BPF 技术深入解析:验证器、类型格式、尾调用与映射操作
1. BPF 验证器
在 Linux 内核中允许任意代码执行,乍一听是个糟糕的主意。不过,BPF 验证器的存在大大降低了在生产系统中运行 BPF 程序的风险。内核网络维护者 Dave S. Miller 曾说:“eBPF 程序与毁灭性深渊之间的唯一屏障就是 eBPF 验证器”。
过去,安全研究人员发现了验证器的一些漏洞,攻击者可借此访问内核中的随机内存,即使是无特权用户也能做到。例如 CVE - 2017 - 16995 就描述了用户如何读写内核内存并绕过 BPF 验证器。
验证器采取了以下措施来防止此类问题:
-静态分析:
- 验证器会对虚拟机要加载的代码进行静态分析,目标是确保程序有预期的结束。它会创建一个有向无环图(DAG),代码中的每条指令成为图中的一个节点,每个节点与下一条指令相连。
- 生成图后,进行深度优先搜索(DFS),遍历图的每个分支,确保程序能结束且代码中没有危险路径,避免递归循环。
- 以下情况验证器可能会拒绝代码:
- 程序包含控制循环:为避免程序陷入无限循环,验证器会拒绝任何控制循环。虽有允许循环的提议,但目前未被采纳。
- 程序试图执行超过内核允许的最大指令数:当前最大指令数为 4096 条,此限制是为防止 BPF 程序无限运行。
- 程序包含不可达指令:如永远不会执行的条件或函数,这会避免在虚拟机中加载无效代码,防止 BPF 程序终止延迟。
- 程序试图跳出其边界。
-干运行:
- 验证器会对 BPF 程序进行干
)