JUSTtDOIt的博客

原创 浅析ebpf

bpf最早是用于在用户空间对内核中捕获的网络数据包进行高效过滤。典型应用是tcpdump，利用 BPF 指令编写过滤表达式，只捕获感兴趣的数据包，减少用户态与内核态之间的开销。相比较于传统的数据包过滤技术，bpf有如下两个区别：第一，内核态引入一个新的虚拟机，所有指令都在内核虚拟机中运行。第二，用户态使用 BPF 字节码来定义过滤表达式，然后传递给内核，由内核虚拟机解释执行。这就使得包过滤可以直接在内核中执行，避免了向用户态复制每个数据包，从而极大提升了包过滤的性能，进而被各大操作系统广泛接受。