eBPF(extended Berkeley Packet Filter):Linux系统最具颠覆性的“白盒测试”

已于 2022-03-30 15:10:28 修改
阅读量1.9k 收藏 1
点赞数 1
文章标签: linux
于 2022-03-20 18:11:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quality_C/article/details/123610812
版权

eBPF——Linux系统地图上的“沙盒游戏”

简单介绍eBPF

eBPF is a revolutionary technology with origins in the Linux kernel that can run sandboxed programs in an operating system kernel. It is used to safely and efficiently extend the capabilities of the kernel without requiring to change kernel source code or load kernel modules.

摘自ebpf.io。eBPF是出自linux内核的一种能在开源系统上运行沙盒程序的革命性技术,经常用于安全且高效的扩展kernel的性能,这也是除“修改内核源码”和“载入kernel模块”的第三种方法。

eBPF最大的特点是,eBPF程序使得在系统运行的状态下,linux内核可编程。如果类比,eBPF程序像是包裹“物品”的“快件”,目的是将“物品”送到特定位置。kernel Helper API是内核上的埋点,eBPF通过“探针”的形式在bpf的点上注入eBPF程序。

和载入kernel模块的不同,eBPF只会在kernel开放的资源上“工作”。然而本身,eBPF就是一个内核模块。

eBPF为什么叫eBPF

extended Berkeley Packet Filter,简称eBPF,一看就和BPF逃不开关系。
BPF早初就是包过滤机制,用来过滤网卡捕获的数据包。Linux上的netfilter工具大多都是依靠BPF创造的,最有名的莫过于tcpdump,经常被网络人用于跟踪数据包和采样分析。

最低0.47元/天 解锁文章
Smoke0901
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于eBPF的云原生可观测开源工Kindling之Kindling-agent 测试评估
eBPF_Kindling的博客
05-13 559
背景 Kindling-agent是基于eBPF的云原生可观测开源工Kindling中采集端的组件,能够通过采集和分析内核事件,获取运行于同一宿主机上的其他服务的业务、网络等指标。其工作模式是在主机上以独立进程的方式收集所需数据,所以只需要我们在应用所在主机部署Kindling-agent即可启动相应能力,随后可以通过prometheus和grafana套件对不同机器上探针采集的数据进行整合分析和查看,当然也可以用其他工获取数据并进行分析展示。尽管Kindling-agent基于eBPF的方式进行的
Berkeley Packet Filter (BPF) syntax
04-25
libpcap支持一种功能非常强大的过滤语言——“伯克利包过滤”语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。...
Linux 可观测 BPF&eBPF 以及 BCC&bpftrace 认知
伤心的辣条
01-15 901
BPF 工可以用来辅助能分析和故障定位工作,有两个主要项目提供了这些工:BCC和bpftrace。它们运行需的动态和静态插桩(跟踪)技术。
eBPF 介绍
SHELLCODE_8BIT的博客
12-31 2374
eBPF 介绍 Tcpdump 是Linux 平台常用的网络数据包抓取及分析工,tcpdump 主要通过libpcap 实现,而libpcap 就是基于eBPF。 先介绍BPF(Berkeley Packet Filter),BPF 是基于寄存器虚拟机实现的,支持 JIT(Just-In-Time),比基于栈实现的能高很多。它能载入用户态代码并且在内核环境下运行,内核提供 BPF 相关的接口,用户可以将代码编译成字节码,通过 BPF 接口加载到 BPF 虚拟机中,当然用户代码跑在内核环境中是有风险的
Linuxebpf(1)基础使用
最新发布
Once_day的回忆
04-22 3429
eBPF (extended Berkeley Packet Filter) 是一种先进的技术,允许在无需更改内核源代码或加载内核模块的情况下,以安全的方式动态地在内核中执行预编译和沙箱化的程序。它最初是为了能够在内核层面高效地过滤网络包而设计的,但现在它的用途已经大大扩展,可以用于各种系统级编程任务。eBPFBerkeley Packet Filter (BPF) 的扩展,BPF 最初是在 1992 年为了提高网络包过滤的效率而引入的。
【博客577】使用ebpfnettrace追踪网络包流向
qq_43684922的博客
01-08 2225
nettrace是一款基于eBPF的集网络报文跟踪(故障定位)、网络故障诊断、网络异常监控于一体的网络工集,旨在能够提供一种更加高效、易用的方法来解决复杂场景下的网络问题。网络报文跟踪:跟踪网络报文从进入到内核协议栈到释放/丢弃的过程中在内核中所走过的路径,实现报文整个生命周期的监控,并采集生命周期各个阶段的事件、信息。通过观察报文在内核中的路径,对于有一定内核协议栈经验的人来说可以快速、有效地发现网络问题。
[操作系统]Linux 2.4 Packet Filtering HOWTO,iptables,route,包过滤
小小李的博客
12-29 284
1.引入 举例,从内网访问外网 问题: 服务器收到的包 源ip是192.168.1.66,他不知道怎么把包返回去. 那如果每一台机器都有一个外网地址呢? 也不太现实,没有那么多外网地址. 还好有NAT,也就是network address translate.路由器可以在包发往服务器的时候,把包的源ip,从192.168.1.66-->2.22.22.12. 这样,在服务端收到包后,返回回去的时候,可以发给路由器. 同时,路由器在收到返回的包后,把目的Ip,2.22.22.12--..
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪...
Linux Tracing System浅析 & eBPF框架开发分享
07-20
eBPFExtended Berkeley Packet Filter)是Linux内核的一个框架,它允许在内核中安全地运行小片段的字节码,用于各种用途,包括网络过滤、追踪、能分析等。由于其高效、安全和灵活eBPF近年来得到了广泛的关注...
cilium:基于eBPF的网络,安全和可观察
02-02
Cilium是一款开源项目,它将先进的eBPFExtended Berkeley Packet Filter)技术与现代容器编排系统,如Kubernetes,紧密结合,为云原生环境提供了高效、安全且有高度可观察的网络解决方案。Cilium的核心目标是...
libebpf:实验用户空间eBPF
05-16
这是Berkeley数据包筛选器(BPF)基础结构的修改端口,从Linux内核到用户空间作为共享库。 它源自RFC补丁集的早期阶段,因此可能存在一些错误。 该库的目标是仅针对跟踪工进行纯实验和能分析。 对地图和数据包...
ebpf测试
02-11
ebpf测试 这是一个用于测试eBPF程序卸载的实用程序。 它需要两个设备。 首先,自然是执行卸载代码的设备,例如此(使用此)。 它必须支持)。 另一个是标准的NVMe SSD。 SSD可以在文件系统模式(确保已安装)中使用,也可以用作原始IO。 该实用程序执行以下步骤: 将二进制文件( mem.dat )复制到SSD(除非已经存在)。 在文件系统模式下,文件被复制到安装点的根目录。 在原始IO模式下,它将被复制到地址0。 将eBPF程序( prog.o )加载到支持eBPF的设备上。 从SSD到eBPF设备的DMA( chunk_bytes )。 执行程序。 重复3-4 chunk次。 依存关系 例 首先,创建一个eBPF程序$ echo " int func (int *mem) { return mem[1]; } " > simple.c $ clang -O2 -
一文看懂eBPFeBPF的使用(超详细)
youzhangjing_的博客
04-14 2964
eBPFextended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
初识 eBPF,你应该知道的知识
Docker的专栏
01-05 891
eBPF 作为一颗在基础软件领域冉冉上升的新星,可谓前途大好,越来越多的基于 eBPF 的应用如雨后春笋般蓬勃涌现,这是 eBPF 展现出的惊人力量。本文就将带着大家了解 eBPF。什么是...
linux核心设计ebpf,Linux eBPF介绍
weixin_42123237的博客
05-15 579
eBPF的介绍eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Fil...
eBPF系列学习(1)-什么是内核BPF、eBPF
西京刀客
08-23 5018
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
Linux内核模块与eBPF字节码程序的异同
Netfilter
01-21 5835
如今eBPF正当红,迄至Linux 5.3内核,已经有24种eBPF程序类型被植入内核,后面还会继续增多。 然而,很多人并不理解eBPF的意义。最大的疑问来自于, eBPFLinux内核模块的作用一样吗? 就功能以及能而言,二者区别不大,而且,eBPF还远不如Linux内核模块强大,但是程序员不要总是盯着功能和能,还要看架构。 二者的根本不同在于: Linux内核模块是面向内核API编程的...
从tcpdump看cBPF/eBPF程序设计
热门推荐
Netfilter
07-15 1万+
It’s a pleasure to pour cold water on the revellers, and you’ll thank me. 我在2016年写过一篇关于tcpdump对Linux网络协议栈能影响的文章: https://blog.csdn.net/dog250/article/details/52502623 大概的结论是 当skb的字段匹配项的filter数量非常大的时候,BPF过滤程序将严重影响收包能。 当时我并没有展开说,部分原因是当时BPF尚未得到普遍关注,所以在就事论事之
基于ebpf的防火墙--bpf-iptables
网络安全研究
11-18 4189
1. iptables iptables应用广泛,但是存在一些问题: 规则更新,需要重新创建所有规则 规则匹配效率O(n) 2. nftables nftables于2014年提出,目标是替代iptables,它仍然基于netfilter。 nftables集成了{ip,ip6,arp,eb}tables 在用户空间代码改进了规则匹配算法 但是nftables/ufw/nf-hipac都没有成功,主要是因为iptables规则语法已经被普遍使用,切换新的规则语法代价太大。 3. bpf-iptabl
Linux追踪系统解析:eBPF框架深度探讨
bpftrace和BCC(BPF Compiler Collection)是基于eBPFExtended Berkeley Packet Filter)的用户空间工,用于动态追踪和能分析。 eBPF框架近年来备受瞩目,主要是因为它有高效、低开销和安全的特点。eBPF是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值