XDP：高性能数据包处理

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1470 字

4 分钟

XDP：高性能数据包处理

2026-02-12

eBPF

/

网络

/

高性能网络

当你的服务每秒需要处理数百万甚至数千万个数据包时，内核协议栈的开销就成了瓶颈——每个数据包都要穿越 Netfilter 钩子、路由表查找、连接跟踪，即使最终只是简单地转发。XDP（eXpress Data Path）通过在网卡驱动层插入 eBPF 程序，在数据包进入内核协议栈之前就做出决策，将处理延迟从微秒级降到纳秒级。

XDP 是 eBPF 技术最成功的应用之一——Facebook（Meta）的 Katran 负载均衡器、Cloudflare 的 DDoS 防护、Cilium 的 NodePort 加速，都建立在 XDP 之上。

一、XDP 的架构#

1.1 XDP 在网络栈中的位置#

XDP 的核心优势在于它的介入时机——在网卡驱动收到数据包后、内核协议栈处理之前。这意味着：

不经过 sk_buff 分配（节省内存和 CPU）
不经过 Netfilter 钩子（节省规则匹配开销）
不经过路由表查找（节省查表开销）
不经过连接跟踪（节省状态查找开销）

1.2 XDP 与传统网络处理的性能对比#

处理方式	处理延迟	吞吐量	灵活性
传统内核协议栈	~10-50μs	~1-5 MPPS	高
XDP（native 模式）	~0.1-1μs	~10-40 MPPS	中
DPDK	~0.05-0.5μs	~40-80 MPPS	低
AF_XDP	~0.2-2μs	~10-30 MPPS	中

1.3 XDP 的上下文结构#

XDP 程序接收 struct xdp_md 作为上下文：

1
// XDP 上下文结构
2
struct xdp_md {
3
    __u32 data;           // 数据包起始地址
4
    __u32 data_end;      // 数据包结束地址
5
    __u32 data_meta;     // 元数据起始地址
6
    __u32 ingress_ifindex; // 入接口索引
7
    __u32 rx_queue_index;  // 接收队列索引
8
    __u32 egress_ifindex;  // 出接口索引（5.19+）
9
};

二、XDP 的四种返回动作#

2.1 动作详解#

返回值	名称	语义	典型用途
0	XDP_PASS	交给内核协议栈继续处理	正常流量
1	XDP_DROP	在驱动层直接丢弃	DDoS 防护、黑洞路由
2	XDP_TX	从接收网卡原路发送回去	负载均衡（DSR 模式）
3	XDP_REDIRECT	重定向到其他接口或 CPU	负载均衡、流量镜像
4	XDP_ABORTED	错误丢弃（仅用于调试）	程序错误处理

2.2 动作选择决策树#

flowchart TD PKT["收到数据包"] --> Q1{"是攻击流量？"} Q1 -->|"是"| DROP["XDP_DROP 驱动层丢弃"] Q1 -->|"否"| Q2{"需要转发？"} Q2 -->|"否"| Q3{"需要重定向？"} Q2 -->|"是，原路返回"| TX["XDP_TX 原网卡发送"] Q3 -->|"否"| PASS["XDP_PASS 交给协议栈"] Q3 -->|"是"| REDIR["XDP_REDIRECT 重定向"] style DROP fill:#ffcdd2,stroke:#c62828 style PASS fill:#c8e6c9,stroke:#2e7d32 style TX fill:#bbdefb,stroke:#1565c0 style REDIR fill:#fff9c4,stroke:#f9a825

三、XDP 的三种运行模式#

3.1 模式对比#

模式	执行位置	性能	灵活性	要求
Native（原生）	网卡驱动层	最高	中	网卡驱动支持
SKB（通用）	内核协议栈入口	中	高	无特殊要求
Offload（卸载）	网卡硬件	极高	低	智能网卡支持

flowchart TB subgraph Native模式["Native 模式（驱动层）"] N_NIC["网卡"] --> N_DRV["驱动"] N_DRV --> N_XDP["XDP 程序 驱动层执行"] N_XDP --> N_STACK["协议栈"] end subgraph SKB模式["SKB 模式（协议栈入口）"] S_NIC["网卡"] --> S_DRV["驱动"] S_DRV --> S_SKBUFF["sk_buff 分配"] S_SKBUFF --> S_XDP["XDP 程序 协议栈入口执行"] S_XDP --> S_STACK["协议栈"] end subgraph Offload模式["Offload 模式（网卡硬件）"] O_NIC["智能网卡 硬件 XDP 引擎"] --> O_XDP["XDP 程序 硬件执行"] O_XDP --> O_DRV["驱动"] O_DRV --> O_STACK["协议栈"] end style N_XDP fill:#c8e6c9,stroke:#2e7d32 style S_XDP fill:#fff9c4,stroke:#f9a825 style O_XDP fill:#bbdefb,stroke:#1565c0

3.2 检查网卡 XDP 支持#

1
# 查看网卡是否支持 XDP native 模式
2
ethtool -i eth0
3

4
# 检查 XDP 特性
5
bpftool feature probe | grep xdp
6

7
# 附加 XDP 程序时指定模式
8
sudo ip link set dev eth0 xdp obj xdp_prog.o sec xdp mode native
9
sudo ip link set dev eth0 xdp obj xdp_prog.o sec xdp mode skb
10
sudo ip link set dev eth0 xdp offload obj xdp_prog.o sec xdp

四、XDP 程序开发#

4.1 基础 XDP 程序：DDoS 防护#

1
#include "vmlinux.h"
2
#include <bpf/bpf_helpers.h>
3
#include <bpf/bpf_endian.h>
4

5
#define XDP_PASS 0
6
#define XDP_DROP 1
7

8
// 黑名单 Map
9
struct {
10
    __uint(type, BPF_MAP_TYPE_HASH);
11
    __uint(max_entries, 100000);
12
    __type(key, __u32);    // 源 IP
13
    __type(value, __u32);  // 动作
14
} blacklist SEC(".maps");
15

16
// 速率限制 Map
17
struct {
18
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
19
    __uint(max_entries, 65536);
20
    __type(key, __u32);    // 源 IP
21
    __type(value, __u64);  // 上次允许的时间
22
} rate_limit SEC(".maps");
23

24
SEC("xdp")
25
int xdp_ddos_filter(struct xdp_md *ctx)
26
{
27
    void *data = (void *)(long)ctx->data;
28
    void *data_end = (void *)(long)ctx->data_end;
29

30
    // 解析以太网头
31
    struct ethhdr *eth = data;
32
    if ((void *)(eth + 1) > data_end)
33
        return XDP_PASS;
34

35
    // 只处理 IPv4
36
    if (eth->h_proto != bpf_htons(ETH_P_IP))
37
        return XDP_PASS;
38

39
    // 解析 IP 头
40
    struct iphdr *iph = (void *)(eth + 1);
41
    if ((void *)(iph + 1) > data_end)
42
        return XDP_PASS;
43

44
    __u32 src_ip = iph->saddr;
45

46
    // 检查黑名单
47
    __u32 *action = bpf_map_lookup_elem(&blacklist, &src_ip);
48
    if (action && *action == XDP_DROP)
49
        return XDP_DROP;
50

51
    // 速率限制：每秒最多 1000 个包
52
    __u64 *last_time = bpf_map_lookup_elem(&rate_limit, &src_ip);
53
    __u64 now = bpf_ktime_get_ns();
54

55
    if (last_time) {
56
        if (now - *last_time < 1000000)  // 1ms 内
57
            return XDP_DROP;
58
    }
59

60
    bpf_map_update_elem(&rate_limit, &src_ip, &now, BPF_ANY);
61

62
    return XDP_PASS;
63
}
64

65
char LICENSE[] SEC("license") = "GPL";

4.2 XDP 负载均衡器#

1
#include "vmlinux.h"
2
#include <bpf/bpf_helpers.h>
3
#include <bpf/bpf_endian.h>
4

5
// 后端服务器列表
6
struct backend {
7
    __u32 ip;
8
    __u8 mac[6];
9
    __u16 port;
10
};
11

12
struct {
13
    __uint(type, BPF_MAP_TYPE_ARRAY);
14
    __uint(max_entries, 16);
15
    __type(key, __u32);
16
    __type(value, struct backend);
17
} backends SEC(".maps");
18

19
// 连接状态表（一致性哈希）
20
struct {
21
    __uint(type, BPF_MAP_TYPE_HASH);
22
    __uint(max_entries, 65536);
23
    __type(key, __u32);    // 客户端 IP
24
    __type(value, __u32);  // 后端索引
25
} conn_table SEC(".maps");
26

27
SEC("xdp")
28
int xdp_lb(struct xdp_md *ctx)
29
{
30
    void *data = (void *)(long)ctx->data;
31
    void *data_end = (void *)(long)ctx->data_end;
32

33
    struct ethhdr *eth = data;
34
    if ((void *)(eth + 1) > data_end)
35
        return XDP_PASS;
36

37
    if (eth->h_proto != bpf_htons(ETH_P_IP))
38
        return XDP_PASS;
39

40
    struct iphdr *iph = (void *)(eth + 1);
41
    if ((void *)(iph + 1) > data_end)
42
        return XDP_PASS;
43

44
    // 查找连接状态
45
    __u32 client_ip = iph->saddr;
46
    __u32 *backend_idx = bpf_map_lookup_elem(&conn_table, &client_ip);
47
    __u32 idx;
48

49
    if (backend_idx) {
50
        idx = *backend_idx;
51
    } else {
52
        // 简单哈希选择后端
53
        idx = client_ip % 4;  // 假设 4 个后端
54
        bpf_map_update_elem(&conn_table, &client_ip, &idx, BPF_ANY);
55
    }
56

57
    // 查找后端信息
58
    struct backend *be = bpf_map_lookup_elem(&backends, &idx);
59
    if (!be)
60
        return XDP_PASS;
61

62
    // 修改目标 IP 和 MAC
63
    iph->daddr = be->ip;
64
    __builtin_memcpy(eth->h_dest, be->mac, 6);
65

66
    // 重新计算 IP 校验和
67
    iph->check = 0;
68
    iph->check = bpf_csum_diff(0, 0, (void *)iph, sizeof(*iph), 0);
69

70
    // 重定向到后端所在接口
71
    return bpf_redirect_map(&backends, idx, 0);
72
}
73

74
char LICENSE[] SEC("license") = "GPL";

4.3 XDP 数据包修改#

XDP 程序可以修改数据包内容——增删头部、修改字段：

1
SEC("xdp")
2
int xdp_modify(struct xdp_md *ctx)
3
{
4
    void *data = (void *)(long)ctx->data;
5
    void *data_end = (void *)(long)ctx->data_end;
6

7
    struct ethhdr *eth = data;
8
    if ((void *)(eth + 1) > data_end)
9
        return XDP_PASS;
10

11
    // 增加 VLAN 头部
12
    // bpf_xdp_adjust_head 调整数据包起始位置
13
    int offset = -4;  // 向前扩展 4 字节
14
    if (bpf_xdp_adjust_head(ctx, offset))
15
        return XDP_PASS;
16

17
    // 重新获取指针（adjust_head 后指针可能变化）
18
    data = (void *)(long)ctx->data;
19
    data_end = (void *)(long)ctx->data_end;
20

21
    // 填充 VLAN 头部
22
    // ...
23

24
    return XDP_PASS;
25
}

五、XDP 重定向#

5.1 重定向方式#

方式	Map 类型	说明
bpf_redirect	无	重定向到指定接口索引
bpf_redirect_map	DEVMAP	重定向到 Map 中的设备
bpf_redirect_map	CPUMAP	重定向到指定 CPU 处理
bpf_redirect_map	XSKMAP	重定向到 AF_XDP Socket

5.2 DEVMAP 重定向#

1
// DEVMAP：将数据包重定向到其他网卡
2
struct {
3
    __uint(type, BPF_MAP_TYPE_DEVMAP);
4
    __uint(max_entries, 16);
5
    __type(key, __u32);    // 接口索引
6
    __type(value, __u32);  // 目标接口索引
7
} dev_map SEC(".maps");
8

9
SEC("xdp")
10
int xdp_redirect(struct xdp_md *ctx)
11
{
12
    __u32 key = ctx->ingress_ifindex;
13
    return bpf_redirect_map(&dev_map, key, 0);
14
}

5.3 CPUMAP 重定向#

1
// CPUMAP：将数据包重定向到指定 CPU 处理
2
struct {
3
    __uint(type, BPF_MAP_TYPE_CPUMAP);
4
    __uint(max_entries, 128);
5
    __type(key, __u32);    // CPU 编号
6
    __type(value, __u32);  // 队列大小
7
} cpu_map SEC(".maps");
8

9
SEC("xdp")
10
int xdp_cpu_redirect(struct xdp_md *ctx)
11
{
12
    // 将数据包重定向到 CPU 0 处理
13
    __u32 cpu = 0;
14
    return bpf_redirect_map(&cpu_map, cpu, 0);
15
}

六、XDP 与 DPDK 的对比#

维度	XDP	DPDK
架构	内核内（驱动层）	用户态（绕过内核）
开发语言	C（eBPF 限制）	C/C++（无限制）
性能	10-40 MPPS	40-80 MPPS
灵活性	受验证器限制	完全自由
部署	无需独占网卡	需要独占网卡
生态	Linux 内核原生	独立用户态库
调试	bpftool/bpftrace	传统调试器
网络管理	与内核协议栈共存	完全接管网络
适用场景	DDoS 防护、LB、防火墙	NFV、SDN、高性能网关

Note

XDP 和 DPDK 不是互斥的。AF_XDP 提供了 XDP 与用户态程序的桥梁——XDP 程序可以将数据包重定向到 AF_XDP Socket，用户态程序通过该 Socket 接收数据包，实现类似 DPDK 的高性能用户态处理，同时保留与内核协议栈的兼容性。

七、XDP 的生产案例#

7.1 Meta Katran#

Katran 是 Meta 开源的 L4 负载均衡器，基于 XDP 实现：

每秒处理 4000 万+ 数据包
使用 IPIP 封装实现 DSR（Direct Server Return）
Consistent Hashing 实现会话保持
已在 Facebook/Instagram 基础设施中大规模部署

7.2 Cloudflare DDoS 防护#

Cloudflare 使用 XDP 实现 DDoS 防护：

XDP_DROP 在驱动层丢弃攻击流量
速率限制基于源 IP + 端口
与 iptables 规则联动
全球 300+ 数据中心部署

7.3 Cilium NodePort 加速#

Cilium 使用 XDP 加速 NodePort 和 LoadBalancer Service：

XDP 在驱动层处理 NodePort 流量
直接转发到后端 Pod，绕过内核协议栈
性能比 kube-proxy iptables 模式提升 5-10 倍

八、动手实践#

8.1 最简 XDP 程序#

1
# 使用 bpftrace 写一个 XDP 计数器
2
sudo bpftrace -e '
3
xdp:eth0 {
4
    @xdp_packets = count();
5
}'
6

7
# 或者使用 C 编写
8
cat > xdp_count.bpf.c << 'EOF'
9
#include <linux/bpf.h>
10
#include <bpf/bpf_helpers.h>
11

12
struct {
13
    __uint(type, BPF_MAP_TYPE_PERCPU_ARRAY);
14
    __uint(max_entries, 1);
15
    __type(key, __u32);
16
    __type(value, __u64);
17
} pkt_count SEC(".maps");
18

19
SEC("xdp")
20
int xdp_counter(struct xdp_md *ctx)
21
{
22
    __u32 key = 0;
23
    __u64 *count = bpf_map_lookup_elem(&pkt_count, &key);
24
    if (count)
25
        *count += 1;
26
    return 0;  // XDP_PASS
27
}
28

29
char LICENSE[] SEC("license") = "GPL";
30
EOF

8.2 附加 XDP 程序到网卡#

1
# 编译
2
clang -O2 -target bpf -c xdp_count.bpf.c -o xdp_count.bpf.o
3

4
# 附加到网卡（native 模式）
5
sudo ip link set dev eth0 xdp obj xdp_count.bpf.o sec xdp
6

7
# 查看附加的 XDP 程序
8
ip link show dev eth0
9

10
# 查看 XDP 程序统计
11
sudo bpftool prog show
12

13
# 卸载 XDP 程序
14
sudo ip link set dev eth0 xdp off

8.3 XDP 性能测试#

1
# 使用 pktgen 生成测试流量
2
sudo modprobe pktgen
3
echo "add_device eth0" > /proc/net/pktgen/kpktgend_0
4

5
# 使用 tcpreplay 回放 pcap
6
sudo tcpreplay -i eth0 -K -l 1000000 capture.pcap
7

8
# 查看 XDP 处理统计
9
sudo bpftool prog show id <prog_id>
10
# 输出包含：run_time_ns, run_cnt, etc.

flowchart TB PKT["网卡收包"] --> XDP["XDP 程序"] --> ACTION{"返回动作"} ACTION -->|"XDP_PASS"| TC["交给 TC 正常协议栈"] ACTION -->|"XDP_DROP"| DROP["丢弃 DDoS 防护"] ACTION -->|"XDP_TX"| TX["原网卡回发 负载均衡"] ACTION -->|"XDP_REDIRECT"| REDIR["重定向 到其他接口/CPU"] style XDP fill:#bbdefb,stroke:#1565c0 style DROP fill:#ffcdd2,stroke:#c62828

Warning

XDP 程序运行在驱动层，早于内核协议栈处理。这意味着 XDP 无法访问 socket、路由表等内核数据结构。如果需要这些信息，应使用 TC eBPF 程序代替。此外，并非所有网卡驱动都支持 XDP——确认你的驱动在内核文档的支持列表中。

九、本章小结#

上一章理解了CO-RE 可移植性机制。本章详解了 XDP 的完整技术栈：

主题	核心要点	关键词
架构	XDP 在网卡驱动层执行，绕过内核协议栈，实现纳秒级处理延迟	架构
四种动作	PASS（交给协议栈）、DROP（丢弃）、TX（原路发送）、REDIRECT（重定向）	四种动作
三种模式	Native（驱动层，最快）、SKB（通用兼容）、Offload（硬件卸载）	三种模式
重定向	DEVMAP（接口重定向）、CPUMAP（CPU 重定向）、XSKMAP（AF_XDP）	重定向
与 DPDK 对比	XDP 更易部署，DPDK 性能更高，AF_XDP 桥接两者	与 DPDK 对比
生产案例	Katran（LB）、Cloudflare（DDoS）、Cilium（NodePort）	生产案例