eBPF Talk: 比 kprobe 更好的 trampoline

最新推荐文章于 2024-03-29 00:37:01 发布
VIP文章 最新推荐文章于 2024-03-29 00:37:01 发布
阅读量425 收藏
点赞数
文章标签: eBPF Talk eBPF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010102162/article/details/127643673
版权

eBPF trampoline(trampoline:蹦床,翻译后并不好理解,所以不作翻译)是内核函数和 eBPF 程序之间的桥梁,基于 register_ftrace_direct() 实现。它实现了 kprobe/kretprobe 的功能。相比于 kprobe/kretprobe,trampoline 的性能更好。特别是对比 kretprobe,trampoline 的 fexit 在实现了同样功能的同时,能够支持去获取目标函数的参数(这是 kretprobe 不支持的)(参考:bpf: Introduce BPF trampoline)。

不过并不是所有内核版本都支持 trampoline,eBPF trampoline 特性要求 >= 5.5 内核版本,参考 BPF Features by Linux Kernel Version

eBPF trampoline 一例

Go 的 eBPF 库 cilium/ebpf 已支持 trampoline(fenter/fexi

最低0.47元/天 解锁文章
Leon Hwang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CentOS7 bcc 与 bpftrace环境搭建
奋斗中拥有
07-20 3140
CentOS7 安装 bcc 与 bpftrace kernel 升级CentOS内核, 建议升级到 4.18+. 此次使用内核 5.12.17 作为测试版本. 注: kernel 5.12 gcc 版本最低要求为 4.9 BPF Features by Linux Kernel Version 列出了每个内核版本所支持的BPF特性 dwarves git clone https://github.com/acmel/dwarves mkdir build && cd build cmake
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表性C库。 特征 通过聚集内核中的连接事件来进行低开销的跟踪。 启用了BPF CO-RE(一次编译–随处运行) 先决条件 编译阶段 libbpf源代码 lang / LLVM> = 9 运行阶段 Linux内核版本> = 5.6(由于对bpf映射的批处理操作) 使用BTF类型信息构建Linux内核。 参见 。 两相共通 libelf和zlib库 go-conntracer-bpf中包含Linux内核功能 go-conntracer-bpf利用了Linux内核的一些最新功能。 内核版本4.18中的BP
eBPF介绍
热门推荐
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
最新发布
m0_74206992的博客
03-29 1007
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 4825
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
ebpf原理分析
hjkfcz的博客
03-17 1万+
ebpf原理解析
【kernel doc】【trace】ftrace - Function Tracer
sjc2870的博客
06-27 434
原文链接: Function Tracer 介绍   Ftrace是一个内部的tracer,用以帮助系统开发者和设计者来知道内核正在做什么。它可以用来调试或者分析用户空间的延迟和性能问题。   尽管 ftrace 通常只被认为是函数tracer,但它实际上是多个跟踪实用程序的框架。   在检测中断禁用和启用之间,以及抢占和从任务被唤醒到任务实际调度的时间发生的事情时,是有延迟的。   ftrace最常用的一个用法是事件跟踪。内核中有数百个静态事件点,可以通过 tracefs 文件系统启用它们,以查看内核某些
Linux内核 eBPF基础:kprobe原理源码分析:基本介绍与使用示例
RToax
05-11 5997
Linux内核 eBPF基础 kprobe原理源码分析:基本介绍与使用 荣涛 2021年5月11日
Linux内核 eBPF基础:kprobe原理源码分析:源码分析
RToax
05-12 2112
Linux内核 eBPF基础 kprobe原理源码分析:源码分析 荣涛 2021年5月11日
goebpf:库可与Go中的eBPF程序一起使用
02-03
进入eBPF 使用Go中的eBPF程序/ perf事件的一种好方法。要求转到1.10+ Linux内核4.15+支持的eBPF功能eBPF计划SocketFilter XDP Kprobe / Kretprobe 表演活动将来可以添加对其他程序类型/功能的支持。 同时,热烈欢迎...
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
KProbe: an Asus notebook monitor for KDE-开源
07-01
这是一个 KDE 监视器应用程序,用于检查华硕笔记本电脑的状态。
eBPF Kprobe,有些事做不到
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-08 1151
记录一段失败的可行性验证方案,历时两天多,探索出eBPF kprobe技术的边界。 要谈eBPF kprobe,那就得从Kprobes聊起。 Kprobes Kprobes内核调试技术,是Linux提供的一种能力。能在内核指令执行过程中动态断点,在不影响内核态指令正常运行的过程中,收集系统的性能数据。 Kprobes 内核调试技术 原理简单!内核函数方便利用指令向用户态暴露自己的内存地址。 (所有暴露的内核函数地址都在虚拟文件/proc/kallsyms上可找到!这是Kprobes利用的前提条件!) Kpr
如何使用ebpf kprobe探测内核函数
c_cppcoder的博客
11-29 1214
使用ebpf kprobe探测内核函数
使用 ebpf 深入分析容器网络 dup 包问题
flynetcn的专栏
09-10 719
| 导语我们日常工作中都会遇到内核网络相关问题,包括网络不通、丢包、重传、性能问题等等,排查和解决非常困难,而容器加重了这种复杂度,涉及2、3层转发,iptable,ipvs,namespace等,即使是网络专家,面对如此复杂的环境也非常的头大的。我们基于eBPF开发了skbtracer工具,不用修改内核代码,不用编写内核模块而能够使Linux主机网络变成一个彻底的白盒,能够看到一个数据包从产生发出去的全部过程,包括不限于数据流、namespace、路由信息跟踪,丢包原因,netfilter处...
eBPF示例:x86-64平台上的kprobe
qq_38232169的博客
01-02 887
讲解 libbpf-bootstrap 中 kprobe 在x86-64平台上的示例代码; 重点讲: BPF_KPROBE 宏展开; 低版本内核,不支持CO-RE,如何重新实现kprobe示例功能;
Linux eBPF:bcc 用法和原理初探之 kprobes 注入
RToax
04-11 3110
作者简介:Daemon.Wu, Linux 内核性能优化工程师,就职于某微小手机厂从事手机性能优化。座右铭:知行合一。 原创雄文:由泰晓读者投递的各类社区原创好文。 版权声明:本文最先发表于“泰晓科技” 微信公众号,欢迎转载,转载时请在文章的开头保留本声明。 目录 1. 安装和使用 2. 调用过程分析 2.1 通过bpf()系统调用加载 bpf 程序 2.2 通过perf_event_open系统调用启动 perf 性能分析 2.3 通过 perf_event 的 ioctl ...
eBPF内核实现之TRACING
qq_17045267的博客
07-06 2415
eBPF目前被广泛应用于Linux系统中的各个领域,包括网络、安全、性能、调测等。其中,内核trace算是eBPF比较早所支持的特性。最早的用于内核trace的eBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于trace的eBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
还能深入的介绍ebpf
06-01
2. eBPF Program Type:eBPF 程序有多种类型,包括 Socket Filter、Kprobe、Tracepoint、XDP 等。每种类型的程序都有不同的入口点和上下文环境,从而可以实现不同的功能。 3. eBPF JIT:eBPF JIT(Just-In-Time)是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值