初次接触eBPF

已于 2022-06-05 21:08:31 修改
阅读量295 收藏 1
点赞数 1
分类专栏: 博士学习 文章标签: ubuntu linux 运维
于 2022-06-05 19:57:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44109982/article/details/125132353
版权

eBPF(extended Berkeley Packet Filter) 是一种可以在 Linux 内核中运行用户编写的程序,而不需要修改内核代码或加载内核模块的技术。eBPF的精髓在于“内核可编程化”。

简单体验

参考下文可以实现一个 Hello World 版本的 eBPF 程序:https://zhuanlan.zhihu.com/p/378258986

我的版本是 Ubuntu 20.04,Linux 内核版本 5.13.0。

sudo apt update

sudo apt install build-essential git make libelf-dev clang strace tar bpfcc-tools linux-headers-$(uname -r) gcc-multilib

git clone --depth 1 git://kernel.ubuntu.com/ubuntu/ubuntu-focal.git

sudo mv ubuntu-focal /kernel-src
cd /kernel-src/tools/lib/bpf
sudo make && sudo make install prefix=/usr/local
sudo mv /usr/local/lib64/libbpf.* /lib/x86_64-linux-gnu/

编写和编译 eBPF 程序。eBPF 程序采用 C 语言编写,并可以通过 clang 编译成目标文件 —— eBPF 字节码。
ps: 挂载点很多,例如可以换成bpf_trace_printk。

#include <linux/bpf.h>
#define SEC(NAME) __attribute__((section(NAME), used))

static int (*bpf_trace_printk)(const char *fmt, int fmt_size,
                               ...) = (void *)BPF_FUNC_trace_printk;

SEC("tracepoint/syscalls/sys_enter_execve")
int bpf_prog(void *ctx) {
  char msg[] = "Hello, eBPF World!";
  bpf_trace_printk(msg, sizeof(msg));
  return 0;
}

char _license[] SEC("license") = "GPL";

然后,需要有一个应用程序通过调用 Linux 内核的系统调用,将编译好的 eBPF 字节码加载到内核中。在加载的过程中,内核会对 eBPF 程序进行验证,保证 eBPF 程序是安全的;然后将 eBPF 字节码编译成机器码。之后,内核会按照绑定好的 hook point 调用相应的函数。
PS: 这种加载字节码的形式,笔者在eevm中也曾接触过,当时是将智能合约编译成字节码,再放到eevm虚拟机中运行。eBPF是内核虚拟机,原理相同。

#include "bpf_load.h"
#include <stdio.h>

int main(int argc, char **argv) {
  if (load_bpf_file("bpf_program.o") != 0) {
    printf("The kernel didn't load the BPF program\n");
    return -1;
  }

  read_trace_pipe();

  return 0;
}

运行效果:每调用一次exec,输出一个"hello,world"
在这里插入图片描述

eBPF重要特性和相关概念

通过eBPF maps与用户空间交互:map是指内核中的存储区域,完成内核与用户空间的交互。eBPF Maps是一个数据结构,帮助eBPF存储和检索数据,提高eBPF程序共享收集到的信息和存储状态的能力

有限的循环编程能力:for循环约100万次。

支持用户空间和内核空间的挂载的通用能力。

不会vector
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 eBPF 调试 Python 容器
k8s 生态
12-24 469
随着 Docker/Kubernetes 等容器技术的盛行,越来越多的 Python 应用已经运行在容器中了。在带来便利性的同时,也让生产环境中的 debug 变的复杂。eBPF 是一项...
基于TCP协议的简单socket编写
不怕死的假老练
09-03 371
一、socket概述 所谓套接字(Socket),就是对网络中不同主机上的应用进程之间进行双向通信的端点的抽象。一个套接字就是网络上进程通信的一端,提供了应用层进程利用网络协议交换数据的机制。从所处的地位来讲,套接字上联应用进程,下联网络协议栈,是应用程序通过网络协议进行通信的接口,是应用程序与网络协议根进行交互的接口。 套接字是通信的基石,是支持TCP/IP协议的路通信的基本操作单元。可以将套接字看作不同主机间的进程进行双间通信的端点,它构成了单个主机内及整个网络间的编程界面。套接字存在于通信域中,通
Linux未来监控tracing框架——eBPF
badman250的专栏
05-07 2478
eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Filter,简称 ...
2024年最全eBPF学习 - 入门,2024年最新阿里牛逼
2401_84910962的博客
05-14 936
输出的格式可由来修改。
ebpf
chenpuo的博客
01-01 249
x86 ubuntu 18.04 先装bcc http://kerneltravel.net/blog/2020/ebpf_ljr_no1/ 再装bptracehttps://www.sohu.com/a/415376553_476857 Android https://blog.csdn.net/grackergao/article/details/107054390 android 10上直接 external/adeb ...
eBPF 介绍
SHELLCODE_8BIT的博客
12-31 2379
eBPF 介绍 Tcpdump 是Linux 平台常用的网络数据包抓取及分析工具,tcpdump 主要通过libpcap 实现,而libpcap 就是基于eBPF。 先介绍BPF(Berkeley Packet Filter),BPF 是基于寄存器虚拟机实现的,支持 JIT(Just-In-Time),比基于栈实现的性能高很多。它能载入用户态代码并且在内核环境下运行,内核提供 BPF 相关的接口,用户可以将代码编译成字节码,通过 BPF 接口加载到 BPF 虚拟机中,当然用户代码跑在内核环境中是有风险的
初次接触ESP8266
01-06
初次刷固件,备忘如下: 1 启动ESP8266Flasher-x64-v0.9.2.4.exe,从nodemcu官网通过邮件方式下载固件(qq邮件不好使),收到邮件:浮点的文件名为nodemcu-master-7-modules-2020-04-22-04-33-40-float.bin,整数的为...
初次接触Swing界面
08-02
NULL 博文链接:https://swac.iteye.com/blog/1976047
初次接触python的作业.zip
最新发布
06-14
初次接触Python时,你会发现在解决各种问题时,它能够提供高效且易于理解的解决方案。这个"初次接触python的作业.zip"文件很可能包含了帮助你学习Python基础知识的练习和资源。 在学习Python时,你需要了解以下几个...
初次接触GWT,知识点概括
03-23
**初次接触GWT:知识点概括** Google Web Toolkit(GWT)是Google推出的一款开源的JavaScript开发框架,它允许开发者使用Java语言来编写Web应用程序。GWT通过编译器将Java代码转换为高效的JavaScript,从而在浏览器...
DWR初次接触
09-29
**DWR(Direct Web Remoting)初次接触** DWR,全称为Direct Web Remoting,是一种JavaScript库,允许在Web浏览器和服务器之间进行实时、安全的双向通信。它简化了Ajax应用的开发,使得开发者可以像操作本地对象...
eBPF介绍
热门推荐
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
eBPF简介
SenberHu的博客
05-17 1736
基础概念 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。 eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核中的程序通过共用一个位于内核中map实现通信。为了防止注入的代码导致内核崩溃,eBPF会对注入的代码进行严格检查,拒绝不合格的代码的注
eBPF 入门教程
云原生实验室
10-15 1188
作者:Adrian Ratiu译者:狄卫华1. 前言有兴趣了解更多关于 eBPF 技术的底层细节?那么请继续移步,我们将深入研究 eBPF 的底层细节,从其虚拟机机制和工具,到在远程资源受...
eBPF技术
qq_42944740的博客
03-16 1451
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
初识 eBPF(功能、原理、及一些应用)
叮当猫的喵i
07-19 4965
一般来说可编程性的支持通常会带来一些新的问题,比如内核模块其实也是为了解决这个问题,但是他没有提供很好的边界,导致内核模块会影响内核本身的稳定性,在不同的内核版本需要做适配等。eBPF通过kprobe,tracepoints跟踪机制兼具内核和用户的跟踪能力,这种端到端的跟踪能力可以快速进行故障诊断,与此同时eBPF支持以更加高效的方式透出profiling的统计数据,而不需要像传统系统需要将大量的采样数据透出,使得持续地实时profiling成为可能。息,所以我们复用了这部分能力。.........
Python初次接触测试
11-09
Python初次接触测试是指初学者通过简单的代码测试来了解Python的基础语法和运行环境。在测试之前,需要先安装Python解释器,并选择一个集成开发环境(IDE)来编写和运行Python代码。对于Windows系统,可以通过下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值