bpf - "Program too large"阈值大于实际指令数

Question

我写了几个生产 BPF 代理，但我的方法是 非常迭代直到我取悦验证者并可以继续。我又到了极限。
这是一个如果我少一个就可以工作的程序 &&条件 - 否则会中断。令人困惑的部分是警告暗示 103 insns大于 at most 4096 insns .很明显，我对这一切是如何串在一起的有一些误解。
我的最终目标是根据进程的环境进行日志记录——因此欢迎使用其他方法。 :)
错误 :

$ sudo python foo.py
bpf: Argument list too long. Program  too large (103 insns), at most 4096 insns

Failed to load BPF program b'tracepoint__sched__sched_process_exec': Argument list too long

BPF 源 :

#include <linux/mm_types.h>
#include <linux/sched.h>
#include <linux/version.h>

int tracepoint__sched__sched_process_exec(
  struct tracepoint__sched__sched_process_exec* args
) {
  struct task_struct* task = (typeof(task))bpf_get_current_task();

  const struct mm_struct* mm = task->mm;

  unsigned long env_start = mm->env_start;
  unsigned long env_end = mm->env_end;

  // Read up to 512 environment variables -- only way I could find to "limit"
  // the loop to satisfy the verifier.
  char var[12];
  for (int n = 0; n < 512; n++) {
    int result = bpf_probe_read_str(&var, sizeof var, (void*)env_start);
    if (result <= 0) {
      break;
    }
    env_start += result;
    if (
      var[0] == 'H' &&
      var[1] == 'I' &&
      var[2] == 'S' &&
      var[3] == 'T' &&
      var[4] == 'S' &&
      var[5] == 'I' &&
      var[6] == 'Z' &&
      var[7] == 'E'
    ) {
      bpf_trace_printk("Got it: %s\n", var);
      break;
    }
  }

  return 0;
}

用于再现的基本加载程序 :

#!/usr/bin/env python3

import sys

from bcc import BPF


if __name__ == '__main__':
    source = open("./foo.c").read()
    try:
        BPF(text=source.encode("utf-8")).trace_print()
    except Exception as e:
        error = str(e)
        sys.exit(error)

Answer 1

bpf: Argument list too long. Program too large (103 insns), at most 4096 insns

查看错误消息，我的猜测是您的程序有 103 条指令和 因为太复杂被拒绝了 .也就是说，验证者在分析所有路径上的所有指令之前就放弃了。
在具有特权用户的 Linux 5.15 上，验证器在读取 100 万条指令后放弃(复杂性限制)。由于它必须分析程序中的所有路径，因此具有少量指令的程序可能具有非常高的复杂性。当您有循环和许多条件时尤其如此，就像您的情况一样。

为什么错误信息令人困惑？ 此错误消息是 coming from libbpf.c :

if (ret < 0 && errno == E2BIG) {
  fprintf(stderr,
          "bpf: %s. Program %s too large (%u insns), at most %d insns\n\n",
          strerror(errno), attr->name, insns_cnt, BPF_MAXINSNS);
  return -1;
}

自 bpf(2)系统调用返回 E2BIG当程序太大和复杂性太高时，libbpf 会在两种情况下打印相同的错误消息，总是 at most 4096 instructions .我相信上游会接受补丁来改进该错误消息。