nettrace: add man page that generated from markdown

menglongdong · menglongdong · commit e26586cab435 · 2022-08-05T14:28:59.000+08:00
Signed-off-by: Menglong Dong &lt;imagedong@tencent.com&gt;
diff --git a/script/.gitignore b/script/.gitignore
@@ -1 +0,0 @@
-zh_CN/nettrace.8
diff --git a/script/zh_CN/nettrace.8 b/script/zh_CN/nettrace.8
@@ -0,0 +1,234 @@
+.TH NETTRACE 8 "20 JULY 2022" Linux "User Manuals"
+.SH NAME
+.PP
+nettrace \- Linux系统下的网络报文跟踪、网络问题诊断工具
+.SH SYNOPSIS
+.PP
+\fB\fCnettrace\fR [选项]
+.SH DESCRIPTION
+.PP
+\fB\fCnettrace\fR是基于eBPF的集网络报文跟踪（故障定位）、网络故障诊断、网络异常监控于一体的网
+络工具集，旨在能够提供一种更加高效、易用的方法来解决复杂场景下的网络问题。
+.SH OPTIONS
+.TP
+\fB\fC\-s,\-\-saddr\fR \fIsource_address\fP
+根据IP源地址来进行报文筛选
+.TP
+\fB\fC\-d,\-\-daddr\fR \fIdest_address\fP
+根据IP目的地址来进行报文筛选
+.TP
+\fB\fC\-\-addr\fR \fIaddress\fP
+根据IP源地址或者目的地址来进行报文筛选
+.TP
+\fB\fC\-S,\-\-sport\fR \fIsource_port\fP
+根据UDP/TCP源端口进行报文筛选
+.TP
+\fB\fC\-D,\-\-dport\fR \fIdest_port\fP
+根据UDP/TCP目的端口进行报文筛选
+.TP
+\fB\fC\-\-port\fR \fIport\fP
+根据UDP/TCP源端口或者目的端口进行报文筛选
+.TP
+\fB\fC\-p,\-\-proto\fR \fIprotocol\fP
+根据报文的协议（三层或者四层）进行过滤，如\fI\-p udp\fP
+.TP
+\fB\fC\-t,\-\-trace\fR \fItraces\fP
+要启用（跟踪）的内核函数、tracepoint。
+.IP
+这里将这些被跟踪的对象（内核函数、tracepoint等）简称为跟踪器，
+所有的跟踪器以树状图的方式被组织了起来，使用命令：
+\fInettrace \-t ?\fP
+可以查看所有的跟踪器。
+.IP
+默认情况下，大部分的跟踪器会被启用，一些设备相关的跟踪器（如ipvlan、bridge等）默认
+不启用。使用参数\fI\-t all\fP可启用所有的跟踪器。
+.IP
+可以同时指定多个跟踪器，以\fI,\fP分隔，比如\fInettrace \-t ip,link,kfree_skb\fP。
+可以指定跟踪器的目录，也可以直接指定跟踪器。
+.TP
+\fB\fC\-\-ret\fR
+显示被跟踪的内核函数的返回值
+.TP
+\fB\fC\-\-detail\fR
+显示跟踪详细信息，包括当前的进程、网口和CPU等信息
+.TP
+\fB\fC\-\-basic\fR
+启用\fB\fCbasic\fR跟踪模式。默认情况下，启用的是生命周期跟踪模式。启用该模式后，会直接打印
+出报文所经过的内核函数/tracepoint
+.TP
+\fB\fC\-\-intel\fR
+启用诊断模式
+.TP
+\fB\fC\-\-intel\-quiet\fR
+只显示出现存在问题的报文，不显示正常的报文
+.TP
+\fB\fC\-\-intel\-keep\fR
+持续跟踪。\fB\fCintel\fR模式下，默认在跟踪到异常报文后会停止跟踪，使用该参数后，会持续跟踪下去。
+.TP
+\fB\fC\-\-hooks\fR
+打印netfilter上的钩子函数
+.TP
+\fB\fC\-v\fR
+显示程序启动的日志信息
+.TP
+\fB\fC\-\-debug\fR
+显示调试信息
+.SH EXAMPLES
+.SS 生命周期跟踪
+.TP
+跟踪源地址为\fB\fC192.168.1.8\fR的ping报文：
+\fInettrace \-p icmp \-s 192.168.1.8\fP
+.TP
+跟踪源地址为\fB\fC192.168.1.8\fR的ping报文在IP协议层和ICMP协议层的路径：
+\fInettrace \-p icmp \-s 192.168.1.8 \-t ip,icmp\fP
+.TP
+显示详细信息：
+\fInettrace \-p icmp \-s 192.168.1.8 \-\-detail\fP
+.SS 诊断模式
+.PP
+使用方式与上面的一致，加个\fB\fCintel\fR参数即可使用诊断模式。上文的生命周期模式对于使用者的
+要求比较高，需要了解内核协议栈各个函数的用法、返回值的意义等，易用性较差。诊断模式是在
+生命周期模式的基础上，提供了更加丰富的信息，使得没有网络开发经验的人也可进行复杂
+网络问题的定位和分析。
+.PP
+比于普通模式，诊断模式提供了更多的可供参考的信息，包括当前报文经过了iptables的哪些表和
+哪些链、报文发生了NAT、报文被克隆了等。诊断模式设置了三种提示级别：
+.RS
+.IP \(bu 2
+\fB\fCINFO\fR：正常的信息提示
+.IP \(bu 2
+\fB\fCWARN\fR：警告信息，该报文可能存在一定的问题，需要关注
+.IP \(bu 2
+\fB\fCERROR\fR：异常信息，报文发生了问题（比如被丢弃）。
+.RE
+.PP
+如果当前报文存在\fB\fCERROR\fR，那么工具会给出一定的诊断修复建议，并终止当前诊断操作。通过添
+加\fB\fCintel\-keep\fR可以在发生\fB\fCERROR\fR事件时不退出，继续进行跟踪分析。下面是发生异常时的日志：
+.PP
+.RS
+.nf
+\&./nettrace \-p icmp \-\-intel \-\-saddr 192.168.122.8
+begin trace...
+***************** ffff889fb3c64f00 ***************
+[4049.295546] [__netif_receive_skb_core] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295566] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0 *ipv4 in chain: PRE_ROUTING*
+[4049.295578] [nft_do_chain        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0 *iptables table:nat, chain:PREROUT* *packet is accepted*
+[4049.295594] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0 *bridge in chain: PRE_ROUTING*
+[4049.295612] [__netif_receive_skb_core] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295624] [ip_rcv              ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295629] [ip_rcv_core         ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295640] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0 *ipv4 in chain: PRE_ROUTING*
+[4049.295644] [ip_rcv_finish       ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295655] [ip_route_input_slow ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295664] [fib_validate_source ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295683] [ip_forward          ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0
+[4049.295687] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0 *ipv4 in chain: FORWARD* *packet is dropped by netfilter (NF_DROP)*
+[4049.295695] [nft_do_chain        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0 *iptables table:filter, chain:FORWARD* *packet is dropped by iptables/iptables\-nft*
+[4049.295711] [kfree_skb           ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 0 *packet is dropped by kernel*
+\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\- ANALYSIS RESULT \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
+[1] ERROR happens in nf_hook_slow(netfilter):
+        packet is dropped by netfilter (NF_DROP)
+    fix advice:
+        check your netfilter rule
+
+[2] ERROR happens in nft_do_chain(netfilter):
+        packet is dropped by iptables/iptables\-nft
+    fix advice:
+        check your iptables rule
+
+[3] ERROR happens in kfree_skb(life):
+        packet is dropped by kernel
+    location:
+        nf_hook_slow+0x96
+    drop reason:
+        NETFILTER_DROP
+
+analysis finished!
+
+end trace...
+.fi
+.RE
+.PP
+从这里的日志可以看出，在报文经过iptables的filter表的forward链的时候，发生了丢包。在
+诊断结果里，会列出所有的异常事件，一个报文跟踪可能会命中多条诊断结果。这里的诊断建议是让
+用户检查iptables中的规则是否存在问题。
+.PP
+其中，\fB\fCkfree_skb\fR这个跟踪点是对\fB\fCdrop reason\fR内核特性（详见droptrace中的介绍）做了
+适配的，可以理解为将droptrace的功能集成到了这里的诊断结果中，这里可以看出其给出的丢包
+原因是\fB\fCNETFILTER_DROP\fR。因此，可以通过一下命令来监控内核中所有的丢包事件以及丢包原因：
+.PP
+\fInettrace \-t kfree_skb \-\-intel \-\-intel\-keep\fP
+.SS netfilter支持
+.PP
+网络防火墙是网络故障、网络不同发生的重灾区，因此\fB\fCnetfilter\fR工具对\fB\fCnetfilter\fR提供了
+完美适配，包括老版本的\fB\fCiptables\-legacy\fR和新版本的\fB\fCiptables\-nft\fR。诊断模式下，
+\fB\fCnettrace\fR能够跟踪报文所经过的\fB\fCiptables\fR表和\fB\fCiptables\fR链，并在发生由于iptables
+导致的丢包时给出一定的提示，上面的示例充分展现出了这部分。出了对iptables的支持，
+\fB\fCnettrace\fR对整个netfilter大模块也提供了支持，能够显示在经过每个HOOK点时对应的协议族
+和链的名称。除此之外，为了应对一些注册到netfilter中的第三方内核模块导致的丢包问题，
+\fB\fCnettrace\fR还可以通过添加参数\fB\fChooks\fR来打印出当前\fB\fCHOOK\fR上所有的的钩子函数，从而深入
+分析问题：
+.PP
+.RS
+.nf
+\&./nettrace \-p icmp \-\-intel \-\-saddr 192.168.122.8 \-\-hooks
+begin trace...
+***************** ffff889faa054500 ***************
+[5810.702473] [__netif_receive_skb_core] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702491] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943 *ipv4 in chain: PRE_ROUTING*
+[5810.702504] [nft_do_chain        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943 *iptables table:nat, chain:PREROUT* *packet is accepted*
+[5810.702519] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943 *bridge in chain: PRE_ROUTING*
+[5810.702527] [__netif_receive_skb_core] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702535] [ip_rcv              ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702540] [ip_rcv_core         ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702546] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943 *ipv4 in chain: PRE_ROUTING*
+[5810.702551] [ip_rcv_finish       ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702556] [ip_route_input_slow ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702565] [fib_validate_source ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702579] [ip_forward          ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943
+[5810.702583] [nf_hook_slow        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943 *ipv4 in chain: FORWARD* *packet is dropped by netfilter (NF_DROP)*
+[5810.702586] [nft_do_chain        ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943 *iptables table:filter, chain:FORWARD* *packet is dropped by iptables/iptables\-nft*
+[5810.702599] [kfree_skb           ] ICMP: 192.168.122.8 \-> 10.123.119.98 ping request, seq: 943 *packet is dropped by kernel*
+\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\- ANALYSIS RESULT \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
+[1] ERROR happens in nf_hook_slow(netfilter):
+        packet is dropped by netfilter (NF_DROP)
+
+    following hook functions are blamed:
+        nft_do_chain_ipv4
+
+    fix advice:
+        check your netfilter rule
+
+[2] ERROR happens in nft_do_chain(netfilter):
+        packet is dropped by iptables/iptables\-nft
+    fix advice:
+        check your iptables rule
+
+[3] ERROR happens in kfree_skb(life):
+        packet is dropped by kernel
+    location:
+        nf_hook_slow+0x96
+    drop reason:
+        NETFILTER_DROP
+
+analysis finished!
+
+end trace...
+.fi
+.RE
+.PP
+可以看出，上面\fB\fCfollowing hook functions are blamed\fR中列出了导致当前\fB\fCnetfilter\fR
+丢包的所有的钩子函数，这里只有\fB\fCiptables\fR一个钩子函数。
+.SH REQUIREMENTS
+.PP
+内核需要支持CONFIG\fIBPF, CONFIG\fPKPROBE功能
+.SH OS
+.PP
+Linux
+.SH AUTHOR
+.PP
+Menglong Dong
+.SH SEE ALSO
+.PP
+.BR nettrace-legacy (8), 
+.BR droptrace (8)
