【译】使用 uprobe 跟踪分析 GO 函数的参数

发表于 2年以前  | 总阅读数:1115 次

前言

这是一系列文章中的第一篇,这个系列的文字是分析记录我们如何在生产环境中使用 eBPF 调试应用程序,而不需要重新编译/重新部署。这篇文章描述了如何使用 gobpf 和 uprobes 为 Go 应用程序构建函数参数跟踪器。该技术也可扩展到其他编译语言,如 C++、Rust 等。本系列的下一篇文章将讨论使用 eBPF 跟踪 HTTP/gRPC 数据、SSL等。

在调试时,我们通常对捕获程序的状态比较感兴趣。这可以让我们检查应用程序正在做什么,并确定 bug 在代码中的位置。观察状态的一种简单方法是使用调试器捕获函数参数。对于 Go 应用程序,我们通常使用 Delve 或 gdb。

Delve 和 gdb 可以很好地用于开发环境中的调试,但它们不经常用于生产环境中。使这些调试器强大的特性也会使它们不适合在生产系统中使用。调试器可能对程序造成严重的中断,甚至允许状态突变,从而可能导致生产软件的意外故障。

eBPF

为了更清晰地捕获函数参数,我们将探索使用增强的 BPF (eBPF),它可以在在 Linux 4 以上的内核系统中可用,以及探索使用更高级别的 Go 库 gobpf。

扩展 BPF (eBPF)是 Linux 4.x+ 中出现的一项内核技术。你可以将它看作是一个轻量级的沙盒 VM,它运行在 Linux 内核内部,可以在经过验证的的前提下提供对内核内存的访问。

如下面的概述所示,eBPF 允许内核运行 BPF 字节码。虽然使用的前端语言可能不同,但它通常是 C 语言的受限子集。通常,C 代码首先使用Clang 编译为 BPF 字节码,然后对字节码进行验证,以确保它可以安全执行。这些严格的验证保证了机器代码不会有意或无意地破坏 Linux 内核,并且在每次触发 BPF 探测时,它将在有限数量的指令中执行。这些保证使 eBPF 能够用于性能关键的工作负载,如包过滤、网络监视等。

从功能上讲,eBPF 允许你在某些事件触发下运行受限制的C代码(比如:定时器、网络事件或函数调用)。当在函数调用中被触发时,我们将这些函数称为探针,它们可以用于运行内核中的函数调用(kprobes),或者运行用户空间程序中的函数调用(uprobe)。这篇文章的重点是使用uprobes 来进行动态函数参数的跟踪。

Uprobes

Uprobe 允许你通过插入一个触发软中断的调试指令(x86上是 int3)来拦截用户空间程序。这也是 调试器的工作原理。uprobe 的执行流程本质上与任何其他 BPF 程序相同,并在下面的图表中进行了总结。编译和验证的 BPF 程序作为 uprobe 的一部分被执行,结果可以被写入缓冲区。

BPF (来自 Brendan Gregg)

我们看看 uprobe 实际上是怎么工作的。为了部署 uprobe 并捕获函数参数,我们将使用这个简单的演示应用程序。这个 Go 程序的相关部分如下所示。

main() 是一个简单的 HTTP 服务器,它在 /e 上公开一个 GET 端点,它使用迭代逼近计算欧拉数(e)。computeE 接受单个查询参数(iters),该参数指定为近似运算而运行的迭代次数。迭代次数越多,以计算周期为代价的结果近似就越准确。理解函数背后的数学原理并不重要。我们只对跟踪computeE 的任何调用的参数感兴趣。

// computeE 通过一个指定的运行数值来计算 e 的近似值
func computeE(iterations int64) float64 {
  res := 2.0
  fact := 1.0

  for i := int64(2); i < iterations; i++ {
    fact *= float64(i)
    res += 1 / fact
  }
  return res
}

func main() {
  http.HandleFunc("/e", func(w http.ResponseWriter, r *http.Request) {
    // 从 get 请求的参数重解析初 iters 参数,如果没有则使用默认值。
    // ... 代码暂时删除 ...
    w.Write([]byte(fmt.Sprintf("e = %0.4f\n", computeE(iters))))
  })
  // 启动服务...
}

为了理解 uprobe 是如何工作的,让我们看看如何在二进制文件中跟踪符号。因为 uprobe 是通过插入调试陷阱指令来工作的,所以我们需要获取函数所在的地址。Linux 上的 Go 二进制文件使用 ELF 存储调试信息。此信息是可以用的,即使在优化的二进制文件中也是可以读取使用,除非已经剥离了调试数据(如使用 strip 命令)。我们可以使用 objdump 命令来检查二进制文件中的符号:

[0] % objdump --syms app|grep computeE
00000000006609a0 g     F .text    000000000000004b              main.computeE

从输出中,我们知道函数 computeE 位于地址 0x6609a0。为了查看它周围的指令,我们可以使用 objdump 将其分解为二进制文件(通过添加 -d 来完成)。解析后的代码如下:

[0] % objdump -d app | less
00000000006609a0 <main.computeE>:
  6609a0:       48 8b 44 24 08          mov    0x8(%rsp),%rax
  6609a5:       b9 02 00 00 00          mov    $0x2,%ecx
  6609aa:       f2 0f 10 05 16 a6 0f    movsd  0xfa616(%rip),%xmm0
  6609b1:       00
  6609b2:       f2 0f 10 0d 36 a6 0f    movsd  0xfa636(%rip),%xmm1

从这里我们可以看到 computeE 被调用时会发生什么。第一条指令是 mov 0x8(%rsp),%rax。这 从 rsp 寄存器偏移 0x8 再移动到 rax 寄存器。这实际上是上面的输入参数 iterations;Go 的参数在堆栈上传递。

有了这些信息,我们现在可以深入研究并编写代码来跟踪 computeE 的参数。

为了捕获事件,我们需要注册一个 uprobe 函数,并写一个可以读取输出的用户空间函数。如下图所示。我们将编写一个名为 tracer 的二进制程序,它负责注册 BPF 代码并读取 BPF 代码的结果。如图,uprobe 将简单地写入 perf buffer,这是用于 perf 事件的 linux 内核数据结构。

显示 Tracer 二进制程序跟踪从应用程序生成的 perf 事件

现在我们了解了所涉及的部分,让我们看看添加 uprobe 时发生的详细情况。下图显示了 Linux 内核如何使用 uprobe 修改二进制文件。软中断指令(int3)作为 main.computeE 中的第一个指令插入。这会导致一个软中断,允许 Linux 内核执行我们的 BPF 函数。然后将参数写入 perf-buffer 缓冲区,再由跟踪程序 tracer 异步读取。

如何使用调试陷阱指令调用 BPF 程序的详细信息

这种 BPF 函数相对简单;C 代码如下所示。我们注册这个函数,以便每次 main.computee 被调用时它都会被调用。一旦调用了它,我们只需读取函数参数并将其写入 perf buffer 缓冲区。设置缓冲区需要许多的配置信息,可以参考这个完整示例。

#include <uapi/linux/ptrace.h>

BPF_PERF_OUTPUT(trace);

inline int computeECalled(struct pt_regs *ctx) {
  // 输入参数存储在 ax 中
  long val = ctx->ax;
  trace.perf_submit(ctx, &val, sizeof(val));
  return 0;
}

现在我们有了一个功能完备的 main.computeE 函数的端到端参数跟踪器!结果如下面的视频剪辑所示。

示例

其中很酷的一件事情是,我们实际上可以使用 GDB 查看对二进制文件所做的修改。在运行跟踪程序二进制之前,我们解析初在 0x6609a0 地址的指令。

(gdb) display /4i 0x6609a0
10: x/4i 0x6609a0
   0x6609a0 <main.computeE>:    mov    0x8(%rsp),%rax
   0x6609a5 <main.computeE+5>:  mov    $0x2,%ecx
   0x6609aa <main.computeE+10>: movsd  0xfa616(%rip),%xmm0
   0x6609b2 <main.computeE+18>: movsd  0xfa636(%rip),%xmm1

下面是运行 tracer 二进制跟踪程序后的结果。我们可以清楚地看到,第一条指令现在是 int3 

(gdb) display /4i 0x6609a0
7: x/4i 0x6609a0
   0x6609a0 <main.computeE>:    int3
   0x6609a1 <main.computeE+1>:  mov    0x8(%rsp),%eax
   0x6609a5 <main.computeE+5>:  mov    $0x2,%ecx
   0x6609aa <main.computeE+10>: movsd  0xfa616(%rip),%xmm0

尽管我们为这个特定的示例硬编码了跟踪程序 tracer,但也是可以让这个过程通用化的。Go 的许多方面,如嵌套指针、接口、通道等,使这个过程很有挑战性,但是,要解决这些问题,需要另一种现有系统中无法使用的检测模式。此外,由于这个过程在二进制级别上工作,它可以用于其他语言(C++、Rust等)的本机编译二进制文件。我们只需要考虑它们各自 ABI 的差异。

使用 uprobe 跟踪 BPF 有它自己的优点和缺点。当我们要对二进制状态进行可观察时,BPF 是不错的选择,即使是在附加调试器会有问题或有害的环境中运行(例如生产二进制)。最大的缺点是即使是要观察很小的应用程序状态也需要代码。虽然 BPF 代码相对容易访问,但编写和维护起来比较复杂。如果没有大量的高级工具,就不太可能将其用于通用的调试中。

我们在 Pixie 目前就在做跟踪 Go 动态日志记录的事情。可以查看这个项目来查看 Pixie 如何跟踪在 K8s 集群上运行的 Go 应用程序。

参考文献

  • iovisor/gobpf
  • iovisor/bcc

本文由哈喽比特于2年以前收录,如有侵权请联系我们。
文章来源:https://mp.weixin.qq.com/s/nuzNb3Meej6NqCZ_5qhlGQ

 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »
 相关文章
Android插件化方案 5年以前  |  237231次阅读
vscode超好用的代码书签插件Bookmarks 2年以前  |  8065次阅读
 目录