【BPF】BPF和eBPF是什么?

已于 2022-06-19 10:27:15 修改
阅读量1.6k 收藏
点赞数
分类专栏: BPF 文章标签: linux
于 2022-06-19 09:46:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgl307293845/article/details/125354731
版权

BPF

        BPF是Berkeley Packet Filter(伯克利数据包过滤器)的缩写,这项冷门技术诞生于1992年,其作用是提升网络数据包过滤工具的的性能。2013年,Alexei Starovoitov向Linux社区提交了重新实现BP的内核补丁,经过他和Daniel Borkmann的共同完善,相关工作在2014年正式并入Linux内核主线。此举将BPF变成了一个更通用的执行引擎,其可以完成多种任务,包括用来创建先进的性能分析工具。

        BPF提供了一种在各种内核事件和应用程序事件发生时运行一小段程序的机制。该技术将内核变成完全可编程,允许用户定制和控制它们的系统,以解决现实问题。

        BPF是一项灵活而高效的技术,由指令集、存储对象和辅助函数等几部分组成。由于它采用了虚拟指令集规范,因此也可将它视作一种虚拟机实现。这些指令由Linux内核的BPF运行时模块执行,具体来说,该运行时模块提供两种执行机制:一个解释器和一个将BPF指令动态转换为本地化指令的即时(JIT)编译器。在实际执行之前,BPF指令必须先通过验证器(verifer)的安全检查,以确保BPF程序自身不会崩溃或者损坏内核。目前BPF的三个主要有应用领域分别是网络、可观测性和安全。

eBPF

        扩展后的BPF通常缩写为eBPF。eBPF中增加了更多寄存器,并将字长从32位增加到了64位,创建了灵活的BPF映射型存储(map),并允许调用一些受限制的内核功能。同时eBPF被设计为可以使用即时编译(JIT),机器指令与寄存器可以一对一映射。这就使得先前的处理器本地指令优化技术,可以应用到BPF之上。BPF验证器也进行了更新以便支持这些扩展,而且能够拒绝任何不安全的代码。

BPF Vs eBPF

对比项经典BPF扩展BPF
寄存器数量2个;寄存器A和X10个;R0~R9,此外R10是只读的帧指针寄存器
寄存器宽度32位64位
存储16个内存槽位:M[0~15]512字节大小的栈空间,外加无限制的映射型存储
受限制的内核调用非常受限,JIT专用可用,通过bpf_call指令
支持的事件类型网络数据包、sccomp-BFP网络数据包、内核函数、用户态函数、跟踪点、用户态标记、PMC

        在最早的代码补丁中,这项技术被简称为eBPF(extended BPF),不过Alexiei随后又将它改回BPF。

wellnw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XDP/eBPFBPF
烟云的计算
07-14 7949
目录 文章目录目录BPFtcpdump BPF 的运行架构BPF 的实现原理eBPF 诞生的背景eBPFeBPF 与 cBPF 的区别eBPF 的逻辑框架eBPF 的整体设计eBPF JIT CompilereBPF VerifiereBPF HelperseBPF HookseBPF MapseBPF Tail and Function Calls BPF 1992 年,Steven McCanne 和 Van Jacobson 发表了名为《BSD Packet Filter(数据包过滤):一种新的用户级
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF ...两相共通libelf和zlib库go-conntracer-bpf中包含Linux内核功能go-conntracer-bpf利用了Linux内核的一些最新功能。 内核版本4.18中的BP
BPF-performance.rar
04-01
linux系统观测BPF
eBPF学习 - 入门
成长之路
04-17 2209
BPFeBPF是什么? BPF是Berkeley Packet Filter(伯克利数据包过滤器)得缩写,诞生于1992年,其作用是提升网络包过滤工具得性能,并于2014年正式并入Linux内核主线。 BPF提供一种在各种内核事件和应用程序事件发生时允许运行一小段程序的机制,使得内核完全可编程,允许用户定制和控制他们的系统以解决相应的问题。 BPF是一项灵活而高效的技术,由指令集、存储对象和辅助函数等几部分组成。其采用了虚拟指令集规范,运行时BPF模块提供两个执行机制:解释器和即时编译器(JIT)。在实际
eBPF学习笔记(一)—— eBPF介绍&内核编译
qq_41988448的博客
11-11 3260
本篇将介绍eBPF技术,以及如何编译高版本Linux内核源码中的eBPF示例代码并用其编写自定义例程。
linux编译支持ebpf,Linux内核功能eBPF入门学习(一):BPFeBPF、BCC等基本概念
weixin_32778881的博客
05-10 749
Linux内核观测技术BP目录说明eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核...
bpfebpf
saturn254的专栏
06-14 271
https://blog.csdn.net/jus3ve/article/details/78441239 berkeley packet filter extended berkeley packet filter XDP eXpress data path 不错的网站: https://blog.csdn.net/F8qG7f9YD02Pe/article/details/79815702 全面介绍bpf,有一系列的链接 英文原文:https://qmonnet.gith...
BPFeBPF
weixin_57722445的博客
07-19 149
dsds
BPF and eBPF linux
weixin_34128411的博客
01-04 459
http://www.brendangregg.com/blog/2016-10-21/linux-efficient-profiler.html http://www.brendangregg.com/blog/2016-10-27/dtrace-for-linux-2016.html http://www.brendangregg.com/blog/2016-12-27/linux-tra...
eBPF系列学习(1)-什么是内核BPFeBPF
西京刀客
08-23 5011
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
Linux内核project导论——网络:Filter(LSF、BPFeBPF
weixin_34128237的博客
07-13 576
概览     LSF(Linux socket filter)起源于BPF(Berkeley Packet Filter)。基础从架构一致。但使用更简单。LSF内部的BPF最早是cBPF(classic)。后来x86平台首先切换到eBPF(extended)。但因为非常多上层应用程序仍然使用cBPF(tcpdump、iptables),而且eBPF还没有支持非常多平台,所以内...
BPF Performance Tools
02-28
1.1 BPFeBPF是什么 1 1.2 跟踪、嗅探、采样、剖析和可观测性分别是什么 2 1.3 BCC、bpftrace和IO Visor 3 1.4 初识BCC:快速上手 4 1.5 BPF跟踪的能见度 7 1.6 动态插桩:kprobes和uprobes 8 1.7 静态插桩:...
BPF PerformanceTools.epub
08-21
You’ll learn how to use BPF (eBPF) tracing tools to analyze CPUs, memory, disks, file systems, networking, languages, applications, containers, hypervisors, security, and the Linux kernel. You’ll ...
Brendan Gregg-BPF Performance Tools - Brendan Gregg.mobi
08-10
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
BPF (Berkeley Packet Filter)的简单介绍(一)
chanimei_11的博客
04-24 6958
1. 介绍 过去在UNIX 系统上提供一种为监控网络而设计的用户层工具,他需要将数据包从kernel 拷贝到user 空间,由于监控工具需要抓取的目标数据大部分时候不是所有数据,这就需要一个将拷贝数据最小化的内核代理包过滤器(Packet Filter),最初在SunOS 上采用NIT(Network Interface Tap), 它是一种RISC CPU上基于内存栈的次最优过滤器,后面BPF 采用了一种基于寄存器的过滤器,其过滤计算效率比基于协议栈的方式提高了20倍,...
BPFeBPFeBPF,BCC:内核事件跟踪/应用性能调优/流量控制的利器
ChengChengCheng的博客
03-21 662
Linux的性能优化,eBPF对于内核的开发, 以及性能分析无疑是一大利器, man bpf BPF(Berkeley Packet Filter) BPFLinux中的发展大致经历三个阶段: Linux 2.1.75最初的实现基于原有的socket接口, 被称为Linux Socket Filter(LSF) Linux 3.0版本中,在BPF中加入JIT(Just-In-Time Compiler), 提升BPF的性能与速度 Linux 3.15开始将BPF扩展成为通用的模块, BPF不仅可用于数据包
了解IO Visor的技术基石BPFeBPF (by quqi99)
技术并艺术着
11-13 5884
作者:张华  发表于:2015-11-13版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明(http://blog.csdn.net/quqi99 )程序员所接触的应用项目大都是基于流式套接字(SOCK_STREAM)和数据报式套接字(SOCK_DGRAM)。原始套接字IPPROTO_RAW允许用户旁路TCP/IP栈实现IP层及其以上协议层的通信;PF_PAC
BPF介绍
Phantasm的博客
04-23 2012
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to zhihao.tao@outlook.com 文章目录1. 概述1.1 发展1.2 优势1.3 限制1.4 基于eBPF.
BPFeBPF、XDP 和 Bpfilter……这些东西是什么?
极客重生
08-03 1695
Linux 内核3.15 开始,您可能一直在关注内核社区中扩展的 Berkeley Packet Filter (eBPF) 的开发,或者您可能仍然将 Berkeley Packet ...
linux系统eBPF是什么
最新发布
07-20
eBPF(Extended Berkeley Packet Filter)是一种在Linux内核中执行的虚拟机技术,用于提供高性能的网络包过滤和系统跟踪功能。它可以动态地加载和执行一组特定的指令,以对网络数据包进行处理和分析。eBPF旨在提供一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wellnw

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值