本文介绍了Linux内核中的eBPF(扩展Berkeley Packet Filter)和BCC(BPF Compiler Collection)技术。内容涵盖eBPF的起源、特点、架构、指令集、寄存器、helper函数和maps的使用,以及与内核版本、权限、安装BCC等相关问题。eBPF作为一种灵活高效的内核虚拟机,广泛应用于网络、跟踪和安全等领域,通过BPF工具集可以编写内核级别的字节码程序,实现安全、高性能的系统监控和数据处理。
文章目录
reference
https://docs.cilium.io/en/latest/bpf/#bpf-guide
http://www.brendangregg.com/
https://lwn.net/Articles/740157/
https://github.com/iovisor/bcc
https://cilium.isovalent.com/hubfs/Learning-eBPF%20-%20Full%20book.pdf
需要注意的问题
bcc-tools的使用需要和内核版本对应上。比如tcpdrop这个脚本命令里,就有对tcp_drop内核函数的依赖。而在新版本的内核里这个函数已经被tcp_drop_reason所代替,就会出现一些问题。
if b.get_kprobe_functions(b"tcp_drop")
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
