"Program too large" 阈值大于实际指令数
"Program too large" threshold greater than actual instruction count
我已经编写了几个生产 BPF 代理,但我的方法是非常迭代,直到我取悦验证者并可以继续前进。我又达到了我的极限。
这是一个程序,如果我的 && 条件少一个就可以运行,否则就会中断。令人困惑的部分是警告暗示 103 insns 大于 at most 4096 insns。很明显我对这一切是如何串在一起的有些误解。
我的最终目标是根据进程的环境进行日志记录——因此欢迎使用其他方法。 :)
错误:
$ sudo python foo.py
bpf: Argument list too long. Program too large (103 insns), at most 4096 insns
Failed to load BPF program b'tracepoint__sched__sched_process_exec': Argument list too long
BPF 来源:
#include <linux/mm_types.h>
#include <linux/sched.h>
#include <linux/version.h>
int tracepoint__sched__sched_process_exec(
struct tracepoint__sched__sched_process_exec* args
) {
struct task_struct* task = (typeof(task))bpf_get_current_task();
const struct mm_struct* mm = task->mm;
unsigned long env_start = mm->env_start;
unsigned long env_end = mm->env_end;
// Read up to 512 environment variables -- only way I could find to "limit"
// the loop to satisfy the verifier.
char var[12];
for (int n = 0; n < 512; n++) {
int result = bpf_probe_read_str(&var, sizeof var, (void*)env_start);
if (result <= 0) {
break;
}
env_start += result;
if (
var[0] == 'H' &&
var[1] == 'I' &&
var[2] == 'S' &&
var[3] == 'T' &&
var[4] == 'S' &&
var[5] == 'I' &&
var[6] == 'Z' &&
var[7] == 'E'
) {
bpf_trace_printk("Got it: %s\n", var);
break;
}
}
return 0;
}
用于复制的基本加载程序:
#!/usr/bin/env python3
import sys
from bcc import BPF
if __name__ == '__main__':
source = open("./foo.c").read()
try:
BPF(text=source.encode("utf-8")).trace_print()
except Exception as e:
error = str(e)
sys.exit(error)
bpf: Argument list too long. Program too large (103 insns), at most 4096 insns
看错误信息,我猜你的程序有 103 条指令,它被拒绝了,因为它太复杂了。即验证者还没有分析完所有路径上的所有指令就放弃了
在 Linux 5.15 上,有特权用户,验证者在读取 100 万条指令后放弃(复杂度 限制)。由于它必须分析通过程序的所有路径,因此指令数量较少的程序可能具有非常高的 复杂度 。当你有循环和许多条件时尤其如此,就像你的情况一样。
为什么错误信息令人困惑?这个错误信息是coming from libbpf.c:
if (ret < 0 && errno == E2BIG) {
fprintf(stderr,
"bpf: %s. Program %s too large (%u insns), at most %d insns\n\n",
strerror(errno), attr->name, insns_cnt, BPF_MAXINSNS);
return -1;
}
由于 bpf(2) 系统调用 returns E2BIG 无论是程序太大还是复杂度太高,libbpf 都会为这两种情况打印相同的错误消息,总是at most 4096 instructions。我相信上游会接受补丁来改进该错误消息。
我已经编写了几个生产 BPF 代理,但我的方法是非常迭代,直到我取悦验证者并可以继续前进。我又达到了我的极限。
这是一个程序,如果我的 && 条件少一个就可以运行,否则就会中断。令人困惑的部分是警告暗示 103 insns 大于 at most 4096 insns。很明显我对这一切是如何串在一起的有些误解。
我的最终目标是根据进程的环境进行日志记录——因此欢迎使用其他方法。 :)
错误:
$ sudo python foo.py
bpf: Argument list too long. Program too large (103 insns), at most 4096 insns
Failed to load BPF program b'tracepoint__sched__sched_process_exec': Argument list too long
BPF 来源:
#include <linux/mm_types.h>
#include <linux/sched.h>
#include <linux/version.h>
int tracepoint__sched__sched_process_exec(
struct tracepoint__sched__sched_process_exec* args
) {
struct task_struct* task = (typeof(task))bpf_get_current_task();
const struct mm_struct* mm = task->mm;
unsigned long env_start = mm->env_start;
unsigned long env_end = mm->env_end;
// Read up to 512 environment variables -- only way I could find to "limit"
// the loop to satisfy the verifier.
char var[12];
for (int n = 0; n < 512; n++) {
int result = bpf_probe_read_str(&var, sizeof var, (void*)env_start);
if (result <= 0) {
break;
}
env_start += result;
if (
var[0] == 'H' &&
var[1] == 'I' &&
var[2] == 'S' &&
var[3] == 'T' &&
var[4] == 'S' &&
var[5] == 'I' &&
var[6] == 'Z' &&
var[7] == 'E'
) {
bpf_trace_printk("Got it: %s\n", var);
break;
}
}
return 0;
}
用于复制的基本加载程序:
#!/usr/bin/env python3
import sys
from bcc import BPF
if __name__ == '__main__':
source = open("./foo.c").read()
try:
BPF(text=source.encode("utf-8")).trace_print()
except Exception as e:
error = str(e)
sys.exit(error)
bpf: Argument list too long. Program too large (103 insns), at most 4096 insns
看错误信息,我猜你的程序有 103 条指令,它被拒绝了,因为它太复杂了。即验证者还没有分析完所有路径上的所有指令就放弃了
在 Linux 5.15 上,有特权用户,验证者在读取 100 万条指令后放弃(复杂度 限制)。由于它必须分析通过程序的所有路径,因此指令数量较少的程序可能具有非常高的 复杂度 。当你有循环和许多条件时尤其如此,就像你的情况一样。
为什么错误信息令人困惑?这个错误信息是coming from libbpf.c:
if (ret < 0 && errno == E2BIG) {
fprintf(stderr,
"bpf: %s. Program %s too large (%u insns), at most %d insns\n\n",
strerror(errno), attr->name, insns_cnt, BPF_MAXINSNS);
return -1;
}
由于 bpf(2) 系统调用 returns E2BIG 无论是程序太大还是复杂度太高,libbpf 都会为这两种情况打印相同的错误消息,总是at most 4096 instructions。我相信上游会接受补丁来改进该错误消息。