本篇介绍

XDP（Express Data Path）是一个安全，可编程，高性能的网络数据包处理器，可以集成bpf程序。本篇主要介绍xdp的使用以及现实中的使用场景。

XDP介绍

xdp可以想对于tc在更早阶段对收到的数据包作出处理，比如丢弃，转发，修改，还是让数据包继续进入下一个协议栈。xdp程序主要是通过bpf系统调用来执行bpf程序。
接下来了解一些相关概念，首先是操作模式。xdp拥有3个操作模式：

• Native XDP 这个是默认的模式，xdp bpf会在网卡驱动收包的较早路径上执行，不过需要网卡驱动支持。
• Offloaded XDP xdp bpf车给你需会直接在网卡上执行，不需要在cpu上执行，这样比native xdp 性能高。
• Generic XDP 上述两个模式均对驱动有要求，而这个模式则没有任何要求，可以用来作为测试模式使用。

xdp包处理器

是内核中的一个模块，在数据包出现在RX队列上就可以开始按照xdp程序处理，可以按照“busy polling”模式来处理，这样可以避免上下文切换，也可以按照“interrupt driven”模式处理，也就是基于中断。

xdp 返回码

XDP_DROP: 丢弃该数据包，在网络驱动的最早RX环节就可以丢包，这样可以最大化节省CPU与功耗，用于DOS场景。
XDP_TX:转发该数据包，将数据包返回至到达的网卡上。
DXP_REDIRECT: 重定向数据包，可以将数据包重定向到另外一个网卡上，或者BPF cpumap上，这样可以做负载均衡。
XDP_PASS:将数据包交给协议栈处理，这也是内核默认的行为
XDP_ABORTED:表示bpf程序出现错误，导致数据包被丢弃

xdp程序加载

我们前面看到过bpftool 可以加载bpf程序，也可以手动写代码来加载，xdp 可以使用ip命令来加载：

ip link set dev eth0 xdp obj program.o sec mysection

命令解释如下：
ip: ip 命令
link: 配置网络接口
set:修改设备属性
dev eth0:指定要操作的目标网络设备
xdp obj program.o: 将program.o作为xdp程序进行加载
sec mysection:目标的bpf函数所在的section

接下来我们看一个xdp的例子，作用是屏蔽所有tcp的请求，首先启动一个网络服务:

python3 -m http.server

Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

这时候可以看到在8000端口上开始监听了，用ss命令看下：

 ss -tulpn |grep 8000
tcp   LISTEN 0      5             0.0.0.0:8000       0.0.0.0:*    users:(("python3",pid=329945,fd=3))

也可以用nmap看下：

 nmap -sS 192.168.0.112
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-05 22:02 CST
Nmap scan report for 192.168.0.112 (192.168.0.112)
Host is up (0.0000060s latency).
Not shown: 995 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
8000/tcp open  http-alt

nmap 可以进行端口扫描，查看监听的网络端口
接下来准备xdp 代码：

#include <linux/if_ether.h>
#include <linux/in.h>
#include <linux/ip.h>


#define SEC(NAME) __attribute__((section(NAME), used))

SEC("mysection")
int myprogram(struct xdp_md *ctx) {
  int ipsize = 0;
  void *data = (void *)(long)ctx->data;
  void *data_end = (void *)(long)ctx->data_end;
  struct ethhdr *eth = data;
  struct iphdr *ip;

  ipsize = sizeof(*eth);
  ip = data + ipsize;
  ipsize += sizeof(struct iphdr);
  if (data + ipsize > data_end) {
    return XDP_DROP;
  }

  if (ip->protocol == IPPROTO_TCP) {
    return XDP_DROP;
  }

  return XDP_PASS;
}

按照如下方式编译：

clang -target bpf -c xdp.c -o xdp.o

接下来按照如下方式进行加载xdp程序：

sudo ip link set dev wlp4s0 xdp obj xdp.o sec mysection

然后执行如下命令：

ip a show wlp4s0
3: wlp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 xdpgeneric/id:874 qdisc noqueue state UP group default qlen 1000
    link/ether e4:a4:71:b3:62:17 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.112/24 brd 192.168.0.255 scope global dynamic noprefixroute wlp4s0
       valid_lft 3710sec preferred_lft 3710sec
    inet6 fe80::a7fa:5c7f:99ae:bd31/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

可以看到接口wlp4s0 之后出现了xdpgeneric，序号是874，用bpftool 就可以看到：

sudo bpftool prog show id 874
874: xdp  name myprogram  tag d864d21e56eaab5f
    loaded_at 2024-10-05T22:04:37+0800  uid 0
    xlated 80B  jited 55B  memlock 4096B
    btf_id 219

接下来用另外一个设备，打开浏览器，输入0.0.0.0.8000, 就会发现链接不上了。 接下卸载该程序：

sudo ip link set dev wlp4s0 xdp off

此时用另外一个设别再链接，发现就可以访问到了。

xdp使用场景

从上述例子可以看出，编写xdp代码相对容易，不需要修改内核，也不需要重启，对开发比较友好，接下来看下使用场景。

• Monitoring
  做网络数据包监控统计，xdp 实现比较容易，而且对性能影响也很小
• DDoS Mitigation
  利用xdp丢弃固定来源的数据包，避免对服务器造成攻击，而来源列表可以在用户态提供，该方案对cpu性能影响很小
• Load Balancing
  利用负载均衡算法将收到的数据包交给目标服务
• Firewalling
  利用xdp做防火墙，合法名单动态更新，可以提设性能