bpf - 我尝试使用 eBPF 访问 iphdr 时出错

Question

所以我一直在尝试使用 eBPF 访问 iphdr。

static inline int parse_ipv4(void *data, u64 nh_off, void *data_end) {
struct iphdr *iph = data + nh_off;

if ((void*)&iph[1] > data_end)
    return 0;
return iph->protocol;
}

当我在 eBPF 函数中使用上面的代码时，它可以正常工作：

if (h_proto == htons(ETH_P_IP)){
index = parse_ipv4(data, nh_off, data_end);

像这样，调用 parse_ipv4 函数有效。

但是，如果我尝试不使用该函数直接访问 ipheader，它就不起作用。

if (h_proto == htons(ETH_P_IP)){
    index = parse_ipv4(data, nh_off, data_end);

    struct iphdr *iph2 = sizeof(*eth) + nh_off;
}

这给了我一个错误：提示：如果您尝试取消引用内存而不先使用 bpf_probe_read() 将其复制到 BPF 堆栈，则可能会发生无效的内存访问“inv”错误。有时 bpf_probe_read 由 bcc 重写器自动执行，有时您需要明确。

并且无法激活。

非常感谢您！

score 2 · Accepted Answer

除非我误解了您的程序，否则以下内容：

struct iphdr *iph2 = sizeof(*eth) + nh_off;

看起来是错误的。相反，iph2应该是类似的东西data + nh_off，就像在你的函数中一样，不是吗？如果您将其设置为两个大小的总和，没有任何基地址，那么您尝试访问任意内存位置的数据（就像0x28我猜的那样），这当然是不允许的。

bpf - 我尝试使用 eBPF 访问 iphdr 时出错

1 回答 1

Related

Reference