eBPF简介

最新推荐文章于 2025-06-11 22:20:57 发布
最新推荐文章于 2025-06-11 22:20:57 发布
阅读量1.9k 收藏 8
点赞数
CC 4.0 BY-SA版权
文章标签: linux 网络 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SenberHu/article/details/124823928

基础概念

eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。

eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核中的程序通过共用一个位于内核中map实现通信。为了防止注入的代码导致内核崩溃,eBPF会对注入的代码进行严格检查,拒绝不合格的代码的注入。

  1. DPDK让用户态程序直接处理网络流,bypass掉内核,使用独立的CPU专门干这个事。

  2. XDP让灌入网卡的eBPF程序直接处理网络流,bypass掉内核,使用网卡NPU专门干这个事。

  3. EBPF是XDP实现的基础,提供一种类似于在应用层编写驱动的能力,允许用户编写一个沙盒程序动态注入到内核中,运行在内核的虚拟机中。我们利用ebpf绕过内核协议栈进行加速。

eBPF 发展历程

1992年:BPF全称Berkeley Packet Filter,诞生初衷提供一种内核中自定义报文过滤的手段(类汇编),提升抓包效率。(tcpdump)

2011年:linux kernel 3.2版本对BPF进行重大改进,引入BPF JIT,使其性能得到大幅提升。

2014年: linux kernel 3.15版本,BPF扩展成eBPF,其功能范畴扩展至:内核跟踪、性能调优、协议栈QoS等方面。与之配套改进包括:扩展BPF ISA指令集、提供高级语言(C)编程手段、提供MAP机制、提供Help机制、引入Verifier机制等。

2016年: linux kernel 4.8版本,eBPF支持XDP,进一步拓展该技术在网络领域的应用。随后Netronome公司提出eBPF硬件卸载方案。

2018年:linux kernel 4.18版本,引入BTF,将内核中BPF对象(Prog/Map)由字节码转换成统一结构对象,这有利于eBPF对象与Kernel版本的配套管理,为eBPF的发展奠定基础。

2018年: 从kernel 4.20版本开始,eBPF成为内核最活跃的项目之一,新增特性包括:sysctrl hook、flow dissector、struct_ops、lsm hook、ring buffer等。场景范围覆盖容器、安全、网络、跟踪等。

2020年: 随着btf的引入 CORE的实现大大提高了ebpf的部署难度,简化开发难度。参考自BPF Portability and CO-RE
file

eBPF编译&运行过程

file
file
file
file

eBPF相关文章&书籍&视频

官网 https://ebpf.io/

书籍

Linux Observability with BPF

BPF Performance Tools

视频

高效入门eBPF https://www.bilibili.com/video/BV1LX4y157Gp/

BPF C编程入门 https://www.bilibili.com/video/BV1f54y1h74r/

  1. Porject

https://github.com/xdp-project/xdp-tutorial

eBPF项目

file

eBPF在网络方面的应用

1. 数据包过滤

参考高性能ACL

2. 本地socket通信加速

利用ebpf sockmap/redirection提升socket性能

SenberHu
关注
Android 中ebpf 的集成和调试
私房菜
08-27 2418
在 2013 年,Alexei Starovoitov 对 BPF 进行彻底地改造,这个新版本被命名为eBPF(extended BPF),与此同时,将以前的 BPF 变成 cBPF (classic BPF)。新版本出现了如映射和尾调用 (tail call)这样的新特性,并且 JIT 编译器也被重写了。新的语言比 cBPF 更接近于原生机器语言。并且,在内核中创建了新的附着点。bpf(2)
Android linux eBPF网络相关原理分析
新程序圆
08-14 646
随着Android版本的不断升级,自Android 9之后,内核版本普遍为4.X及更高的5.X版本,LinuxeBPF(扩展的Berkeley Packet Filter)在Android系统中的应用也越来越广泛。关于BPF和eBPF的概念,已有大量相关的文章进行介绍,建议先通过如“Android平台eBPF初探”等文章对eBPF的基础知识、框架和功能有一个初步了解。下面我们将重点探讨eBPF网络相关部分的演变过程。
使用 eBPF 调试 Python 容器
k8s 生态
12-24 582
随着 Docker/Kubernetes 等容器技术的盛行,越来越多的 Python 应用已经运行在容器中了。在带来便利性的同时,也让生产环境中的 debug 变的复杂。eBPF 是一项...
ebpf简介
热门推荐
qq_27749613的博客
05-04 1万+
@TOC[] 什么是eBPF eBPF 是什么呢? 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。顾名思义BPF来源于伯克利大学, 最早应用于网络数据包过滤器,它比当时最先进的抓包技术快20倍,其主要得利于它的两个设计: 内核态引入一个新的虚拟机,所有指令都在内核虚拟机中运行。 用户态使用 BPF 字节码来定义过滤表达式,然后传递给内核
eBPF工具全解:原理、架构与精华实战
最新发布
Interview_TC的博客
06-11 696
摘要: 本文全面解析eBPF技术,涵盖其原理、架构及实战应用。eBPF(扩展伯克利包过滤器)是一种安全、高效的内核动态编程技术,支持无侵入式追踪、网络过滤和安全监控。核心架构包括虚拟机、验证器和JIT编译器,确保安全与性能。文章介绍了bpftrace、bcc等主流工具生态,并通过文件追踪、性能统计等实战案例展示eBPF的灵活性与低开销优势。对比内核模块,eBPF具备热插拔和零风险特性,适用于云原生、网络安全等场景。推荐初学者从bpftrace入手,逐步深入自动化开发。eBPF已成为现代Linux运维和调试的
eBPF 介绍
Imagine Miracle的博客
12-26 1219
eBPF.io 是学习和协作 eBPF 的地方。eBPF 是一个开放的社区,每个人都可以参与和分享。无论您是想阅读第一个介绍 eBPF 文档,或是寻找进一步的阅读材料,还是迈出成为大型 eBPF 项目贡献者的第一步,eBPF.io 将一路帮助你。下面的章节是对 eBPF 的快速介绍。如果您想了解更多关于 eBPF 的信息,请参阅 eBPF & XDP 参考指南。无论您是希望构建 eBPF 程序的开发人员,还是对 eBPF 的解决方案感兴趣,了解这些基本概念和体系结构都是有帮助的。
eBPF介绍
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
eBPF:现代Linux的强大内核扩展技术
weixin_44867889的博客
11-29 1401
eBPF最初是从BPF(Berkeley Packet Filter)发展而来的,BPF用于高效的数据包捕获和过滤。随着对更高性能和灵活性的需求,eBPF在2014年被引入Linux内核,它允许在内核中执行用户定义的程序,从而提供更广泛的功能集。
rbc:Rust中的eBPF的游乐场
02-10
1. **eBPF简介**:eBPFLinux内核的一个扩展,最初设计用于过滤网络数据包,现在已发展成为一种通用的内核扩展框架。它支持在内核中运行安全的、沙箱化的字节码,用于系统监控、性能分析、网络过滤等各种场景。 2....
01 张晓辉-使用 eBPF 实现多集群的流量调度.pdf
06-20
**eBPF 简介** eBPF(extended Berkeley Packet Filter)起源于经典的 BPF,最初被设计为网络包过滤器,用于在网络层面进行数据包捕获和分析,如在 tcpdump 中的应用。随着时间的发展,eBPF 成为了一个强大的、内核...
rbpf:用于eBPF程序的Rust虚拟机和JIT编译器
02-05
### eBPF简介 eBPFLinux内核中的一种技术,它允许安全的、动态挂载的代码片段执行,这些代码片段可以用于各种系统操作,如网络过滤、跟踪、性能分析等。eBPF程序通常用C语言编写,并通过内核的验证器确保它们不会...
linux核心设计ebpf,Linux eBPF介绍
weixin_42123237的博客
05-15 692
eBPF的介绍eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Fil...
什么是eBPF?
andrewbytecoder
03-04 940
eBPF(Extended Berkeley Packet Filter)是一种内核技术,允许用户空间程序在不修改内核代码的情况下,通过加载 eBPF 程序来拦截和处理内核事件。这种技术广泛应用于网络过滤、性能分析、安全审计等多种功能。eBPF 作为一种现代操作系统中不可或缺的技术,提供了强大的监控和诊断能力,同时保持了系统的高性能和稳定性。通过其实时数据收集和非侵入式的特性,eBPF 成为了提升系统可观测性的理想选择,推动了操作系统级别的创新和发展。
ebpf
chenpuo的博客
01-01 368
x86 ubuntu 18.04 先装bcc http://kerneltravel.net/blog/2020/ebpf_ljr_no1/ 再装bptracehttps://www.sohu.com/a/415376553_476857 Android https://blog.csdn.net/grackergao/article/details/107054390 android 10上直接 external/adeb ...
基于TCP协议的简单socket编写
不怕死的假老练
09-03 438
一、socket概述 所谓套接字(Socket),就是对网络中不同主机上的应用进程之间进行双向通信的端点的抽象。一个套接字就是网络上进程通信的一端,提供了应用层进程利用网络协议交换数据的机制。从所处的地位来讲,套接字上联应用进程,下联网络协议栈,是应用程序通过网络协议进行通信的接口,是应用程序与网络协议根进行交互的接口。 套接字是通信的基石,是支持TCP/IP协议的路通信的基本操作单元。可以将套接字看作不同主机间的进程进行双间通信的端点,它构成了单个主机内及整个网络间的编程界面。套接字存在于通信域中,通
初识 eBPF(功能、原理、及一些应用)
叮当猫的喵i
07-19 1万+
一般来说可编程性的支持通常会带来一些新的问题,比如内核模块其实也是为了解决这个问题,但是他没有提供很好的边界,导致内核模块会影响内核本身的稳定性,在不同的内核版本需要做适配等。eBPF通过kprobe,tracepoints跟踪机制兼具内核和用户的跟踪能力,这种端到端的跟踪能力可以快速进行故障诊断,与此同时eBPF支持以更加高效的方式透出profiling的统计数据,而不需要像传统系统需要将大量的采样数据透出,使得持续地实时profiling成为可能。息,所以我们复用了这部分能力。.........
USDT ebpf
04-23
### 关于USDT和eBPF的技术集成 #### 什么是USDT? USDT(User-level Static Dynamic Tracing)是一种静态追踪机制,允许开发者在应用程序中嵌入预定义的探针。当这些探针被激活时,可以收集特定的信息或执行某些操作[^2]。 #### eBPF简介 eBPF(Extended Berkeley Packet Filter)最初设计用于网络数据包过滤,但现在已被扩展为一种通用的沙盒程序运行环境,能够在Linux内核中安全高效地执行复杂任务。通过eBPF,可以在不修改内核代码的情况下实现性能分析、流量控制等功能[^1]。 #### USDT与eBPF的结合 为了利用eBPF的强大功能来增强USDT的能力,可以通过以下方式实现两者的集成: - **加载USDT探针** 使用`bpftool`或其他工具将USDT探针转换成适合eBPF处理的形式并加载到内核空间。此过程涉及解析ELF文件中的USDT标记,并将其映射至相应的eBPF程序入口点[^2]。 - **编写eBPF程序** 需要开发专门针对目标应用的eBPF脚本,该脚本会在指定条件下触发已注册好的USDT事件处理器。下面是一个简单的例子展示如何创建一个基本的日志记录器: ```c SEC("usdt/my_application:my_event") int handle_my_event(struct pt_regs *ctx) { bpf_printk("Event triggered!\n"); return 0; } ``` - **编译与部署** 利用LLVM等编译器生成适用于当前系统的eBPF字节码之后,再借助libbpf库完成最终安装工作。注意确保所有依赖项均已正确配置好以便顺利运作[^2]。 #### 解决方案局限性说明 尽管上述方法提供了强大的调试手段,但对于像Python这样的解释型语言而言存在一定的限制条件。由于这类高级编程环境中实际调用的是底层C实现部分而非源码级别可见的内容,因此可能难以精确匹配期望监控的具体位置[^2]。在这种情况下,默认推荐采用传统日志输出作为补充解决方案之一。 ### 总结 综上所述,虽然基于USDT/eBPF组合能够提供深入洞察生产环境下软件行为的机会,但在面对具体应用场景特别是涉及到高层次抽象描述的时候仍需谨慎评估适用范围及其潜在挑战所在[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值