連載
» 2019年12月17日 05時00分 公開

Berkeley Packet Filter(BPF)入門(6):BCC(BPF Compiler Collection)によるBPFプログラムの作成 (1/2)

Linuxにおける利用が急速に増えている「Berkeley Packet Filter(BPF)」について、基礎から応用まで幅広く紹介する連載。今回は、BCC(BPF Compiler Collection)によるBPFプログラムの作成について。

[味曽野雅史,OSSセキュリティ技術の会]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Linuxにおける利用が急速に増えている「Berkeley Packet Filter(BPF)」について、基礎から応用まで幅広く紹介する連載「Berkeley Packet Filter(BPF)入門」。今回はBPFプログラム作成のための代表的なライブラリである「BCC(BPF Compiler Collection)」を紹介します。

 BCCを利用することで、簡単にトレーシングやネットワーク処理のBPFプログラムを作成することができます。さらに、BCCにはBPFを利用したさまざまなトレーシングツールが含まれているので、一般のツール利用者にとってもBCCは有用です。

BPF Compiler Collection(BCC)とは

 BCCはBPFによるプログラム作成を支援するためのライブラリおよび、それを利用したツール群です。

 「IOVisor」というLinux Foundationのプロジェクトにより開発されています。BPFプログラム作成のためのライブラリは複数存在しますが、その中でもBCCは代表的な存在です。

 BCCのコア部分はC++で記述されていますが、同じ開発リポジトリ上でPythonおよびLuaのバインディングが開発されています。また、Go言語Rustバインディングもあります。一般にBCCはPythonから利用されることが多く、BCCリポジトリに含まれるツールも多くはPythonで記述されています。

 本稿でもPythonでBCCを利用します。

BCCの機能

 ライブラリとしてのBCCは以下の機能を提供します。

  • BPFプログラムを簡単に記述するためのModified C(BPF C)
  • BPF Cのコンパイル機能
  • BPFプログラムローダー
  • BPFマップへアクセスするための関数

 BCCでは、「BPF C」と呼ばれる、Cの方言でBPFプログラムを作成します。BPF Cは基本的にはC言語そのものですが、BPFマップの定義などのBPF固有の処理が書きやすくなっています。BCCのプログラムローダーは、「LLVM/Clang」を用いてBPF CのAST (Abstract Syntax Tree)を解析、変更した上でBPFプログラムにコンパイルし、カーネルにロードします。

 BCCでは主に以下のBPFプログラムの作成に用いられています(ただし、この限りではありません)。

  • トレーシング(「BPF_PROG_TYPE_KPROBE」「BPF_PROG_TYPE_TRACEPOINT」「BPF_PROG_TYPE_PERF_EVENT」)
  • ソケットフィルター(「BPF_PROG_TYPE_SOCKET_FILTER」)
  • XDP(「BPF_PROG_TYPE_XDP」)

コラム C言語以外によるBPFプログラムの作成

 BCCにはさまざまな言語によるバインディングが存在しますが、あくまでBPFプログラム自体はC(BPF C)によって記述します。このことは残念に思われるかもしれませんが、BPFプログラムは基本的にLinuxカーネル内のデータ構造にアクセスするので、カーネルと同じC言語の方がいろいろと都合の良いことが多いです。

 幾つか、C言語以外からBPFプログラムを作成する試みがあります。特にBPFによるトレーシング用途として「bpftrace」「ply」といったDTraceライクなDSLが開発されています。内部的には、bpftraceはLLVMおよびBCCを利用し、plyはLLVMを利用せず、直接BPFコードを生成します。

 またPythonのバイトコードを直接BPFプログラムに変換する「py2bpf」といったものもあります。


BCCのインストール

 多くのパッケージマネジャーがデフォルトでBCCを取り扱っています。こちらにディストリビューションに応じたBCCのインストール方法が記載されています。

 以下にUbuntu 18.04.3に対するインストール方法を記します。

公式のリポジトリからのインストール

 BCCは公式のリポジトリからインストールすることが可能です。

sudo apt-get install bpfcc-tools python3-bpfcc linux-headers-$(uname -r)

 「/usr/sbin/」以下に「-bpfcc」というpostfixでBCCのツールがインストールされます。

IOVisorのリポジトリからのインストール

 IOVisorのリポジトリを利用すると、BCCのnightly-buildが導入できます。

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 4052245BD4284CDD
echo "deb [trusted=yes] https://repo.iovisor.org/apt/$(lsb_release -cs) $(lsb_release -cs)-nightly main" | sudo tee /etc/apt/sources.list.d/iovisor.list
sudo apt update
sudo apt install python3-bcc bcc-tools libbcc-examples

 「/usr/share/bcc/tools/」以下にBCCのツールがインストールされます。

 Ubuntuの公式リポジトリにあるものと、IOVisorが提供するもので名前が異なる点に注意してください。問題を避けるためにインストールするのはどちらか片方のものにするのがいいでしょう。

Dockerの利用

 Dockerを利用してBCCを試すこともできます。以下でBCCがインストール済みのコンテナを起動できます。

docker run -it --rm \
  --privileged \
  -v /lib/modules:/lib/modules:ro \
  -v /usr/src:/usr/src:ro \
  -v /etc/localtime:/etc/localtime:ro \
  --workdir /usr/share/bcc/tools \
  zlim/bcc

BCCインストールの確認

 以下のコマンドが成功すればBCCのpythonバインディングを利用することができます。

sudo python3 -c "import bcc"

BCCによるパケットトレースプログラムの作成

 ここからは、BCCを用いてBPFプログラムを作成します。

 BCCリポジトリの「examples」にBCCの使用例が、また「tools」にBCCを利用したトレーシングツールがあります。

 BCCのメインはカーネルトレーシングですが、ここでは前回に続いてソケットに対するBPFプログラムを作成してみます。カーネルトレーシングについては次回詳しく触れます。

 前回利用したパケットトレースプログラム(「sockex1_user.c」「sockex1_kern.c」)と同等のものを、BCCを用いて作成してみます。作成するBPFプログラムは、下図のようにソケットに対してアタッチされ、IPv4のプロトコルタイプ別に受信パケットサイズを記録します。

sockec1.pyプログラムの動作の概要

 以下にBCCによるプログラムを示します。BPF C固有の記述箇所に関しては★印を付けています。

#!/usr/bin/env python
# -*- cofing: utf-8 -*-
 
from __future__ import print_function
 
import ctypes as ct
import os
import subprocess
import time
 
from bcc import BPF
 
prog = r"""
// SPDX-License-Identifier: GPL-2.0+
#define BPF_LICENSE GPL
 
#include <uapi/linux/if_ether.h>
#include <uapi/linux/if_packet.h>
#include <uapi/linux/ip.h>
#include <net/sock.h>
#include <bcc/proto.h>
 
// ★(1)BPFマップの定義
BPF_ARRAY(my_map, long, 256);
 
int bpf_prog(struct __sk_buff *skb)
{
        int index;
        long *value;
        u8 *cursor = 0;
 
        if (skb->pkt_type != PACKET_OUTGOING)
                return 0;
 
        // ★(2)パケットデータへのアクセス
        struct ethernet_t *ethernet = cursor_advance(cursor, sizeof(*ethernet));
        if (!(ethernet->type == 0x0800)) {
            return 0;
        }
 
        struct ip_t *ip = cursor_advance(cursor, sizeof(*ip));
        index = ip->nextp;
 
        // ★(3)BPFマップのアクセス
        value = my_map.lookup(&index);
        if (value)
                lock_xadd(value, skb->len);
        return 0;
}
"""
 
PROTO = {
    "ICMP": 1,
    "TCP": 6,
    "UDP": 17,
}
 
 
def main(interface="lo", debug=0):
    # (4)BPFプログラムのロード
    bpf = BPF(text=prog, debug=debug)
    bpf_prog = bpf.load_func("bpf_prog", BPF.SOCKET_FILTER)
 
    # (5)BPFプログラムのアタッチ
    BPF.attach_raw_socket(bpf_prog, interface)
    my_map = bpf.get_table("my_map")
 
    devnull = open(os.devnull, "w")
    p = subprocess.Popen(
        ["/bin/ping", "-4", "-c5", "localhost"], stdout=devnull)
 
    for _ in range(5):
        # (6) BPFマップへのアクセス
        print("TCP {} UDP {} ICMP {} bytes".format(
            my_map[ct.c_int(PROTO["TCP"])].value,
            my_map[ct.c_int(PROTO["UDP"])].value,
            my_map[ct.c_int(PROTO["ICMP"])].value))
        time.sleep(1)
 
    p.wait()
 
 
if __name__ == "__main__":
    import argparse
    parser = argparse.ArgumentParser()
    parser.add_argument("--interface", default="lo")
    parser.add_argument("--debug", default=0)
    args = parser.parse_args()
    main(args.interface, args.debug)

 このBPFプログラムは、受信したパケットについてIPヘッダのプロトコル番号別にパケットサイズを計数します。以下に実行結果を示します。

$ sudo python3 sockex.py
TCP 0 UDP 0 ICMP 0 bytes
TCP 0 UDP 0 ICMP 196 bytes
TCP 0 UDP 0 ICMP 392 bytes
TCP 0 UDP 0 ICMP 588 bytes
TCP 0 UDP 0 ICMP 784 bytes

 このように、Pythonバインディングを利用したBCCでは、BPF CでBPFプログラムを記述し、それ以外のBPFプログラムのロードやBPFマップのアクセスなどはPythonから行います。

 次ページで要点を説明します。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。