Монитор пакетов eBPF теряет некоторые пакеты при «ping -f»

Question

Я написал эту программу для захвата всех пакетов, которые приходят в мой сетевой интерфейс. Кажется, он отлично работает с такими вещами, как ping [IP]. Он также отлично работает с ping -f [IP] - c 10. Однако, когда количество проверяемых пакетов возрастает до 200, программа видит потерянные некоторые пакеты. Это естественный предел eBPF или я делаю что-то не так? Вот код:

Кроме того, когда я пинг -f [IP] - c 500, он также выводит: «Возможно, потеряно 10 выборок» или «Возможно, потеряно 34 выборки»

 from bcc import BPF

# Network interface to be monoitored
INTERFACE = "my_interface"

bpf_text = """
#include <uapi/linux/ptrace.h>
#include <net/sock.h>
#include <bcc/proto.h>
#include <linux/bpf.h>
#define IP_TCP 6
#define IP_UDP 17
#define IP_ICMP 1
#define ETH_HLEN 14
BPF_PERF_OUTPUT(skb_events);    // has to be delcared outside any function
BPF_ARRAY(black_list, u64, 5);
int packet_monitor(struct __sk_buff *skb) {
    u8 *cursor = 0;
    u32 saddr;
    u32 daddr;
    u32 ttl;
    u32 hchecksum;

    u64 magic = 111;
    u64 magic2 = 111;

    struct ethernet_t *ethernet = cursor_advance(cursor, sizeof(*ethernet));
    if (!(ethernet -> type == 0x0800)) {
        return 0; // drop
    }
    struct ip_t *ip = cursor_advance(cursor, sizeof(*ip));
    /*
    if (ip->nextp != IP_TCP) 
    {
        if (ip -> nextp != IP_UDP) 
        {
            if (ip -> nextp != IP_ICMP) 
                return 0; 
        }
    }
    */

    skb_events.perf_submit_skb(skb, skb -> len, &magic, sizeof(magic));
    saddr = ip -> src;
    daddr = ip -> dst;
    ttl = ip -> ttl;
    hchecksum = ip -> hchecksum;
    magic = ip -> src;
    magic2 = ip -> dst;
    skb_events.perf_submit_skb(skb, skb->len, &magic, sizeof(magic)); // this one parses number as a hex to the user space
    skb_events.perf_submit_skb(skb, skb->len, &magic2, sizeof(magic2)); // can send multiple values like this


    bpf_trace_printk("saddr = %llu, daddr = %llu, ttl = %llu", saddr, daddr, ttl); 
//    bpf_trace_printk("Incoming packet!!\\n");
    return -1;
}
"""

from ctypes import *
import ctypes as ct
import sys
import socket
import os
import struct

def print_skb_event(cpu, data, size):
    class SkbEvent(ct.Structure):
        _fields_ = [ ("magic", ct.c_uint32), ("magic2", ct.c_uint32)]

    skb_event = ct.cast(data, ct.POINTER(SkbEvent)).contents 
    print("- : ")
    print("%d" % (skb_event.magic))

bpf = BPF(text=bpf_text)

function_skb_matching = bpf.load_func("packet_monitor", BPF.SOCKET_FILTER)

BPF.attach_raw_socket(function_skb_matching, INTERFACE)

bpf["skb_events"].open_perf_buffer(print_skb_event)

black_list = bpf.get_table("black_list")    # retrieve blacklist list

try:
    while True :
        bpf.perf_buffer_poll()  # value = bpf.perf_buffer_poll() function does not return any function and therefore, doesn't work
except KeyboardInterrupt:
    pass

Answer 1

Да, это ограничение перфорированного буфера . Если программа BPF генерирует события в кольцевом буфере быстрее, чем процесс пользовательского пространства (Python) может их использовать, некоторые события будут потеряны (перезаписаны, так как это кольцо). Сообщение Possibly lost XX samples является уведомлением об этом.

Сначала я бы порекомендовал вам попробовать сгруппировать несколько вызовов skb_events.perf_submit_skb в один на стороне BPF. Это может помочь. В противном случае вы можете попытаться объединить данные на стороне BPF, чтобы было меньше информации для отправки на сторону Python.