使用 eBPF 在 Linux 内核中构建自定义网络协议：实践指南

eBPF (extended Berkeley Packet Filter) 是一种强大的内核技术，允许用户在内核中安全地运行自定义代码，而无需修改内核源代码或加载内核模块。这使得 eBPF 成为网络监控、安全和性能分析等领域的理想选择。本文将深入探讨如何利用 eBPF 在 Linux 内核中实现一个自定义的网络协议，并与其他系统进行通信。

1. eBPF 简介

eBPF 最初是作为 BPF (Berkeley Packet Filter) 的扩展而设计的，用于过滤网络数据包。然而，eBPF 已经远远超出了其最初的范围，成为一个通用的内核虚拟机，可以用于各种各样的任务。eBPF 程序运行在内核空间，但受到严格的验证和安全检查，以防止恶意代码对系统造成损害。

eBPF 的优势：

• 安全性： eBPF 程序在加载到内核之前会经过验证器的严格检查，确保程序的安全性。
• 高性能： eBPF 程序可以直接在内核中运行，避免了用户空间和内核空间之间的数据拷贝和上下文切换。
• 灵活性： eBPF 允许用户在不修改内核源代码的情况下，动态地加载和卸载自定义代码。

2. 准备工作

在开始之前，请确保您的系统满足以下要求：

• Linux 内核版本： 至少 4.14 或更高版本（推荐 5.x 或更高版本）。
• libbpf： 用于编译和加载 eBPF 程序的库。
• clang 和 llvm： 用于编译 eBPF C 代码。
• bpftool： 用于管理和调试 eBPF 程序的工具。

您可以使用以下命令安装所需的工具和库（以 Ubuntu 为例）：

sudo apt update
sudo apt install -y clang llvm libelf-dev zlib1g-dev libcap-dev

对于 bpftool，您可以从内核源代码树中编译它，或者从发行版的仓库中安装。

3. 设计自定义网络协议

在实现自定义网络协议之前，我们需要先定义协议的格式。为了简单起见，我们设计一个非常简单的协议，包含以下字段：

• Magic Number (2 bytes): 用于标识协议类型，例如 0xCAFE。
• Version (1 byte): 协议版本号，例如 0x01。
• Type (1 byte): 消息类型，例如 0x01 表示请求，0x02 表示响应。
• Length (2 bytes): 数据部分的长度。
• Data (variable length): 实际的数据内容。

以下是用 C 语言描述的协议头结构体：

struct custom_protocol_header {
    __u16 magic;
    __u8  version;
    __u8  type;
    __u16 length;
};

4. 编写 eBPF 程序

接下来，我们将编写一个 eBPF 程序来处理自定义网络协议的数据包。该程序将附加到网络接口的 XDP (eXpress Data Path) 挂载点，以便在数据包到达网络堆栈之前对其进行处理。

以下是一个简单的 eBPF 程序的示例，用于解析自定义协议头并打印消息类型：

#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/udp.h>
#include <bpf/bpf_helpers.h>
 
#define MAGIC_NUMBER 0xCAFE
 
struct custom_protocol_header {
    __u16 magic;
    __u8  version;
    __u8  type;
    __u16 length;
};
 
SEC("xdp")
int xdp_custom_protocol(struct xdp_md *ctx) {
    void *data = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;
    struct ethhdr *eth = data;
    __u64 offset = sizeof(struct ethhdr);
 
    // 检查以太网帧长度
    if (data + offset > data_end) {
        return XDP_PASS;
    }
 
    struct iphdr *ip = data + offset;
    offset += sizeof(struct iphdr);
 
    // 检查 IP 数据包长度
    if (data + offset > data_end) {
        return XDP_PASS;
    }
 
    struct udphdr *udp = data + offset;
    offset += sizeof(struct udphdr);
 
    // 检查 UDP 数据包长度
    if (data + offset > data_end) {
        return XDP_PASS;
    }
 
    struct custom_protocol_header *custom_header = data + offset;
    offset += sizeof(struct custom_protocol_header);
 
    // 检查自定义协议头长度
    if (data + offset > data_end) {
        return XDP_PASS;
    }
 
    // 检查 Magic Number
    if (custom_header->magic != MAGIC_NUMBER) {
        return XDP_PASS;
    }
 
    // 打印消息类型
    bpf_printk("Received custom protocol message, type: %d\n", custom_header->type);
 
    return XDP_PASS;
}
 
char _license[] SEC("license") = "GPL";

代码解释：

• #include：包含所需的头文件，例如 linux/bpf.h、linux/if_ether.h 和 bpf/bpf_helpers.h。
• struct custom_protocol_header：定义自定义协议头的结构体。
• SEC("xdp")：指定 eBPF 程序的类型为 XDP，这意味着该程序将附加到网络接口的 XDP 挂载点。
• xdp_custom_protocol：eBPF 程序的主要函数，接收一个 xdp_md 结构体作为参数，该结构体包含有关数据包的信息。
• data 和 data_end：指向数据包的起始和结束地址。
• ethhdr、iphdr、udphdr：指向以太网、IP 和 UDP 头的指针。
• offset：用于跟踪数据包的当前偏移量。
• bpf_printk：用于在内核中打印调试信息的辅助函数。
• XDP_PASS：指示内核继续处理数据包。

5. 编译和加载 eBPF 程序

将上述代码保存为 custom_protocol.c 文件，并使用以下命令编译它：

clang -O2 -target bpf -c custom_protocol.c -o custom_protocol.o

接下来，使用 bpftool 加载 eBPF 程序：

sudo bpftool net attach xdp custom_protocol.o dev eth0

将 eth0 替换为您要附加 eBPF 程序的网络接口的名称。

6. 发送自定义网络协议数据包

为了测试我们的 eBPF 程序，我们需要发送一些自定义网络协议的数据包。我们可以使用 scapy 库来构造和发送数据包。

from scapy.all import *
 
# 定义自定义协议头
class CustomProtocol(Packet):
    name = "CustomProtocol"
    fields_desc = [
        ShortField("magic", 0xCAFE),
        ByteField("version", 0x01),
        ByteField("type", 0x01),
        ShortField("length", 0)
    ]
 
bind_layers(UDP, CustomProtocol, dport=12345)
 
# 构造数据包
p = Ether(dst="00:11:22:33:44:55") / IP(dst="192.168.1.100") / UDP(dport=12345, sport=54321) / CustomProtocol(type=1, length=10) / Raw(load="Hello World")
 
# 发送数据包
sendp(p, verbose=0)

代码解释：

• CustomProtocol：定义自定义协议的 Scapy 数据包类。
• bind_layers：将 UDP 协议层与自定义协议层绑定，以便 Scapy 能够正确地解析数据包。
• Ether、IP、UDP：构造以太网、IP 和 UDP 头部。
• CustomProtocol：构造自定义协议头部，设置消息类型和数据长度。
• Raw：添加实际的数据内容。
• sendp：发送数据包。

运行上述 Python 脚本，将 dst IP 地址和 MAC 地址替换为您的目标系统的地址。您应该能够在内核日志中看到 eBPF 程序打印的消息类型。

7. 系统间通信

为了实现系统间的通信，我们需要在两个系统上都运行 eBPF 程序，并在它们之间发送自定义网络协议的数据包。一个系统可以作为服务器，监听特定端口上的数据包，而另一个系统可以作为客户端，向服务器发送数据包。

服务器端 eBPF 程序：

服务器端的 eBPF 程序需要监听特定端口上的数据包，并处理接收到的数据。该程序可以使用 bpf_skb_load_bytes 辅助函数从数据包中读取数据，并使用 bpf_ktime_get_ns 辅助函数获取当前时间戳。然后，该程序可以将数据和时间戳存储到 eBPF 映射中，以便用户空间程序可以访问它们。

客户端 eBPF 程序：

客户端的 eBPF 程序需要构造自定义网络协议的数据包，并将其发送到服务器。该程序可以使用 bpf_skb_store_bytes 辅助函数将数据写入数据包，并使用 bpf_send_packet 辅助函数发送数据包。

用户空间程序：

用户空间程序可以使用 libbpf 库与 eBPF 程序进行交互。服务器端的用户空间程序可以从 eBPF 映射中读取数据和时间戳，并将其显示给用户。客户端的用户空间程序可以构造数据包并将其发送到 eBPF 程序。

8. 总结

本文介绍了如何使用 eBPF 在 Linux 内核中实现一个自定义的网络协议，并与其他系统进行通信。eBPF 是一种强大的技术，可以用于各种各样的网络任务。通过学习本文，您可以掌握 eBPF 的基本概念和使用方法，并将其应用到您的实际项目中。

进一步学习：

• eBPF Documentation: https://www.kernel.org/doc/html/latest/networking/filter.html
• libbpf: https://github.com/libbpf/libbpf
• bpftool: 包含在 Linux 内核源码中
• XDP (eXpress Data Path): https://www.kernel.org/doc/html/latest/networking/xdp.html

希望本文对您有所帮助！