eBPF नेटवर्क ट्रैफ़िक टूल अंतिम डिवाइस बूट के बाद से डिवाइस पर नेटवर्क उपयोग की निगरानी के लिए कर्नेल और उपयोगकर्ता स्थान कार्यान्वयन के संयोजन का उपयोग करता है। यह फोन की स्थिति के आधार पर ऐप्स को नेटवर्क एक्सेस से ब्लॉक करने के लिए सॉकेट टैगिंग, फोरग्राउंड/बैकग्राउंड ट्रैफिक को अलग करना और प्रति-यूआईडी फ़ायरवॉल जैसी अतिरिक्त कार्यक्षमता प्रदान करता है। टूल से एकत्र किए गए आँकड़े eBPF maps नामक कर्नेल डेटा संरचना में संग्रहीत होते हैं और परिणाम का उपयोग अंतिम बूट के बाद से लगातार ट्रैफ़िक आँकड़े प्रदान करने के लिए NetworkStatsService जैसी सेवाओं द्वारा किया जाता है।
उदाहरण और स्रोत
उपयोक्ता स्थान परिवर्तन मुख्यतः system/netd और framework/base परियोजनाओं में होते हैं। AOSP में विकास किया जा रहा है, इसलिए AOSP कोड हमेशा अपडेट रहेगा। स्रोत मुख्य रूप से system/netd/server/TrafficController* , system/netd/bpfloader , और system/netd/libbpf/ पर स्थित है। कुछ आवश्यक फ्रेमवर्क परिवर्तन framework/base/ और system/core में भी हैं।
कार्यान्वयन
एंड्रॉइड 9 से शुरू होकर, कर्नेल 4.9 या इसके बाद के संस्करण पर चलने वाले और मूल रूप से पी रिलीज के साथ आने वाले एंड्रॉइड डिवाइसों को xt_qtaguid के बजाय eBPF-आधारित नेटवर्क ट्रैफिक मॉनिटरिंग अकाउंटिंग का उपयोग करना होगा। नया बुनियादी ढांचा अधिक लचीला और अधिक रखरखाव योग्य है और इसके लिए किसी आउट-ऑफ-ट्री कर्नेल कोड की आवश्यकता नहीं है।
लीगेसी और ईबीपीएफ ट्रैफ़िक मॉनिटरिंग के बीच प्रमुख डिज़ाइन अंतर चित्र 1 में दिखाए गए हैं।
चित्र 1. विरासत (बाएं) और ईबीपीएफ (दाएं) यातायात निगरानी डिजाइन अंतर
नया trafficController डिज़ाइन per cgroup eBPF फ़िल्टर के साथ-साथ कर्नेल के अंदर xt_bpf नेटफ़िल्टर मॉड्यूल पर आधारित है। जब ये eBPF फ़िल्टर फ़िल्टर से गुजरते हैं तो पैकेट tx/rx पर लागू होते हैं। cgroup ईबीपीएफ फिल्टर ट्रांसपोर्ट लेयर पर स्थित है और सॉकेट यूआईडी के साथ-साथ यूजरस्पेस सेटिंग के आधार पर सही यूआईडी के खिलाफ ट्रैफिक की गिनती के लिए जिम्मेदार है। xt_bpf नेटफ़िल्टर bw_raw_PREROUTING और bw_mangle_POSTROUTING श्रृंखला से जुड़ा हुआ है और सही इंटरफ़ेस के विरुद्ध ट्रैफ़िक की गणना करने के लिए ज़िम्मेदार है।
बूट समय पर, यूजरस्पेस प्रक्रिया trafficController डेटा संग्रह के लिए उपयोग किए जाने वाले ईबीपीएफ मानचित्र बनाता है और सभी मानचित्रों को sys/fs/bpf पर एक वर्चुअल फ़ाइल के रूप में पिन करता है। फिर विशेषाधिकार प्राप्त प्रक्रिया bpfloader पूर्व संकलित eBPF प्रोग्राम को कर्नेल में लोड करता है और इसे सही cgroup से जोड़ता है। सभी ट्रैफ़िक के लिए एक एकल रूट cgroup है इसलिए सभी प्रक्रियाओं को डिफ़ॉल्ट रूप से उस cgroup में शामिल किया जाना चाहिए।
रन टाइम पर, trafficController traffic_cookie_tag_map और traffic_uid_counterSet_map पर लिखकर सॉकेट को टैग/अनटैग कर सकता है। NetworkStatsService traffic_tag_stats_map , traffic_uid_stats_map और traffic_iface_stats_map से ट्रैफ़िक आँकड़े डेटा पढ़ सकता है। ट्रैफ़िक आँकड़े संग्रह फ़ंक्शन के अलावा, trafficController और cgroup ईबीपीएफ फ़िल्टर भी फ़ोन सेटिंग्स के आधार पर कुछ यूआईडी से ट्रैफ़िक को अवरुद्ध करने के लिए ज़िम्मेदार हैं। यूआईडी-आधारित नेटवर्किंग ट्रैफिक ब्लॉकिंग सुविधा कर्नेल के अंदर xt_owner मॉड्यूल का प्रतिस्थापन है और डिटेल मोड को traffic_powersave_uid_map , traffic_standby_uid_map और traffic_dozable_uid_map पर लिखकर कॉन्फ़िगर किया जा सकता है।
नया कार्यान्वयन पुराने xt_qtaguid मॉड्यूल कार्यान्वयन का अनुसरण करता है इसलिए TrafficController और NetworkStatsService पुराने या नए कार्यान्वयन के साथ चलेंगे। यदि ऐप सार्वजनिक एपीआई का उपयोग करता है, तो पृष्ठभूमि में xt_qtaguid या eBPF टूल का उपयोग किए जाने पर कोई अंतर नहीं आना चाहिए।
यदि डिवाइस कर्नेल एंड्रॉइड सामान्य कर्नेल 4.9 (SHA 39c856663dcc81739e52b02b77d6af259eb838f6 या इसके बाद के संस्करण) पर आधारित है, तो नए eBPF टूल को लागू करने के लिए HALs, ड्राइवर या कर्नेल कोड में कोई संशोधन की आवश्यकता नहीं है।
आवश्यकताएं
कर्नेल कॉन्फ़िगरेशन में ये निम्नलिखित कॉन्फ़िगरेशन चालू होने चाहिए:
-
CONFIG_CGROUP_BPF=y -
CONFIG_BPF=y -
CONFIG_BPF_SYSCALL=y -
CONFIG_NETFILTER_XT_MATCH_BPF=y -
CONFIG_INET_UDP_DIAG=y
सही कॉन्फ़िगरेशन चालू होने की पुष्टि करते समय वीटीएस कर्नेल कॉन्फ़िगरेशन परीक्षण सहायक होता है।
-
लीगेसी xt_qtaguid बहिष्करण प्रक्रिया
नया eBPF टूल xt_qtaguid मॉड्यूल और उस xt_owner मॉड्यूल की जगह ले रहा है जिस पर यह आधारित है। हम एंड्रॉइड कर्नेल से xt_qtaguid मॉड्यूल को हटाना शुरू करेंगे और इसकी अनावश्यक कॉन्फ़िगरेशन को अक्षम करेंगे।
एंड्रॉइड 9 रिलीज़ में, xt_qtaguid मॉड्यूल सभी डिवाइसों में चालू है, लेकिन सभी सार्वजनिक एपीआई जो सीधे xt_qtaguid मॉड्यूल proc फ़ाइल को पढ़ते हैं, उन्हें NetworkManagement सेवा में ले जाया जाता है। डिवाइस कर्नेल संस्करण और पहले एपीआई स्तर के आधार पर, NetworkManagement सेवा जानती है कि ईबीपीएफ उपकरण चालू है या नहीं और प्रत्येक ऐप नेटवर्क उपयोग स्टेट के लिए सही मॉड्यूल चुनता है। SDK स्तर 28 और उच्चतर वाले ऐप्स को sepolicy द्वारा xt_qtaguid proc फ़ाइलों तक पहुंचने से अवरुद्ध कर दिया गया है।
9 के बाद अगले एंड्रॉइड रिलीज में, उन xt_qtaguid proc फ़ाइलों तक ऐप की पहुंच पूरी तरह से अवरुद्ध हो जाएगी, हम नए एंड्रॉइड सामान्य कर्नेल से xt_qtaguid मॉड्यूल को हटाना शुरू कर देंगे। इसे हटाए जाने के बाद, हम xt_qtaguid मॉड्यूल को स्पष्ट रूप से बंद करने के लिए उस कर्नेल संस्करण के लिए एंड्रॉइड बेस कॉन्फ़िगरेशन को अपडेट करेंगे। एंड्रॉइड रिलीज़ के लिए न्यूनतम कर्नेल संस्करण की आवश्यकता 4.9 या उससे ऊपर होने पर xt_qtaguid मॉड्यूल पूरी तरह से अप्रचलित हो जाएगा।
एंड्रॉइड 9 रिलीज़ में, केवल एंड्रॉइड 9 रिलीज़ के साथ लॉन्च होने वाले डिवाइस में नई eBPF सुविधा होना आवश्यक है। उन डिवाइसों के लिए जो कर्नेल के साथ भेजे गए हैं जो ईबीपीएफ टूल का समर्थन कर सकते हैं, हम एंड्रॉइड 9 रिलीज में अपग्रेड करते समय इसे नई ईबीपीएफ सुविधा में अपडेट करने की सलाह देते हैं। उस अद्यतन को लागू करने के लिए कोई सीटीएस परीक्षण नहीं है।
मान्यकरण
आपको नियमित रूप से एंड्रॉइड कॉमन कर्नेल और एंड्रॉइड एओएसपी मेन से पैच लेना चाहिए। सुनिश्चित करें कि आपका कार्यान्वयन लागू वीटीएस और सीटीएस परीक्षण, netd_unit_test और libbpf_test पास कर लेता है।
परिक्षण
यह सुनिश्चित करने के लिए कि आपके पास आवश्यक सुविधाएँ चालू हैं और आवश्यक कर्नेल पैच बैकपोर्ट किए गए हैं , कर्नेल नेट_टेस्ट हैं। परीक्षणों को एंड्रॉइड 9 रिलीज़ वीटीएस परीक्षणों के भाग के रूप में एकीकृत किया गया है। system/netd/ ( netd_unit_test और libbpf_test ) में कुछ यूनिट परीक्षण हैं। नए टूल के समग्र व्यवहार को सत्यापित करने के लिए netd_integration_test में कुछ परीक्षण हैं।
सीटीएस और सीटीएस सत्यापनकर्ता
क्योंकि दोनों ट्रैफ़िक मॉनिटरिंग मॉड्यूल एंड्रॉइड 9 रिलीज़ में समर्थित हैं, सभी उपकरणों पर नए मॉड्यूल को लागू करने के लिए बाध्य करने के लिए कोई सीटीएस परीक्षण नहीं है। लेकिन 4.9 से उच्चतर कर्नेल संस्करण वाले उपकरणों के लिए जो मूल रूप से एंड्रॉइड 9 रिलीज (यानी पहला एपीआई स्तर> = 28) के साथ आते हैं, नए मॉड्यूल को सही ढंग से कॉन्फ़िगर करने के लिए जीएसआई पर सीटीएस परीक्षण होते हैं। पुराने सीटीएस परीक्षण जैसे कि TrafficStatsTest , NetworkUsageStatsTest और CtsNativeNetTestCases का उपयोग पुराने यूआईडी मॉड्यूल के अनुरूप व्यवहार को सत्यापित करने के लिए किया जा सकता है।
मैन्युअल परीक्षण
system/netd/ ( netd_unit_test , netd_integration_test और libbpf_test ) में कुछ यूनिट परीक्षण हैं। स्थिति को मैन्युअल रूप से जांचने के लिए डंपसिस समर्थन है। कमांड dumpsys netd trafficController मॉड्यूल की मूल स्थिति दिखाता है और क्या ईबीपीएफ सही ढंग से चालू है। यदि ईबीपीएफ चालू है, तो कमांड dumpsys netd trafficcontroller प्रत्येक ईबीपीएफ मानचित्र की विस्तृत सामग्री दिखाता है, जिसमें टैग की गई सॉकेट जानकारी, प्रति टैग आंकड़े, यूआईडी और आईफेस, और मालिक यूआईडी मिलान शामिल है।
स्थानों का परीक्षण करें
सीटीएस परीक्षण यहां स्थित हैं:
- https://android.googlesource.com/platform/cts/+/main/tests/tests/net/src/android/net/cts/TrafficStatsTest.java
- https://android.googlesource.com/platform/cts/+/main/tests/tests/app.usage/src/android/app/usage/cts/NetworkUsageStatsTest.java
- https://android.googlesource.com/platform/system/netd/+/main/tests/bpf_base_test.cpp
वीटीएस परीक्षण https://android.googlesource.com/kernel/tests/+/main/net/test/bpf_test.py पर स्थित हैं।
यूनिट परीक्षण यहां स्थित हैं:
- https://android.googlesource.com/platform/system/netd/+/main/libbpf/BpfNetworkStatsTest.cpp
- https://android.googlesource.com/platform/system/netd/+/main/server/TrafficControllerTest.cpp