eBPF로 USB 전송을 실시간으로 훔쳐보는 시스템 전체 스니퍼

• usbsnoop은 리눅스 시스템 전체 USB 트래픽을 실시간으로 보여주는 eBPF 도구임

  • xHCI, EHCI, OHCI, dwc 같은 호스트 컨트롤러 종류와 상관없이 동작하는 구조
  • 컨트롤러별 트레이스포인트도, usbmon 설정도 필요 없다고 함
  • CO-RE 기반이라 커널 버전 차이를 어느 정도 흡수하는 쪽으로 설계됨

• 핵심 아이디어는 USB 전송이 반드시 지나가는 두 지점을 잡는 것

  • usb_submit_urb는 전송이 큐에 들어간 시점, 즉 호스트가 장치에 뭔가 보내거나 받을 준비를 한 순간
  • usb_hcd_giveback_urb는 전송이 완료된 시점, 즉 상태 코드와 실제 이동한 바이트 수가 나온 순간
  • URB 포인터를 키로 LRU 해시에 시작 시간을 저장했다가 완료 시점에 꺼내서 submit에서 complete까지의 지연시간을 계산함

sequenceDiagram
    participant 앱_드라이버 as 앱/드라이버
    participant USB스택 as 리눅스 USB 스택
    participant eBPF as usbsnoop eBPF
    participant 장치 as USB 장치
    앱_드라이버->>USB스택: URB 제출
    USB스택->>eBPF: usb_submit_urb 후킹
    USB스택->>장치: 전송 실행
    장치-->>USB스택: 응답 또는 에러
    USB스택->>eBPF: usb_hcd_giveback_urb 후킹
    eBPF-->>앱_드라이버: 이벤트, 지연시간, 페이로드 출력

• 출력은 “한 줄에 한 이벤트”라서 바쁜 USB 버스에서도 훑어보기 좋게 만든 쪽임
  • 처음 보는 장치는 버스-디바이스 번호, VID:PID, 제품명, 링크 속도를 legend로 찍음
  • 이후 이벤트는 짧은 DEV 태그, 시간, SUBMIT/CMPLT, 전송 타입, 엔드포인트, 방향, 바이트 수, 상태, 지연시간, 커널 드라이버를 보여줌
  • 데이터가 텍스트처럼 보이면 텍스트로, 아니면 hexdump로 렌더링함

• 컨트롤 전송은 8바이트 SETUP 패킷까지 해석함

  • GET_DESCRIPTOR, SET_CONFIGURATION 같은 표준 요청 이름을 디코딩
  • 장치를 꽂고 enumeration 과정에서 어떤 vendor control request와 HID report가 오가는지 바로 볼 수 있음
  • 하드웨어 USB 스니퍼 없이 주변기기 리버스 엔지니어링을 할 수 있다는 게 꽤 큼

• 대용량 저장장치 쪽도 그냥 바이트 덤프만 하는 게 아님

  • Bulk-Only Transport 래퍼를 읽어서 SCSI 명령으로 보여줌
  • 예를 들면 READ(10) lba=... blocks=..., WRITE(10), CSW PASS/FAIL 같은 식
  • 펌웨어나 드라이버가 실제로 어떤 블록을 읽고 쓰는지 추적할 때 유용함

• 에러 추적과 성능 분석도 들어가 있음

  • --errors-only는 stall, timeout, babble, CRC 에러 같은 실패 완료만 보여줌
  • --secs로 시간 제한 실행을 하면 디바이스별 요약과 log2 지연시간 히스토그램을 출력함
  • 필터링은 커널 안에서 처리되므로 걸러진 트래픽은 유저스페이스까지 올라오지 않음

• 설치와 실행도 개발자 장난감답게 단순하게 밀어붙임
  • GitHub에서 바로 실행하려면 yeet run github:yeet-src/usbsnoop
  • 로컬 빌드는 make
  • 필요 조건은 clang, bpftool, BTF가 있는 커널
  • 빌드 과정에서 커널 BTF를 vmlinux.h로 덤프해 struct urb, usb_device, 장치 디스크립터를 참조함

기술 맥락

• 이 도구가 재밌는 이유는 USB 컨트롤러별 구현을 따라가지 않고 공통 병목을 잡았기 때문이에요. 리눅스 USB 스택에서 전송은 결국 URB 제출과 완료라는 형태로 흐르기 때문에, 그 두 함수만 보면 시스템 전체 USB 흐름을 꽤 넓게 관찰할 수 있어요.

• eBPF를 쓴 것도 현실적인 선택이에요. 커널 모듈을 새로 넣거나 usbmon을 설정하는 방식은 운영 환경에서 부담이 크거든요. fentry로 커널 함수 입구를 붙잡으면 필요한 이벤트만 낮은 오버헤드로 가져올 수 있고, 필터도 커널 쪽에서 먼저 적용할 수 있어요.

• URB 포인터를 LRU 해시 키로 쓰는 구조는 요청과 응답을 매칭하려는 선택이에요. 제출 시점에는 시작 시간을 찍고, 완료 시점에는 같은 URB를 찾아 지연시간과 상태를 계산해요. HTTP 요청과 응답을 묶는 것처럼 USB 전송을 한 쌍으로 보는 셈이에요.

• scatter-gather 페이로드 처리가 까다로운 건 데이터가 하나의 연속 버퍼에 없기 때문이에요. 대용량 전송은 여러 페이지에 흩어진 버퍼를 쓰는 경우가 많아서, 페이지를 커널 가상주소로 바꾸려면 아키텍처와 KASLR 주소 정보를 알아야 해요. 그래서 이 기능은 x86-64에서 추가 플래그가 필요해요.