eBpf技术总结

最新推荐文章于 2024-05-29 13:39:39 发布
最新推荐文章于 2024-05-29 13:39:39 发布
阅读量805 收藏 20
点赞数 15
文章标签: linux kernel ebpf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr_zhaojy/article/details/136650986
版权

一、 ebpf基本原理

eBPF (扩展的伯克利数据包过滤器) 是一项强大的网络和性能分析工具,其在内核中的实现为一个基于寄存器的虚拟机,使用自定义的 64 位 RISC 指令集,运行本地即时编译(JIT)的 “BPF 程序, 并能访问内核功能和内存的一个子集。
在这里插入图片描述参考链接:探索eBPF:Linux内核的黑科技
eBPF 是一个在内核中运行的虚拟机,它所有的接口都是通过 BPF 系统调用来跟内核进行交互,eBPF 程序通过 LVM 和 Cline 进行编译,产生 eBPF 的字节码,通过 BPF 系统调用,加载到内核,验证代码的安全性,从而通过 JIT 实时的转化成 Native 的 X86 的指令。很多架构 (x86-64, SPARC, PowerPC, ARM, arm64, MIPS, and s390)已经支持即时(JIT)编译。
在这里插入图片描述对eBPF来说,是通过特定的Hook点监听内核中的特定事件,进而执行用户定义的处理。这些Hook点包括:

  1. 静态tracepoint
  2. 动态内核态探针(Dynamic Kernel probes)
  3. 动态用户态探针(Dynamic User Probes)
  4. 其他hook点

针对主要是监控、跟踪使用的eBPF应用来说,主要通过这种方式取得内核运行时的一些参数和统计信息。
参考链接:
ebpf深入理解和应用介绍
Kernel调试追踪技术之 eBPF on ARM64

eBpf对内核配置的依赖:
CONFIG_DEBUG_INFO_BTF=y
CONFIG_CGROUP_BPF=y
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_NET_SCH_INGRESS=m
CONFIG_NET_CLS_BPF=m
CONFIG_NET_CLS_ACT=y
CONFIG_BPF_JIT=y
CONFIG_LWTUNNEL_BPF=y
CONFIG_HAVE_EBPF_JIT=y
CONFIG_BPF_EVENTS=y

二、 Kprobes原理

kprobes Kretprobes是linux系统的一个动态调试机制,使用它可以向内核添加探针(Probe),在代码执行前或执行后触发一个回调函数。这个机制通常用于调试内核代码,跟踪应用程序执行或收集性能统计信息。通过使用kprobe,开发人员可以在不影响系统运行逻辑的情况下,对操作系统进行深入的分析和调试。
它的基本工作机制是:用户指定一个探測点。并把一个用户定义的处理函数关联到该探測点。当内核运行到该探測点时,对应的关联函数被运行。然后继续运行正常的代码路径。
参考链接:https://zhuanlan.zhihu.com/p/645909745

三、 Bpf与kprobes的关系

根据BPF程序的主要目的,可以将其分为两类。一类是跟踪,一类是网络。
BPF kprobe程序类型允许使用BPF程序作为kprobe的处理程序,当被检测内核函数触发时,执行BPF程序,程序类型被定义为BPF_PROG_TYPE_KPROBE。kprobe 是动态附加到内核调用点的函数,编写附加到kprobe模块上的BPF程序时,需要确定BPF程序的执行时机,也就是确定BPF程序是在内核函数调用开始时执行,还是内核函数调用结束返回时执行。
如果是在内核函数调用开始时执行BPF程序,我们可以设置BPF程序的SEC为:
SEC(“kprobe/内核函数”)
如果是在内核函数调用结束返回时执行BPF程序,我们可以设置BPF程序的SEC为:
SEC(“kretprobe/内核函数”)
参考链接:https://blog.csdn.net/qq_34258344/article/details/114522060

四、 ebpf与lsm

在 Linux 5.7 引入 BPF LSM 后,系统开发人员已经能够自由地实现函数粒度的安全检查能力,可通过SEC(“lsm/socket_connect”)的方式对lsm函数进行挂载。

使用ebpf的lsm前提条件

  1. 内核版本高于5.7
  2. 确认CONFIG_BPF_LSM=y时开启状态,使用命令:cat /boot/config-$(uname -r) | grep BPF_LSM
  3. 确认cat /sys/kernel/security/lsm是否支持bfp,如果没有需要修改/etc/default/grub是能bpf;通过update-grub2更新后重启系统。

Demo ebpf-lsm

在这里插入图片描述

程序主要功能为通过lsm的socket_connect接口,实现禁止链接IP:1.1.1.1

  • 编译:$ ecc lsm-connect.bpf.c
  • 运行:sudo ecli run package.json
  • 测试:
    $ ping 1.1.1.1
    ping: connect: Operation not permitted

参考链接:
eBPF 入门实践教程:使用 LSM 进行安全检测防御

-黑色幽默-
关注
  • 15
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pprof-ebpf:使用ebpf生成pprof格式配置文件的探查器
05-11
**eBPF技术** eBPFLinux内核的一项功能,它允许开发者安全地在内核中注入小型、验证过的程序,用于监控和调试系统。eBPF程序可以在系统调用、网络事件、调度等关键点运行,提供细粒度的性能数据。 **pprof和性能...
cilium:基于eBPF的网络,安全性和可观察性
02-02
总结来说,Cilium利用创新的eBPF技术,为Kubernetes等容器编排系统提供了高效、安全且具有高可观察性的网络服务。它不仅改善了容器网络的性能,而且加强了集群的安全防护,通过丰富的监控和诊断能力,使得故障排查和...
ebpf原理分析
hjkfcz的博客
03-17 1万+
ebpf原理解析
Android linux eBPF网络相关原理分析
内核工匠
02-11 4823
一、eBPF相关概述随着android的版本不断升级,android 9之后,内核版本均为4.X以及更高的5.X,linuxeBPF设计在android系统中应用也越来越多。对于BPF以...
Linux eBPF:网络、系统监控和安全领域的创新
最新发布
望获实时Linux系统
05-29 945
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全:eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF的功能和应用场景不断扩展,如今已成为网络、系统监控和安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
边缘网络 eBPF 超能力:eBPF map 原理与性能解析
VE_Edge的博客
01-04 3570
导读 众所周知,大型 eBPF 程序构建过程中 eBPF map 必不可少。火山引擎边缘计算在数据面也大量使用了 eBPF 及其 map 机制。如何用好 map 是 eBPF 网络编程中关键的一环,不同 map 的性能差异也较大。本文组织 eBPF map 相关的底层实现,为大家详细解析 eBPF map 的原理及性能。
[译&转] eBPF 概念和基本原理
RToax
08-12 2194
译文:https://cloud.tencent.com/developer/article/1749470 https://tonydeng.github.io/sdn-handbook/linux/bpf/ eBPF(extended Berkeley Packet Filter)起源于BPF,它提供了内核的数据包过滤机制。 BPF的基本思想是对用户提供两种SOCKET选项:SO_ATTACH_FILTER和SO_ATTACH_BPF,允许用户在sokcet上添加自定义的filter,只有满足该.
Linux eBPF 程序构成与通信原理
RToax
04-11 623
作者简介:Daemon.Wu, Linux 内核性能优化工程师,就职于某微小手机厂从事手机性能优化。座右铭:知行合一。 原创雄文:由泰晓读者投递的各类社区原创好文。 版权声明:本文最先发表于“泰晓科技” 微信公众号,欢迎转载,转载时请在文章的开头保留本声明。 1前言 eBPFLinux 内核中将 C 代码编译成 BPF 字节码,挂在kprobe/tracepoint等 hook 上,当hook触发时,Linux 内核运行字节码来追踪性能。 2eBPF 框架 《...
2022年度技术盘点与展望
06-03
eBPF 成为当下最火的技术之一,为操作系统内核提供了新的可能性。 4. AI:AIGC 的疯狂与争议,顶流「AIGC」的出现将改变艺术家的未来。AI 将改变各个行业的发展方向。 5. 大数据:大数据管理工具走向更易用与专精...
基于libbpf和c语言的ebpf开发环境,是基于eunomia-bpf模板的项目代码,用于工程化实践.zip
03-08
2. **C#**:C#与eBPF的直接关联可能不那么紧密,但有一些工具如BPF.NET可以让C#开发者与libbpf进行交互,使用eBPF技术。 3. **编程语言**:标签中列出的C、C++和C#都是编程语言,与项目中的C语言开发环境有关,表明...
sysak开源系统诊断工具
07-15
根据阿里官网上的介绍,sysAK,全称是system analyse kit,目前主要来自于阿里百万服务器运维经验,通过对这些经验进行抽象总结出典型场景,提供了一系列工具针对不同的运维需求。 主要包括: • 线上问题分析诊断...
bpf-lsm:具有LSM挂钩的示例BPF程序
02-11
BPF LSM示例 此仓库包含脚本和示例程序,可与BPF CO-RE模块和LSM一起使用。 为了完全可移植(假设有足够新的内核),并展示它如何与Rust程序互操作,用户空间组件以Rust和C的组合编写,并用clang编译,并与musl链接。 结果应该是您可以将输出二进制文件放在任何Linux 5.8+内核上(用于环形缓冲区和LSM挂钩支持)并运行它。 它还具有关于通过具有lsm挂钩的跟踪点共享用户空间数据的一些想法。 快速开始 vagrant up make 在一个VM ssh会话中: vagrant@ubuntu-hirsute: ~ $ sudo /vagrant/probe -b 1 -f \ ' reject bprm_check_security when user.id == 1000 and process.executable == "/usr/bin/ls" '
从编译到可执行,eBPF 加速容器网络的原理分析 | 龙蜥技术
weixin_60347558的博客
01-05 428
本文从原理上分析了 eBPF(extended Berkeley Packet Filter) 的加载工作过程,解释了它如何保证系统运行稳定以及它能加速网络的原因。
ebpf指令系统
大草的博客
07-21 1106
了解ebpf的指令系统。阅读一个使用ebpf指令集编程的示例。
ebpf深入理解和应用介绍
热门推荐
网络安全研究
04-07 2万+
1. ebpf概述 1.1 ebpf发展历史 BPF,及伯克利包过滤器Berkeley Packet Filter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核崩溃或者安全问题 —— 并附着到一个套接字上,接着在每个接...
eBPF技术实践:高性能ACL
字节跳动技术团队官方博客
06-08 1万+
本文是由字节跳动系统部 STE 团队出品的文章。对于 Linux 而言,iptables / nftables 是主流的网络 ACL(Access Control List)解决方案。近...
了解IO Visor的技术基石BPF与eBPF (by quqi99)
技术并艺术着
11-13 5881
作者:张华  发表于:2015-11-13版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明(http://blog.csdn.net/quqi99 )程序员所接触的应用项目大都是基于流式套接字(SOCK_STREAM)和数据报式套接字(SOCK_DGRAM)。原始套接字IPPROTO_RAW允许用户旁路TCP/IP栈实现IP层及其以上协议层的通信;PF_PAC
Linux 内核虚拟机 BPF 原理及应用 | Meetup No.110 回顾
TiDB_PingCAP 的博客
08-14 1137
上周六,我们在北京举办了 Infra meetup No.110,我司 TiKV 研发工程师张文博为大家分享了 Linux 内核虚拟机 BPF 的原理及在我司内部的应用实...
ebpf简介
qq_27749613的博客
05-04 1万+
@TOC[] 什么是eBPF eBPF 是什么呢? 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。顾名思义BPF来源于伯克利大学, 最早应用于网络数据包过滤器,它比当时最先进的抓包技术快20倍,其主要得利于它的两个设计: 内核态引入一个新的虚拟机,所有指令都在内核虚拟机中运行。 用户态使用 BPF 字节码来定义过滤表达式,然后传递给内核
基于ebpf技术的容器网络流量监控统计方法及系统
05-24
eBPF(Extended Berkeley Packet Filter)是一个内核级别的虚拟机,可以用于监控和修改内核中的网络流量。基于eBPF技术的容器网络流量监控统计方法及系统可以实现对容器网络流量进行实时监控和统计,以便于管理者对容器网络流量进行分析和优化。 具体实现可以采用以下步骤: 1. 在容器中安装eBPF工具链,包括eBPF编译器、BCC(BPF Compiler Collection)等。 2. 编写eBPF程序,实现对容器网络流量的抓取和统计。可以使用BCC提供的预定义eBPF程序,也可以自行编写。 3. 将eBPF程序插入到容器的网络命名空间中,实现对容器网络流量的监控。 4. 将抓取到的网络流量数据发送给监控服务器,进行实时统计和分析。 5. 可以使用可视化工具,如Grafana等,对统计结果进行展示和分析。 这样,就可以实现对容器网络流量的实时监控和统计,方便管理者进行网络优化和故障排查。 需要注意的是,基于eBPF技术的容器网络流量监控统计方法及系统需要在容器中运行eBPF程序,因此需要一定的系统支持和安全措施,以确保系统稳定性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值