tcpdump -i eth0 tcp port 22 and host 192.168.12.22 -enn

系统内核问题

概念

eBPF:

( extended Berkeley Package Filter扩展柏克莱封包过滤器)，是一种Linux内核技术，它允许开发者在不修改内核源码或加载内核模块的情况下，将自定义代码安全的运行在内核上下文中。最初用于网络数据包过滤，如今已经扩展到性能分析、安全监控、流量控制等多个领域。

hook:

狗子观测点

内核函数

kfree_skb

kfree_skb是linux内核中用于释放sk_buff结构体（网络数据包缓冲区）的函数，当数据包印错误或异常被丢弃是调用它。

典型调用场景：

1、接收路径错误：网卡驱动检查到校验和错误时，直接调用kfree_skb丢弃数据包；

2、协议栈处理失败：如TCP确认接收后释放skb, 或理由不可达时丢弃；

EulerOS ： xd_ntrace2(内核协议栈抓包)

xd_ntrace2基于eBPF开发在内核网络协议栈经过关键节点函数中添加hook观测点，实时跟踪报文经过路径；

实现的功能包括：

1、网络报文跟踪：跟踪网络报文从进入到内核协议栈接收、发送过程中，以及被丢弃在内核中所走过的路径；对于有一定内核协议栈经验的人来说可以快速、有效的发现网络问题。

2、网络故障诊断：将以往的经验集成到工具的故障知识库，通过故障知识库匹配的方式来主动诊断当前网络故障，给出诊断结果已经修复建议；

常见问题场景：

iptables规则导致的丢包

./xd_ntrace2 -t tcp -S 源地址 -p 22 -c

在iptable的INPUT链上包被kfree

Diagnostic result: Check iptables Chain INPUT* or Firewall

********** $290718235_24616$ skb:0xff9346873c4400 ************

$IN$ $_netif_receive_skb_core$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *L2 Layer Receive routine

$IN$ $ip_rcv_core$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *L2 Layer Receive routine

$IN$ $nf_hook_slow$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Check iptables Chain PREROUTING*

$IN$ $ip_route_input_noref$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *(null)

$IN$ $fib_validate_source$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Check reverse path filter

$IN$ $ip_local_deliver$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Check Chain INPUT* or package reassembly

$IN$ $**nf_hook_slow**$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Check iptables Chain INPUT* or Firewall

$IN$ $**kfree_skb**$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Drop the package

rp_filter反向路径过滤导致的丢包

问题现象：

1、源上ping不通目的，但是能ping通目录的网关，目的tcpdump能抓到ICMP的request报文，但是没有发出reply报文。

2、源上traceroute/ip route get目的地址，路径走的是目的eth1网卡的网关，目的上traceroute/ip route get源地址，路径走的是目的的eth2的一条明细路由。

./xd_ntrace2 -t tcp -a 源地址 -c

Diagnostic result: Network unreachable

********** $290718235_24616$ skb:0xff9346873c4400 ************

$IN$ $_netif_receive_skb_core$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *L2 Layer Receive routine

$IN$ $ip_rcv_core$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *L2 Layer Receive routine

$IN$ $nf_hook_slow$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Check iptables Chain PREROUTING*

$IN$ $ip_route_input_noref$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *(null)

$IN$ $**fib_validate_source**$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Check reverse path filter

$IN$ $**kfree_skb**$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Drop the package
$IN$ $ip_route_input_noref$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *(null)

$IN$ $**fib_validate_source**$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Check reverse path filter

$IN$ $**kfree_skb**$ TCP: 8.82.242.75:44824 -> 8.82.245.92:22 $SYN$ seq:1781155 ack:0 dev:eth0 | *Drop the package

虚拟机网络问题故障定位

链路问题