eBPF开发文档

已于 2023-03-17 16:51:38 修改
阅读量567 收藏 1
点赞数
文章标签: linux ubuntu
于 2023-03-17 16:34:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43472789/article/details/129623225
版权

目录

1.环境准备

2.编写eBPF程序

3.编译EBPF程序

4.加载EBPF程序

5.调试EBPF程序

6.总结

eBPF是一种在Linux内核中运行的虚拟机技术,全称是“Extended Berkeley Packet Filter”。它最初是用于网络数据包过滤和统计的技术,但现在已经扩展到了多个领域,包括系统跟踪、安全、性能分析等。

eBPF的优势在于可以在内核空间中动态地加载和运行程序,同时具有安全性和高效性。eBPF程序可以通过用户空间的程序或者内核模块加载到内核中运行,通过hook机制对系统内核进行扩展。eBPF程序具有低延迟和低开销的特点,可以高效地对系统的行为进行监控和改变,而不会对系统的性能造成影响。

 eBPF技术已经被广泛应用于系统跟踪、容器网络、安全监控等领域,并且在开源社区中得到了广泛的关注和支持。下面是eBPF程序的开发指南文档。

1.环境准备

开发eBPF程序需要一些特定的环境和工具:

  • Linux内核版本需要4.4或以上,并且需要开启CONFIG_BPF和CONFIG_BPF_SYSCALL选项。
  • 开发环境需要安装LLVM和clang,以便编译eBPF程序。
  • 如果需要调试EBPF程序,需要安装bpftrace或者bcc-tools等工具。

2.编写eBPF程序

EBPF程序的编写一般分为两个步骤:

  • 编写eBPF程序,使用LLVM和clang进行编译。
  • 编写用户空间程序,将编译后的eBPF程序加载到内核中运行。

编写eBPF程序需要使用一种特定的语言,称为BPF(Berkeley Packet Filter)语言。BPF语言是一种类似于汇编语言的语言,用于编写在内核中运行的代码。

以下是一个简单的例子:

#include <linux/bpf.h>

SEC("tracepoint/syscalls/sys_enter_execve")
int bpf_prog(void *ctx) {
    bpf_printk("Hello, world!");
    return 0;
}

char _license[] SEC("license") = "GPL";

该程序使用tracepoint事件,打印一条Hello, world!的消息。SEC(section)关键字用于定义eBPF程序的运行位置,可以是tracepoint、kprobe、uprobe等。_license[]变量用于定义程序的许可证类型。

3.编译EBPF程序

eBPF程序可以使用LLVM和clang进行编译。可以使用以下命令进行编译:

clang -O2 -target bpf -c bpf_prog.c -o bpf_prog.o

其中,-O2选项用于开启优化,-target bpf选项用于指定编译目标为eBPF,-c选项用于生成目标文件,-o选项用于指定输出文件名。

4.加载EBPF程序

用户空间程序可以使用libbpf库加载编译好的eBPF程序。可以使用以下步骤进行加载:

  • 打开BPF对象文件,获取BPF程序的文件描述符。
  • 使用libbpf库中的bpf_load_program()函数加载BPF程序,获取BPF程序的文件描述符。
  • 使用libbpf库中的bpf_attach_tracepoint()函数将BPF程序与tracepoint事件绑定,使其开始运行。

以下是一个简单的例子:

#include <stdio.h>
#include <stdlib.h>
#include <bpf/libbpf.h>
#include <bpf/bpf.h>

int main(int argc, char **argv) {
    struct bpf_program *prog;
    int prog_fd, tp_fd;

    prog = bpf_object__find_program_by_name(obj, "bpf_prog");
    prog_fd = bpf_program__fd(prog);

    tp_fd = bpf_find_tracepoint("syscalls", "sys_enter_execve");

    if (tp_fd < 0) {
        fprintf(stderr, "Error finding tracepoint: %s\\n", strerror(errno));
        exit(EXIT_FAILURE);
    }

    if (bpf_attach_tracepoint(tp_fd, prog_fd) < 0) {
        fprintf(stderr, "Error attaching BPF program: %s\\n", strerror(errno));
        exit(EXIT_FAILURE);
    }

    printf("BPF program attached to tracepoint\\n");

    pause();

    return 0;
}

该程序使用libbpf库加载编译好的eBPF程序,并将其与tracepoint事件绑定。可以使用bpf_find_tracepoint()函数查找指定的tracepoint事件。如果成功,该函数返回tracepoint事件的文件描述符。如果失败,该函数返回负数,并设置errno变量。

5.调试EBPF程序

调试EBPF程序需要使用特定的工具,如bpftrace或者bcc-tools等。这些工具可以用于查看eBPF程序的输出、跟踪程序执行、统计程序性能等。

以下是一个使用bpftrace调试eBPF程序的例子:

#!/usr/bin/bpftrace
BEGIN
{
    printf("Hello, world!\\n");
}

该程序使用bpftrace工具打印一条Hello, world!的消息。可以使用以下命令运行该程序:

sudo bpftrace hello.bpftrace

该命令将运行hello.bpftrace程序,并在终端上打印输出。bpftrace工具还支持其他命令,如probe、trace、profile等,可以用于查看系统中的进程、文件、网络流量等信息。

6.总结

以上是一个简单的eBPF程序开发指南,其中包含了编写、编译、加载、调试eBPF程序的一般流程和方法。eBPF作为一种新兴的技术,可以用于实现多种系统级应用,如网络安全、性能优化、容器管理等。对于系统管理员、开发人员和研究人员而言,熟练掌握eBPF技术,将有助于提高系统的可靠性、安全性和性能。

需要注意的是,在使用eBPF技术时,必须遵循相应的规范,如eBPF程序的安全性、兼容性和性能等方面。同时,由于eBPF技术在不同的Linux内核版本和硬件平台上具有不同的行为,因此在开发和测试过程中,需要对不同的环境进行充分的测试和验证。

参考资料

eBPF文档 - What is eBPF?

Linux内核之旅-高效入门eBPF

Chientol
关注
eBPF 入门开发实践指南一:介绍 eBPF 的基本概念、常见的开发工具
云微的blog
01-23 1418
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。
eBPF开发指南
SenberHu的博客
05-17 1387
0x1:技术背景 bpf: BPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classical bpf) EbpfeBPF全称 extended BPF,Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,比如:内核追踪(Kernel Tracing)、应用性能调优/监控、流控(Traffic Control)等;另一
eBPF.io eBPF文档:扩展的数据包过滤器(BPF)
RToax
10-10 1972
eBPF导致在网络,安全性,应用程序性能分析/性能跟踪和性能故障排除等领域开发了新一代的工具,这些工具不再依赖现有的内核功能,而是在不影响执行效率或安全性的情况下主动重新编程运行时行为。可以创建内核探针(kprobe)或用户探针(uprobe),以将eBPF程序附加到内核或用户应用程序中的几乎任何位置。eBPF程序无法调用任意内核功能。
eBPF编程指南(一):eBPF初体验
最新发布
追寻梦想的青春
08-09 1524
EBPF是一种可以让程序员在内核态执行自己的程序的机制,但是,为了安全起见,无法像内核模块一样随意调用内核的函数,只能调用一些bpf提前定义好的函数。为了让内核执行程序员自己的代码,需要指定HOOK点,相当于当内核执行到某个地方时就会执行程序员的代码,这有点类似于ftrace。内核态代码:编译为.o文件,在内核态执行,将数据发送到队列用户态代码:将内核态代码的.o文件加载到内核,接收队列中的数据并分析。
开发一个ebpf程序
zhaoyangjian724的专栏
10-22 273
第 3) 处将 BPF 程序挂载到内核探针(简称 kprobe),其中 do_sys_openat2() 是系统调用 openat() 在内核中的实现;第 4) 处则是读取内核调试文件 /sys/kernel/debug/tracing/trace_pipe 的内容,并打印到标准输出中。开发一个 eBPF 程序需要经过开发 C 语言 eBPF 程序、编译为 BPF 字节码、加载 BPF 字节码到内核、让我们来看看每一处的具体含义:第 1) 处导入了 BCC 库的 BPF 模块,以便接下来调用;
eBPF 完全入门指南.pdf(万字长文)
云原生实验室
04-02 2103
eBPF 源于 BPF[1],本质上是处于内核中的一个高效与灵活的虚类虚拟机组件,以一种安全的方式在许多内核 hook 点执行字节码。BPF 最初的目的是用于高效网络报文过滤,经过重新设计,eBPF 不再局限于网络协议栈,已经成为内核顶级的子系统,演进为一个通用执行引擎。开发者可基于 eBPF 开发性能分析工具、软件定义网络、安全等诸多场景。本文将介绍 eBPF 的前世今...
eBPF开发工具链
haigand的专栏
04-25 251
有几个开发工具链可以帮助开发和管理eBPF程序
基于libbpf和c语言的ebpf开发环境,是基于eunomia-bpf模板的项目代码,用于工程化实践.zip
03-08
标题和描述中提到的“基于libbpf和c语言的ebpf开发环境”是指使用C语言和libbpf库进行eBPF(Extended Berkeley Packet Filter)程序开发eBPF是一种内置于现代Linux内核中的技术,它允许安全地在内核中运行用户态...
借助 ChatGPT 编写的 libbpf eBPF 工具开发实践教程: 通过例子学习 eBPF
云微的blog
12-06 2547
这是一个基于 (一次编译,到处运行)的 的 eBPF开发教程,提供了从入门到进阶的 eBPF 开发实践指南,包括基本概念、代码实例、实际应用等内容。我们主要提供了一些 eBPF 工具的案例,帮助开发者学习 eBPF开发方法和技巧。教程内容可以在目录中找到,每个目录都是一个独立的 eBPF 工具案例。在学习 eBPF 的过程中,我们受到了 tutorial_bcc_python_developer 的许多启发和帮助,但从 2022 年的角度出发,使用 libbpf 开发 eBPF 的应用是目前相对更
三天高效入门 eBPF开发:学习计划与纲要
云微的blog
02-01 627
有任何问题或者想了解的东西,不管是不是和本项目相关,都可以在本项目的 discussions 里面开始讨论。其他开发框架:Go 语言或者 Rust 语言,请自行搜索并且尝试(0-2h)
awesome-ebpf:与eBPF相关的精选项目的精选列表
01-31
2. **eBPF库和工具**:如libbpf和bcc,提供了方便的API和脚本语言,简化了开发eBPF程序的过程。 3. **实际应用示例**:展示如何使用eBPF解决实际问题,例如性能优化、网络安全等。 4. **社区和博客文章**:汇集了...
eBPF:eBPF实验
03-18
eBPF eBPF实验 什么是eBPFeBPF(扩展的Berkley数据包过滤器)是一种旨在在Linux内核中安全执行。 它是: 具有大量代码路径分析的验证程序 内核解释器 即时编译器 潜在的处理器卸载机制 它在多个地方使用以向内核提供运行时可配置的代码注入。 如何创建eBPF? 可以直接创建eBPF机器代码(64位指令),然后通过bpf系统调用将其注入内核。 甚至在用户区C程序中甚至都有用于合成指令的宏。 但是,通常更容易用高级语言指定eBPF程序。 最常见的是“ C”,将LLVM编译器工具与“ bpf”计算机目标一起使用。 如何与eBPF程序进行交互? eBPF程序附加到内核中的各种钩子上。 他们本质上是事件处理程序。 从内核挂钩中调用它们,并为其指定特定于挂钩类型的上下文对象。 它们返回结果代码,其含义由挂钩类型定义。 eBPF验证程序可确保代码始终终止,并且永远不
ebpf.zip -- linux 性能巅峰之作
05-17
BPF (eBPF) tracing is a superpower that can analyze everything, and I'll show you how in my upcoming book BPF Performance Tools: Linux System and Application Observability, coming soon from Addison Wesley. The book includes over 150 BPF observability tools that you can run to find performance wins and troubleshoot software, and also shows you how to write your own.
eBPF 入门之编程
RToax
09-12 1474
eBPF 入门之编程 • Feiskyhttps://feisky.xyz/posts/2021-01-29-ebpf-program/ 目录 BCC libbpf-bootstrap 内核源码 小结 eBPF 提供了强大的跟踪、探测以及高效内核网络等功能,但由于其接口处于操作系统底层,新手入门起来还是有很大难度,特别是如何编写 eBPF 程序是入门的一大难点。本文将介绍一些常用的 eBPF 编程框架。 BCC 上篇文章介绍的 BCC 其实就提供了对 eBPF 的封装,前端提供 Python
ebpf指令系统
大草的博客
07-21 1184
了解ebpf的指令系统。阅读一个使用ebpf指令集编程的示例。
eBPF编程指北
Go中国
05-17 1401
—1—开发环境这里以 Ubuntu 20.04 为例构建 eBPF 开发环境:$uname-a LinuxVM-1-3-ubuntu5.4.0-42-generic#46-UbuntuSMPFriJul1000:24:02UTC2020x86_64x86_64x86_64GNU/Linux $sudoaptinstallbuil...
Linux: eBPF 实现简析
JiMoKuangXiangQu的专栏
04-02 993
linuxeBPF,调试追踪工具
三分钟学会编写 eBPF 程序:使用 eBPF 程序监控打开文件路径并使用 Prometheus 可视化
云微的blog
09-30 991
opensnoop通过对 open 系统调用的追踪,使得用户可以较为方便地掌握目前系统中调用了 open 系统调用的进程信息。源代码:https://github.com/eunomia-bpf/eunomia-bpf/tree/master/bpftools/examples/opensnooplibbpf 参考代码:https://github.com/iovisor/bcc/blob/master/libbpf-tools/opensnoop.bpf.c。
ubuntu开发ebpf环境搭建
05-10
要在Ubuntu开发eBPF程序,需要进行以下步骤: 1. 安装必要的软件包 ```bash ...以上是在Ubuntu上搭建eBPF开发环境的基本步骤。如果需要更多详细信息,可以参考eBPF官方文档,或者在网上寻找更多资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值