可以避免上下文切换,也可以按照“interrupt driven”模式处理,也就是基于中断。
xdp 返回码
XDP_DROP: 丢弃该数据包,在网络驱动的最早RX环节就可以丢包,这样可以最大化节省CPU与功耗,用于DOS场景。
XDP_TX:转发该数据包,将数据包返回至到达的网卡上。
DXP_REDIRECT: 重定向数据包,可以将数据包重定向到另外一个网卡上,或者BPF cpumap上,这样可以做负载均衡。
XDP_PASS:将数据包交给协议栈处理,这也是内核默认的行为
XDP_ABORTED:表示bpf程序出现错误,导致数据包被丢弃
xdp程序加载
我们前面看到过bpftool 可以加载bpf程序,也可以手动写代码来加载,xdp 可以使用ip命令来加载:
ip link set dev eth0 xdp obj program.o sec mysection
命令解释如下:
ip: ip 命令
link: 配置网络接口
set:修改设备属性
dev eth0:指定要操作的目标网络设备
xdp obj program.o: 将program.o作为xdp程序进行加载
sec mysection:目标的bpf函数所在的section
接下来我们看一个xdp的例子,作用是屏蔽所有tcp的请求,首先启动一个网络服务:
python3 -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...
这时候可以看到在8000端口上开始监听了,用ss命令看下:
ss -tulpn |grep 8000
tcp LISTEN 0 5 0.0.0.0:8000 0.0.0.0:* users:(("python3",pid=329945,fd=3))
也可以用nmap看下:
nmap -sS 192.168.0.112
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-05 22:02 CST
Nmap scan report for 192.168.0.112 (192.168.0.112)
Host is up (0.0000060s latency).
Not shown: 995 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
139/tcp open netbios-ssn
445/tcp open microsoft-ds
8000/tcp open http-alt
nmap 可以进行端口扫描,查看监听的网络端口
接下来准备xdp 代码:
#include
#include
#include
#define SEC(NAME) __attribute__((section(NAME), used))
SEC("mysection")
int myprogram(struct xdp_md *ctx) {
int ipsize = 0;
void *data = (void *)(long)ctx->data;
void *data_end = (void *)(long)ctx->data_end;
struct ethhdr *eth = data;
struct iphdr *ip;
ipsize = sizeof(*eth);
ip = data + ipsize;
ipsize += sizeof(struct iphdr);
if (data + ipsize > data_end) {
return XDP_DROP;
}
if (ip->protocol == IPPROTO_TCP) {
return XDP_DROP;
}
return XDP_PASS;
}
按照如下方式编译:
clang -target bpf -c xdp.c -o xdp.o
接下来按照如下方式进行加载xdp程序:
sudo ip link set dev wlp4s0 xdp obj xdp.o sec mysection
然后执行如下命令:
ip a show wlp4s0
3: wlp4s0:
link/ether e4:a4:71:b3:62:17 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.112/24 brd 192.168.0.255 scope global dynamic noprefixroute wlp4s0
valid_lft 3710sec preferred_lft 3710sec
inet6 fe80::a7fa:5c7f:99ae:bd31/64 scope link noprefixroute
valid_lft forever preferred_lft forever
可以看到接口wlp4s0 之后出现了xdpgeneric,序号是874,用bpftool 就可以看到:
sudo bpftool prog show id 874
874: xdp name myprogram tag d864d21e56eaab5f
loaded_at 2024-10-05T22:04:37+0800 uid 0
xlated 80B jited 55B memlock 4096B
btf_id 219
接下来用另外一个设备,打开浏览器,输入0.0.0.0.8000, 就会发现链接不上了。 接下卸载该程序:
sudo ip link set dev wlp4s0 xdp off
此时用另外一个设别再链接,发现就可以访问到了。
xdp使用场景
从上述例子可以看出,编写xdp代码相对容易,不需要修改内核,也不需要重启,对开发比较友好,接下来看下使用场景。
Monitoring
做网络数据包监控统计,xdp 实现比较容易,而且对性能影响也很小
DDoS Mitigation
利用xdp丢弃固定来源的数据包,避免对服务器造成攻击,而来源列表可以在用户态提供,该方案对cpu性能影响很小
Load Balancing
利用负载均衡算法将收到的数据包交给目标服务
Firewalling
利用xdp做防火墙,合法名单动态更新,可以提设性能