eBPF動手實踐系列三：基于原生libbpf庫的eBPF編程改進方案簡析

01

在上一篇文章《eBPF動手實踐系列二：構建基于純C語言的eBPF項目》中，我們初步實現了脫離內核源碼進行純C語言eBPF項目的構建。libbpf庫在早期和內核源碼結合的比較緊密，如今的libbpf庫更加成熟，已經完全脫離內核源碼獨立發展。

為了更加具體的理解linux內核版本演進和libbpf版本演進的關系，本文在“附錄A”中總結了各個內核版本源碼示例中所依賴的libbpf庫的對應版本信息。

大部分版本的內核獲取libbpf版本的方法如下，從libbpf庫目錄的libbpf.map文件中提取最大的版本號信息。這里的"source"為內核源碼所在目錄。

$ cat ./source/tools/lib/bpf/libbpf.map | grep -oE '^LIBBPF_([0-9.]+)' | sort -rV | head -n1 | cut -d'_' -f2

較早版本的內核在./tools/lib/bpf/Makefile文件中直接定義了libbpf的版本信息。

$ cat ./source/tools/lib/bpf/Makefile
BPF_VERSION = 0
BPF_PATCHLEVEL = 0
BPF_EXTRAVERSION = 2

02

eBPF編程方案簡介

為了簡化 eBPF程序的開發流程，降低開發者在使用 libbpf 庫時的入門難度，libbpf-bootstrap 框架應運而生?；趌ibbpf-bootstrap框架的編程方案是目前網絡上看到的最主流編程方案。此外，網絡上也偶見比較古老的僅依賴一個bpf_load.c文件的C語言編程方案，這個方案并不需要依賴libbpf庫的支持。

主流的C語言實現的eBPF編程方案，大體上就是以下三種，筆者總共將其歸納為3代。

除了經典的C語言編程方案，一些編程框架還選擇使用Python語言，Go語言，或者Rust語言作為用戶態加載的實現語言。

盡管libbpf-bootstrap骨架C語言方案、基于libbpfgo庫的go語言方案等已經被大家廣泛使用和接受。但筆者認為基于原生libbpf庫的eBPF編程方案仍然具備很多獨特的優勢。以下是原生libbpf庫eBPF編程方案的一些獨特優勢：

更深的控制和靈活性：直接使用原生libbpf 庫的方案意味著可以與更底層交互，實現更多的控制，定制加載和管理 eBPF 程序和 maps 過程，滿足更復雜的需求。

更好的學習和理解：libbpf-bootstrap封裝抽象屏蔽了很多細節，直接使用原生libbpf可以對 eBPF 子系統有更深入的理解，有利于開發者對 eBPF 內部工作原理的理解。

更細粒度的依賴管理：直接使用原生libbpf庫能夠指定依賴的 libbpf 庫版本和功能，進而更精細化地管理項目依賴關系。

更好的低版本內核適應性：基于原生libbpf庫的方案，在低版本操作系統發行版和低版本內核上可以有更好的兼容性。

本文將由淺入深介紹第 2 代原生libbpf庫的eBPF編程方案，并提出一種改進思路。

03

準備eBPF開發的基礎環境

主流的linux發行版大多是基于rpm包或deb包的包管理系統。不同的包管理系統，初始化eBPF開發環境時所依賴的包，也略有差別。本文將分別進行介紹。

3.1 rpm包基礎環境初始化

在RPM包發行版環境，需要安裝一些編譯過程的基礎包、編譯工具包、庫依賴包和頭文件依賴包等。我們推薦使用如下一些發行版及其兼容環境：Anolis 8.8、Kylin V10、CentOS 8.5、和 Fedora 39 等。

詳細安裝步驟如下：

$  yum install git make                               # 基礎包
$  yum install kernel-headers-$(uname -r)             # 頭文件依賴包
$  yum install clang llvm elfutils-libelf-devel       # 編譯工具和依賴庫包


## 依次選擇如下命令之一，安裝bpftool工具
$  yum install bpftool-$(uname -r)
$  yum install bpftool

3.2 deb包基礎環境初始化

在 DEB 包發行版環境，需要安裝一些編譯過程的基礎包、編譯工具包、庫依賴包和頭文件依賴包等。推薦使用Ubuntu 22.04 或Debian 12 等發行版及其兼容環境。

詳細安裝步驟如下：

$  apt-get update                                     # 更新apt源信息
$  apt install git make                               # 基礎包 
$  apt install linux-libc-dev                         # 頭文件依賴包
$  apt install clang llvm libelf-dev                  # 編譯工具和依賴庫包


## 依次選擇如下命令之一，安裝bpftool工具
$  apt install linux-tools-common linux-tools-$(uname -r)
$  apt install linux-tools-common linux-tools-generic
$  apt install linux-tools-$(uname -r) linux-cloud-tools-$(uname -r)
$  apt install bpftool

04

構建基于原生libbpf庫的eBPF項目

本文的目的是向大家分享一個以第2代 ebpf 編程方案為基礎的改進ebpf編譯構建方案。本節先用一些篇幅內容，對第2代方案本身的構建編譯過程做一些介紹。

libbpf庫具有一定的向下兼容能力，可以選擇使用截至目前最新的歸檔版本libbpf-1.3.0來搭建編程環境。以 libbpf-1.3.0版本libbpf庫為基礎，下文會提供若干實例代碼，來剖析ebpf構建原理。完成了基礎環境的初始化，就可以開始搭建我們的eBPF項目。所有的代碼示例都可以通過如下git項目獲取。為了后面訪問方便，這里用一個shell變量NATIVE_LIBBPF用來存儲工作目錄。

$ cd ~
$ git clone https://github.com/alibaba/sreworks-ext.git
$ NATIVE_LIBBPF=~/sreworks-ext/demos/native_libbpf_guide/

4.1 初步構建基于原生libbpf庫的eBPF項目

首先來看一個基于原生libbpf庫的第2代eBPF構建實例。ebpf初學者，可以考慮選擇跟蹤 execve 系統調用產生的事件。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd trace_execve_libbpf130                            # 進入項目目錄   
$ make
$ sudo ./trace_execve
trace_execve 15836221 5501 bash 1534 bash 0 /usr/bin/ls
trace_execve 15914126 5502 bash 1534 bash 0 /usr/bin/ps


$ make clean

執行trace_execve命令，對編譯結果進行驗證，完美驗證通過。

4.2 eBPF項目的目錄結構解析

介紹下trace_execve_libbpf130的目錄結構。

再介紹下本項目trace_execve_libbpf130和libbpf-1.3.0庫的對應關系。下載libbpf-1.3.0庫解壓后，使用diff命令進行目錄對比。

目錄native_libbpf_guide/trace_execve_libbpf130/tools/lib/bpf/內容，除Makefile內容外都來自目錄~/libbpf-1.3.0/src/。

目錄native_libbpf_guide/trace_execve_libbpf130/tools/include/來自目錄~/libbpf-1.3.0/include/，所有內容都完全一致。

除以上兩部分來自libbpf-1.3.0庫以外的文件，其余都由本項目原創貢獻。

$ cd ~
$ wget http://github.com/libbpf/libbpf/archive/refs/tags/v1.3.0.tar.gz
$ tar -zxvf v1.3.0.tar.gz
$ diff -qr $NATIVE_LIBBPF/trace_execve_libbpf130/tools/lib/bpf/ ~/libbpf-1.3.0/src/
Only in ~/libbpf-1.3.0/src/: .gitignore
Files ~/native_libbpf_guide/trace_execve_libbpf130/tools/lib/bpf/Makefile and ~/libbpf-1.3.0/src/Makefile differ


$ diff -qr $NATIVE_LIBBPF/trace_execve_libbpf130/tools/include/ ~/libbpf-1.3.0/include/

在這個項目中添加ebpf的代碼，可以遵循這樣的目錄結構。用戶態加載文件放到根目錄下，內核態bpf文件放到progs目錄下，用戶態和內核態公共的頭文件放到include目錄下。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd trace_execve_libbpf130                            # 進入項目目錄  
$ find . -name "trace_execve*"
./trace_execve.c
./progs/trace_execve.bpf.c
./include/trace_execve.h

4.3 eBPF項目的Makefile解析

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd trace_execve_libbpf130                            # 進入項目目錄
$ find . -name Makefile 
./Makefile
./progs/Makefile
./tools/lib/bpf/Makefile
./tools/build/feature/Makefile

trace_execve_libbpf130項目有4個Makefile，分別如下：

./Makefile是主文件，用于生成用戶態eBPF程序trace_execve。

./progs/Makefile 用于生成內核態BPF程序trace_execve.bpf.o。

./tools/lib/bpf/Makefile 用于生成libbpf.a靜態庫。

./tools/build/feature/Makefile 用于一些feature的探測。

在項目空間的根目錄運行make命令進行項目構建時，會首先執行Makefile文件。在Makefile文件中會通過make的-C選項間接觸發progs/Makefile和tools/lib/bpf/Makefile的執行。

感興趣的同學可以通過上一章節中提到的make --debug=v,m SHELL="bash -x" 命令逐步debug這些makefile的執行過程。

下文重點分析下編譯過程的一些編譯參數，讓我們加深對eBPF構建過程的理解。

4.4 C語言編譯器的目錄搜索選項

在開始分析eBPF程序的編譯參數之前，先要簡單說一下C語言編譯器（gcc/clang）的目錄搜索選項。C語言的頭文件都需要按照目錄搜索選項的指引，才能正確找到它所在位置。

除了日常我們熟知的-I選項，clang/gcc的目錄搜索選項還有很多，它們優先級的順序依次如下：

頭文件引用方式include "myheader.h"，則在當前文件所在目錄查找myheader.h頭文件。

頭文件引用方式include "myheader.h"，如果有-iquote mydir選項，則在mydir目錄查找myheader.h頭文件。

頭文件引用方式include ，如果有-I mydir選項，則在mydir目錄查找myheader.h頭文件。

頭文件引用方式include ，如果有-isystem mydir選項，則在mydir目錄查找myheader.h頭文件。

頭文件引用方式include ，繼續在標準系統目錄（Standard system directories）查找myheader.h頭文件。標準系統目錄是指/usr/lib64/clang/15.0.7/include 、/usr/local/include 和/usr/include。

頭文件引用方式include ，如果有-idirafter mydir選項，則在mydir目錄查找myheader.h頭文件。

4.5 內核態bpf程序編譯參數解析

內核態bpf程序trace_execve.bpf.o文件，是由 bpf 文件trace_execve.bpf.c使用clang命令編譯產生。trace_execve.bpf.c文件的頭文件依賴如下。

$ cat progs/trace_execve.bpf.c
// SPDX-License-Identifier: GPL-2.0
#include 
#include 
#include 


#include "common.h"
#include "trace_execve.h"

從前面項目構建過程中，可以提取出完整的內核態bpf程序的編譯命令。

$ clang -iquote ./../include/ -iquote ./../helpers -I./../tools/lib/ -I./../tools/include/uapi -idirafter /usr/lib64/clang/15.0.7/include 
  -idirafter /usr/include -idirafter /usr/include/x86_64-linux-gnu/ -DENABLE_ATOMICS_TESTS -D__KERNEL__ -D__BPF_TRACING__ 
  -D__TARGET_ARCH_x86 -g -Werror -O2 -mlittle-endian -target bpf -mcpu=v3 -c trace_execve.bpf.c -o trace_execve.bpf.o  

下面對一些關鍵環節做一些解析：

頭文件vmlinux.h由bpftool工具在編譯時動態生成，vmlinux.h包含了絕大多數bpf程序的內核態和用戶態(uapi)依賴。通過編譯選項-I./../tools/lib/可以搜索到vmlinux.h頭文件。

通過-I./../tools/lib/編譯選項，可以在./tools/lib/目錄下的bpf子目錄中查找到bpf_helpers.h和bpf_tracing.h頭文件，這些頭文件都是對vmlinux.h頭文件內核態依賴的補充。

通過-iquote ./../include/編譯選項，可以在./include/目錄中查找到trace_execve.h和common.h頭文件。

在上面這些頭文件依賴的預處理過程中，會依賴一些宏變量來決定預處理的展開邏輯。上面編譯命令中的宏就是起這些作用，-DENABLE_ATOMICS_TESTS -D__KERNEL__ -D__BPF_TRACING__ -D__TARGET_ARCH_x86。比如在bpf_tracing.h頭文件中，就有#if defined(__TARGET_ARCH_x86)的宏判斷語句，來決定預處理展開邏輯走x86分支。

編譯選項-target bpf，指示Clang將代碼生成為針對eBPF目標的目標代碼。編譯選項-mcpu=v3，指示Clang生成針對v3版本的eBPF處理器的目標代碼。編譯選項-mlittle-endian：指示Clang生成適用于小端序處理器的目標代碼。

通過-I./../tools/include/uapi編譯選項，可以在./tools/include/uapi/目錄下的linux子目錄中查找到bpf.h頭文件。同時kernel-headers包引入的/usr/include/linux/目錄下也有bpf.h，./tools/include/uapi下的bpf.h優先級會覆蓋它。此外，目錄./tools/include/uapi/linux下的頭文件和vmlinux.h頭文件存在一定的重疊，通常情況下同時加載會出現編譯沖突。如果在一些簡單的 ebpf 使用場景，可以使用替代。

4.6 用戶態加載程序編譯參數解析

用戶態eBPF程序trace_execve文件，是由源文件trace_execve.c文件使用gcc命令編譯。trace_execve.c文件的頭文件依賴如下。

$ cat trace_execve.c
// from kernel-headers
#include 
#include 
#include 
#include 
#include 
#include 
#include 


// from libbpf
#include 
#include 


#include "common.h"
#include "trace_execve.h"

從前面項目構建過程中，也可以提取出完整的用戶態程序的編譯命令。

gcc -iquote ./helpers/ -iquote ./include/ -I./tools/lib/ -I./tools/include/ -g -c -o trace_execve.o trace_execve.c

通過-I./tools/include/編譯選項，可以在./tools/include/目錄下的linux子目錄中查找到頭文件。

通過-I./tools/lib/編譯選項，可以在./tools/lib/目錄下的bpf子目錄中查找到頭文件。在一些古老的代碼示例中，有這樣使用頭文件的用法，目前最新的ebpf項目實例，都會將libbpf庫的libbpf.h以及同目錄的頭文件都放到bpf子目錄下，因此推薦統一使用的用法。

通過-iquote ./include/編譯選項，可以在./include/目錄中查找到trace_execve.h和common.h頭文件。

其他頭文件都可以在由kerne-headers包提供的標準系統目錄（Standard system directories）的/usr/include/目錄及子目錄中查找到。所以，最終會在/usr/include/linux/perf_event.h位置被查找到?？梢钥闯鐾瑯邮?linux/xxx.h>形式的頭文件，和卻在兩個完全不同的搜索路徑查找到。

4.7 libbpf.a靜態庫編譯解析

關于libbpf.a靜態庫的編譯過程，上一篇文章已經有所介紹。這里僅再次強調下，在本項目中，我們完全實現了libbpf庫的自主可控，可控源代碼，可控編譯構建過程。這至少給我們帶來如下兩方面好處：

對于一些ebpf的資深人士，可以自主修改libbpf庫中不盡如人意的地方，實現滿足自己業務需求的優化。

對于一些ebpf的初學者，完全可以在libbpf庫中任意感興趣的地方，通過插入printf或其他斷點方式，深入學習libbpf庫的原理。

05

改進基于原生libbpf庫的eBPF項目構建

5.1 傳統方案美中不足

在上文中，我們初步實現了基于libbpf庫的第 2 代 eBPF項目的構建。但截止到目前，此方案還有一個明顯的缺陷。讓我們繼續上一篇的案例來分析，在搭建完開發環境后執行如下步驟。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd trace_execve_libbpf130                            # 進入項目目錄
$ make clean
$ make
$ sudo ./trace_execve
trace_execve 160646349 5503 sa1 1 systemd 0 /usr/lib64/sa/sa1
trace_execve 160646371 5503 sa1 1 systemd 0 /usr/lib64/sa/sadc


$ mv progs/trace_execve.bpf.o progs/trace_execve.bpf.o.bak
$ sudo ./trace_execve
libbpf: elf: failed to open progs/trace_execve.bpf.o: No such file or directory
ERROR: failed to open prog: 'No such file or directory'


$ mv progs/trace_execve.bpf.o.bak progs/trace_execve.bpf.o
$ sudo ./trace_execve
trace_execve 190767474 5566 crond 5565 crond 0 /bin/bash
trace_execve 190767486 5566 bash  5565 crond 0 /bin/run-parts

從實驗結果可以看出，當我們把bpf目標文件trace_execve.bpf.o改名為trace_execve.bpf.o.bak后，trace_execve程序執行會報錯，提示讀取trace_execve.bpf.o文件不存在。而當我們再次將備份后的bpf目標文件trace_execve.bpf.o.bak改回原名trace_execve.bpf.o后，重新執行trace_execve程序又一切正常了。這說明，當前方案構建后，需要將trace_execve程序和bpf目標文件trace_execve.bpf.o這一組文件一起進行分發，才能正常執行。這給我們在工程的實現上帶來了很大的挑戰。

為了解決上面提到的問題，第 3 代 ebpf 編程方案 libbpf-bootstrap框架發明了skeleton骨架，即使用*.skel.h頭文件的方式，將bpf目標文件trace_execve.bpf.o的內容編譯進trace_execve程序。這樣后續只需分發trace_execve二進制程序文件即可。

如果不依賴libbpf-bootstrap編程框架，繼續僅依賴 libbpf 庫是否可以做到這一點呢？答案是可以的，本文獨辟蹊徑，給大家分享一個使用hexdump命令輕松實現*.skel.h頭文件的方式。

5.2 使用hexdump生成skel.h頭文件

簡單歸納一下使用libbpf-bootstrap框架編程過程中的構建步驟。

分析libbpf-bootstrap編程框架的實現原理，可以了解到。在第3步會依靠bpftool工具將trace_execve.bpf.o這個目標文件轉換成十六進制格式的文本，并將這個文本內容作為trace_execve.skel.h頭文件中的一個變量的值，最后還需要讓trace_execve.c用戶態加載文件包含這個trace_execve.skel.h頭文件。這其中將bpf目標文件轉換成十六進制文本并生成skel.h頭文件的過程最為關鍵。

libbpf-bootstrap編程框架非常成熟，但方案使用中必須遵循他的一些規則，比如頭文件trace_execve.skel.h的命令必須包含程序的關鍵詞trace_execve，再比如加載函數trace_execve_bpf__load()也必須包含程序的關鍵詞trace_execve。如何能不依賴這個規范，實現一個更加輕量級的編程方案呢？這讓我們想到了hexdump命令，可以用它替換bpftool工具，并且生成符合自己期望的頭文件。

$ hexdump -v -e '"\x" 1/1 "%02x"' trace_execve.bpf.o > trace_execve.hex

5.3 深入構建基于原生libbpf庫的eBPF項目

下面我們就嘗試依靠hexdump命令實現一個單一可執行文件的解決方案。開始體驗我們基于第 2 代編程方案改進的eBPF項目，進入項目代碼。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd hexdump_skel_libbpf130                            # 進入項目目錄
$ make
$ sudo ./trace_execve
trace_execve bash su 74113 74112 0 /usr/bin/bash
trace_execve bash su 74113 74112 0 /usr/bin/bash


$ sudo ./probe_execve
probe_execve 19076757 5572 0anacron 5570 0anacron 0
probe_execve 19076758 5573 0anacron 5570 0anacron 0

分別執行trace_execve和probe_execve兩個命令，對編譯結果進行驗證，均完美驗證通過。這里我們在trace_execve實例基礎上又增加了一個probe_execve實例，說明hexdump_skel_libbpf130項目是支持多實例編譯的。

下面我們來驗證下本文開頭的情況，看看沒有了bpf目標文件時的情形。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd hexdump_skel_libbpf130                            # 進入項目目錄 
$ rm -fr progs/trace_execve.bpf.o progs/probe_execve.bpf.o
$ sudo ./trace_execve
trace_execve 19076759 5574 run-parts 5566 run-parts 0 /bin/basename
trace_execve 19076760 5575 run-parts 5566 run-parts 0 /bin/logger


$ sudo ./probe_execve
probe_execve sh python 78841 78838 0 
probe_execve sh python 78841 78838 0

從運行結果看，雖然刪除了兩個bpf目標文件trace_execve.bpf.o和probe_execve.bpf.o，僅僅依靠trace_execve和probe_execve兩個文件即可成功執行?？梢栽賴L試將trace_execve 可執行文件拷貝到其他目錄，結果依然可行。

5.4 改進的eBPF項目Makefile解析

hexdump_skel_libbpf130項目也是同樣的4個Makefile，其中將bpf目標文件編譯到用戶態加載進程中的環節主要在項目的主Makefile中實現。還是老辦法獲取make構建的詳細過程。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd hexdump_skel_libbpf130                            # 進入項目目錄 
$ make clean
$ make --debug=v,m SHELL="bash -x" > make.log 2>&1

對于構建日志的分析可以參考前面文章，我們把關鍵環節提取出來。

$ cat make.log | grep -n "Considering target file"
14:Considering target file 'all'.
16:  Considering target file 'tools/lib/bpf/libbpf.a'.
21:  Considering target file 'helpers/uprobe_helper.o'.
23:    Considering target file 'helpers/uprobe_helper.c'.
31:  Considering target file 'probe_execve'.
33:    Considering target file 'probe_execve.o'.
35:      Considering target file 'probe_execve.c'.
38:      Considering target file 'probe_execve.skel.h'.
40:        Considering target file 'probe_execve.hex'.
42:          Considering target file 'progs/probe_execve.bpf.o'.
44:            Considering target file 'progs/probe_execve.bpf.c'.
145:  Considering target file 'trace_execve'.
147:    Considering target file 'trace_execve.o'.
149:      Considering target file 'trace_execve.c'.
152:      Considering target file 'trace_execve.skel.h'.
154:        Considering target file 'trace_execve.hex'.
156:          Considering target file 'progs/trace_execve.bpf.o'.
158:            Considering target file 'progs/trace_execve.bpf.c'.

從關鍵構建步驟中，我們可以了解到：

probe_execve和trace_execve兩個target都是all目標的下級目標，并且probe_execve和trace_execve是串行的。這個里隱含的一個意思是，當trace_execve開始構建的時候，probe_execve已經完全構建完畢，probe_execve這個最終可執行文件已經生成完畢。此時，probe_execve構建過程中所依賴的所有中間文件都不再需要了。所以，probe_execve和trace_execve構建過程中依賴的中間文件是可以重名的。

tools/lib/bpf/libbpf.a和helpers/uprobe_helper.o已經提前編譯好了，就不再做過多的說明了。最終的用戶態可執行加載程序的主要依賴鏈條如下。

trace_execve
├── trace_execve.o
│   ├── trace_execve.c
│   ├── trace_execve.skel.h
│   │   ├── trace_execve.hex
│   │   │   ├──progs/trace_execve.bpf.o
│   │   │   │   └── progs/trace_execve.bpf.c

再看一下主Makefile的源碼，為了實現以上的目標依賴，我們連用了5個靜態模式規則（Static Pattern Rules）。

$(HELPER_OBJECTS): %.o:%.c


$(BPF_OBJECT):./progs/%.bpf.o:./progs/%.bpf.c


$(HEX_OBJECT):%.hex:./progs/%.bpf.o


$(SKEL_OBJECT):%.skel.h:%.hex


$(USER_OBJECT):%.o:%.c %.skel.h


$(LOADER_OBJECT): %:%.o

其中任何一個靜態模式規則的目標集合，都是通過項目根目錄下*.c文件的集合，進行局部字符串替換獲得。

SOURCES := $(wildcard *.c)
HELPER_OBJECTS := $(patsubst %.c,%.o,$(wildcard $(HELPERS_PATH)/*.c))
LOADER_OBJECT  := $(patsubst %.c,%,$(SOURCES))
USER_OBJECT    := $(patsubst %.c,%.o,$(SOURCES))
SKEL_OBJECT    := $(patsubst %.c,%.skel.h,$(SOURCES))
HEX_OBJECT     := $(patsubst %.c,%.hex,$(SOURCES))
BPF_OBJECT     := $(patsubst %.c,./progs/%.bpf.o,$(SOURCES))

5.5 從file到memory實現讀取elf的轉變

本方案的主要邏輯是在主Makefile中實現，但也需要c代碼中做一些調整。bpf文件trace_execve.bpf.c并不需要任何修改，只需要在用戶態加載程序trace_execve.c做一些調整。

傳統的讀取bpf目標文件方式，相關代碼如下：

char filename[256] = "progs/trace_execve.bpf.o";
struct bpf_object * bpf_obj = bpf_object__open_file(filename, NULL);

改進后的讀取memory方式，相關代碼如下：

#include "skeleton.skel.h"


struct bpf_object * bpf_obj = bpf_object__open_mem(obj_buf, obj_buf_sz, NULL);

很明顯libbpf庫提供了bpf_object__open_file（bpf_object__open）和bpf_object__open_mem兩個函數用于讀取elf格式的bpf目標文件trace_execve.bpf.o。區別是bpf_object__open_file是在trace_execve運行時，再去讀取trace_execve.bpf.o文件內容，而bpf_object__open_mem是在編譯時，已經把elf內容編譯進trace_execve程序。至于bpf_object__open函數在libbpf庫的libbpf.c文件中是對bpf_object__open_file函數的封裝。

這兩個libbpf庫函數，最終都是調用elf標準庫函數實現了相關功能，具體代碼實現是在libbpf庫的libbpf.c文件中的bpf_object__elf_init函數中，代碼如下：

static int bpf_object__elf_init(struct bpf_object *obj){
        ......
        if (obj->efile.obj_buf_sz > 0) {
                elf = elf_memory((char *)obj->efile.obj_buf, obj->efile.obj_buf_sz);
        } else {
                obj->efile.fd = open(obj->path, O_RDONLY | O_CLOEXEC);
                ...... 
                elf = elf_begin(obj->efile.fd, ELF_C_READ_MMAP, NULL);
        }
        ......
}

可以看出，bpf_object__open_mem函數的最終實現是elf的elf_memory函數，bpf_object__open_file函數的最終實現是elf的elf_begin函數。

5.6 原生libbpf庫與libbpf-bootstrap的若干區別

相比較第3代的 libbpf-bootstrap框架方案和第2代的傳統libbpf庫方案，使用hexdump命令的原生libbpf庫第 2 代改進方案方案在實現方法上，有一些獨特的優勢。

這里將這三種方案的主要區別歸納總結如下：

這里補充下，trace_execve_bpf__open()函數的實現，也是間接通過libbpf庫的bpf_object__open_skeleton()函數，最終也調用了bpf_object__open_mem()函數。

5.7 使用attach_tracepoint替代attach

在ebpf用戶態程序的加載過程中，有一個attach的步驟。細心的讀者應該已經發現了，在trace_execve_libbpf130項目中，我們使用的是bpf_program__attach()函數實現的靜態探針點的attach。而在hexdump_skel_libbpf130項目中，我們使用的卻是bpf_program__attach_tracepoint()函數實現的靜態探針點的attach。區別是bpf_program__attach_tracepoint函數的參數中會指定靜態探針點的具體信息，而bpf_program__attach不用指定靜態探針點的信息。進一步閱讀bpf_program__attach函數的源代碼可以了解到，它是依靠內核態的bpf目標文件中SEC的節名稱信息來獲取和確定靜態探針點的信息的?？偨Y這兩種方法如下：

很明顯，在trace_execve.c和trace_execve.bpf.c的代碼中，只要有一處設置靜態探針點即可。如果兩處都設置，而且兩處設置的靜態探針點信息沖突的情況下，會以用戶態的bpf_program__attach_tracepoint函數設置的信息為準。

libbpf庫中的bpf_link__destroy()函數是負責對attach函數生成的link進行銷毀的函數。attach和destroy的過程實際上就是對內核靜態探針點開啟和關閉的過程。

在這里特別推薦使用方案B中的bpf_program__attach_tracepoint替代方案A中的bpf_program__attach方法，這樣方便我們在用戶態代碼中靈活的開關ebpf的采集。除了專門用于靜態探針點的bpf_program__attach_tracepoint()函數，還有適用于其他類型的專用的attach函數，例如bpf_program__attach_kprobe()、bpf_program__attach_kprobe()、bpf_program__attach_uprobe()和bpf_program__attach_usdt()等。

5.8 使用by_name替代by_title

在稍早一些libbpf庫中提供2個函數用于獲取bpf progam 類型數據，分別是bpf_object__find_program_by_name()函數和bpf_object__find_program_by_title()函數。以trace_execve_libbpf130項目的 bpf代碼為例。

SEC("tracepoint/syscalls/sys_enter_execve")
int trace_execve_enter(struct syscalls_enter_execve_args *ctx){
    ......
}

其中tracepoint/syscalls/sys_enter_execve這個字符串就稱為title，trace_execve_enter這個函數名就稱為name。結合上文的結論，后續推薦bpf內核態代碼中都使用SEC("tracepoint")的語法格式，那么使用by_title函數將不再能做出區分。因此這里特別推薦大家今后使用by_name的函數替代by_titile的函數。而且，在最新版的libbpf庫中，也徹底移除了bpf_object__find_program_by_title()函數。

06

基于原生libbpf庫改進方案構建USDT和Uprobe項目

基于hexdump命令的改進型原生libbpf庫編程方案不但在內核態跟蹤診斷上表現完美，在用戶態應用進程的跟蹤診斷上依然可以表現得非常出色。本節內容將在上文的基礎上，繼續分析如何使用原生libbpf庫開發和構建USDT和Uprobe項目。

6.1 用戶態模擬程序

用戶態應用程序的ebpf，還需要準備一個模擬程序。尤其是針對USDT類型，還需要在模擬程序中進行靜態打點。本小節將提供一個如何打USDT跟蹤點的實例。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd mark_usdt_uprobe                                  # 進入項目目錄
$ make
$ sudo cp umark /usr/bin/
$ sudo umark >/dev/null 2>/dev/null &
$ make clean

執行完以上步驟，就啟動了用戶態模擬程序umark，后續即可通過USDT和Uprobe方式，追蹤umark進程的運行情況。

下面初步對umark模擬程序的代碼做一些介紹。

$ ls 
Makefile  README.md  sdt.h  umark.c


$ cat umark.c 
#include 
#include 
//#include 
#include "sdt.h"


unsigned long long int func_uprobe1(unsigned long long int x){
    return x + 1;
}
unsigned long long int func_uprobe2(unsigned long long int x, unsigned long long int y){
    return x + y;
}
int main(int argc, char const *argv[]) {
    unsigned long long int i;
    int var1 = 10, var2 = 20, var3 = 30;
    for (i = 0; i < 86400000; i++) {
        sleep(1);
        DTRACE_PROBE1(groupa, probe1, var1);
        DTRACE_PROBE2(groupb, probe2, var2, var3);
        printf("hit uprobe1 %llu
", func_uprobe1(i));
        printf("hit uprobe2 %llu
", func_uprobe2(i + 3, i + 8));
    }
    return 0;
}

其中func_uprobe1和func_uprobe2是兩個C語言函數用于下文的uprobe跟蹤實例的追蹤。DTRACE_PROBE1和DTRACE_PROBE2是兩個宏函數，用于在umark.c程序中打USDT的靜態跟蹤點。最多支持傳入12個跟蹤點參數，即DTRACE_PROBE1、DTRACE_PROBE2，一直到DTRACE_PROBE12。probe1和probe2是這個靜態跟蹤點的name，groupa和groupb是跟蹤點name的分組名，可以省略。

DTRACE_PROBE1宏函數定義在std.h頭文件內，需要提前安裝頭文件所在包。

在rpm包環境，sdt.h頭文件屬于systemtap-sdt-devel這個rpm包。

$ find /usr/include/ -name sdt.h
/usr/include/sys/sdt.h


$ rpm -qf /usr/include/sys/sdt.h
systemtap-sdt-devel-4.8-2.0.2.al8.x86_64

在deb包環境，sdt.h頭文件屬于systemtap-sdt-dev這個deb包。

$ find /usr/include/ -name sdt.h
/usr/include/x86_64-linux-gnu/sys/sdt.h


$ dpkg -S /usr/include/x86_64-linux-gnu/sys/sdt.h
systemtap-sdt-dev:amd64: /usr/include/x86_64-linux-gnu/sys/sdt.h

令人欣慰的是，這個sdt.h頭文件并無太多額外依賴，簡單修改后，可以獨立維護。于是，我們可以將其拷貝到本項目根目錄。并將的頭文件引用方式改為"sdt.h"。

6.2 構建基于libbpf庫的USDT和Uprobe項目

下面我們就進一步介紹下使用第 2 代改進編程方案的ebpf跟蹤用戶態進程的解決方案。開始體驗我們的eBPF項目trace_user_libbpf130，進入項目代碼。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd trace_user_libbpf130                              # 進入項目目錄
$ make
$ sudo ./uprobe_test
func_uprobe1 2374242 4604 umark 1534 bash 0 23368 23373
func_uprobe2 2374242 4604 umark 1534 bash 0 23371 23376


$ sudo ./usdt_test
func_usdt1 2375442 4604 umark 1534 bash 0 10 17
func_usdt2 2375442 4604 umark 1534 bash 0 20 30

分別執行uprobe_test和usdt_test兩個命令，對編譯結果進行驗證，均完美驗證通過。

trace_user_libbpf130項目的構建和編譯過程與前面項目hexdump_skel_libbpf130無太多差異，不再做過多贅述。下文將著重對本項目中USDT和Uprobe的相關C語言源碼進行解析。

6.3 USDT代碼解析

trace_user_libbpf130項目中的USDT部分，開啟了2個usdt靜態探針點的跟蹤，這2個靜態探針點分別是probe1和probe2。

第一個靜態探針點實例，選擇在attach時，通過bpf_program__attach_usdt函數的參數指定靜態探針點的相關信息。包括跟蹤的進程信息"/usr/bin/umark"，usdt組名信息"groupa"，usdt名稱信息"probe1"等，代碼如下：

bpf_program__attach_usdt(bpf_prog1, -1, "/usr/bin/umark", "groupa", "probe1", NULL);

?第二個靜態探針點實例，選擇在bpf目標文件中，通過SEC宏的方式指定靜態探針點的相關信息。包括跟蹤的進程信息"/usr/bin/umark"，usdt組名信息"groupb"，usdt名稱信息"probe2"等，代碼如下：

SEC("usdt//usr/bin/umarkprobe2")

6.4 BPF_USDT宏函數解析

目前主流的USDT類型的ebpf代碼實例，在bpf目標文件中都使用BPF_USDT宏函數來定義ebpf的處理函數，例如本項目實例中。

int BPF_USDT(usdt_probe1, int x)

在這里，宏函數BPF_USDT的第1個參數"usdt_probe1"才是真正的函數名，也就是前文所述by_name的name信息。宏函數的第2個參數"int x"才是usdt_probe1函數的第一個參數，依次類推。

各種USDT類型的ebpf代碼實例中，很少見到對這個宏函數BPF_USDT原理的分析。此處，我們借助第二個USDT靜態探針點在bpf目標文件中的使用來解析它。代碼實例的關鍵部分如下：

int usdt_probe2(struct pt_regs *ctx);


static inline __attribute__((always_inline)) typeof(usdt_probe2(0)) ____usdt_probe2(struct pt_regs *ctx, int x, int y);


typeof(usdt_probe2(0)) usdt_probe2(struct pt_regs *ctx) {
    return ____usdt_probe2(ctx, ({ long _x; bpf_usdt_arg(ctx, 0, &_x); (void *)_x; }), ({ long _x; bpf_usdt_arg(ctx, 1, &_x); (void *)_x; }));
}


static inline __attribute__((always_inline)) typeof(usdt_probe2(0)) ____usdt_probe2(struct pt_regs *ctx, int x, int y)
{
    ......
}

這4行代碼，前兩行是函數聲明，后兩行是函數定義。usdt_probe2函數內部調用了____usdt_probe2函數。一些代碼解讀：

always_inline，意味著無論優化設置如何，編譯器都應該始終將這個函數內聯到任何調用它的地方。

typeof(usdt_probe2(0)) 用于確定 usdt_probe2 的返回類型，從而確保 ____usdt_probe2 與 usdt_probe2 有相同的返回類型。

({ long _x; bpf_usdt_arg(ctx, 0, &_x); (void *)_x; }) 這個復合語句用于獲取USDT探針的參數值。

使用 bpf_usdt_arg 輔助函數來獲取探針的第一個參數，并將其存儲到局部變量 _x 中。再將 _x 強制轉換為 void * 類型并傳遞給 ____usdt_probe2 函數。同樣的操作也對第二個參數 y 進行。

特別強調一下bpf_usdt_arg輔助函數來自于usdt.bpf.h頭文件，但本項目有2個usdt.bpf.h頭文件，其中一個在libbpf庫中，另外一個在./helpers/目錄下，helpers 目錄下的是經過本項目改造過的。此示例中生效的是./helpers/目錄下的。

$ cd $NATIVE_LIBBPF                                    # 返回工作目錄
$ cd trace_user_libbpf130                              # 進入項目目錄
$ find . -name usdt.bpf.h
./tools/lib/bpf/usdt.bpf.h
./helpers/usdt.bpf.h

6.5 Uprobe代碼解析

trace_user_libbpf130項目中的Uprobe部分，開啟了2個uprobe類型探針點的跟蹤，這2個uprobe探針點分別是probe1和probe2。

第一個uprobe探針點實例，選擇在attach時，通過bpf_program__attach_uprobe函數的參數指定uprobe探針點的相關信息。包括uprobe的類型（0表示函數進入時，1表示函數返回時），跟蹤的進程信息"/usr/bin/umark"，被跟蹤的函數在進程中的偏移量 func_off1等。需要提前通過get_elf_func_offset()函數計算出這個偏移量，此函數定義在了helpers/uprobe_helper.c文件內。相關代碼如下：

func_off1 = get_elf_func_offset("/usr/bin/umark", "func_uprobe1");
bpf_program__attach_uprobe(bpf_prog1, 0, -1, "/usr/bin/umark", func_off1);

第二個uprobe探針點實例，選擇在bpf目標文件中，通過SEC宏的方式指定uprobe探針點的相關信息。包括跟蹤的進程信息"/usr/bin/umark"，被跟蹤的應用進程中的函數"func_uprobe2"等。此種情況，libbpf庫會自動計算這個偏移量。代碼如下：

SEC("uprobe//usr/bin/umark:func_uprobe2")

6.6 BPF_KPROBE宏函數解析

目前主流的Uprobe類型的ebpf代碼實例，在bpf目標文件中都使用BPF_KPROBE宏函數來定義ebpf的處理函數，例如本項目實例中。

int BPF_KPROBE(user_probe1, unsigned long long int x)

?在這里，宏函數BPF_KPROBE的第1個參數"user_probe1"才是真正的函數名，也就是前文所述by_name的name信息。宏函數的第2個參數"unsigned long long int x"才是user_probe1函數的第一個參數，依次類推。

各種Uprobe類型的ebpf代碼實例中，也同樣很少見到對這個宏函數BPF_KPROBE原理的分析。此處，我們借助第二個Uprobe探針點在bpf目標文件中的使用來解析它。關鍵的代碼實例如下：

long user_probe2(struct pt_regs *ctx);


inline typeof(user_probe2(0)) ____user_probe2(struct pt_regs *ctx, unsigned long long int x, unsigned long long int y);


inline typeof(user_probe2(0)) ____user_probe2(struct pt_regs *ctx, unsigned long long int x, unsigned long long int y)
{
    ......
}


typeof(user_probe2(0)) user_probe2(struct pt_regs *ctx) {
    return ____user_probe2(ctx, (unsigned long long int)PT_REGS_PARM1(ctx), (unsigned long long int)PT_REGS_PARM2(ctx));
}

這4行代碼，前兩行是函數聲明，后兩行是函數定義。user_probe2函數內部調用了____user_probe2函數。一些代碼解讀：

inline typeof(user_probe2(0)) ____user_probe2(struct pt_regs *ctx, unsigned long long int x, unsigned long long int y); 這是內聯函數____user_probe2的聲明。

typeof(user_probe2(0))用于確定____user_probe2函數的返回類型，保證與user_probe2函數的返回類型一致。

typeof(user_probe2(0)) user_probe2(struct pt_regs *ctx) { return ____user_probe2(ctx, (unsigned long long int)PT_REGS_PARM1(ctx), (unsigned long long int)PT_REGS_PARM2(ctx)); } 這是user_probe2函數的定義。它使用PT_REGS_PARM1(ctx)和PT_REGS_PARM2(ctx)宏來獲取用戶空間探針傳遞給eBPF程序的前兩個參數。

如果對于以上的代碼解讀如果還有不明白的地方，可以嘗試問問GPT。

07

技術交流

本文為eBPF動手實踐系列的第三篇，我們實現了基于libbpf庫的純C語言eBPF項目的構建。

審核編輯：劉清