1、探索 BPF:强大的 Linux 内核工具

最新推荐文章于 2025-11-22 11:51:39 发布
最新推荐文章于 2025-11-22 11:51:39 发布
阅读量47 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 掌握Linux可观测性与BPF高级编程 文章标签: BPF eBPF Linux内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/embedding5hiker/article/details/149703901

探索 BPF:强大的 Linux 内核工具

1. BPF 简介

BPF(Berkeley Packet Filter)最初是为了高效过滤网络数据包而开发的。后来,它发展成为 eBPF(Extended BPF),功能得到了极大扩展,不仅可用于网络过滤,还能用于系统跟踪、性能分析等多个领域。在 Linux 内核社区,BPF 正逐渐成为替代 iptables 的方案,为容器网络、负载均衡等场景带来了更高效的解决方案。

2. 运行第一个 BPF 程序
  • 编写 BPF 程序 :编写 BPF 程序通常使用 C 语言,结合内核提供的库函数。以下是一个简单的 BPF 程序示例: 
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

SEC("socket_filter")
int socket_filter_prog(struct __sk_buff *skb) {
    return 1;
}

char _license[] SEC("license") = "GPL";
  • BPF 程序类型
    | 程序类型 | 描述 |
    | — | — |
    | Socket Filter Programs | 用于过滤网络数据包 |
    | Kprobe Programs | 用于跟踪内核函数调用 |
    | Tracepoint Programs | 用于跟踪
订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
初识 BPF:从 Hello World 开始的内核编程之旅
m0_67544708的博客
05-22 1012
BPFLinux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
Linux 内核观测技术BPF
0 error(s)
03-12 3038
BPF允许任何人在Linux内核之中执行任意的代码,这听起来的十分危险,但是由于有着使得这一过程变的相当的安全。BPF内核的一个模块,所有的BPF程序都必须经过它的审查才能够被加载到内核之中去运行。验证器执行的就是对BPF虚拟机加载的代码进行。这一步的目的是保证程序可以按照预期去结束,而不会产生死循环拜拜浪费系统资源。验证器会创建一个DAG(有向无环图),将BPF程序的每个执行首位相连之后去执行DFS(深度优先遍历),当且仅当每个路径都能达到DAG的底部才会通过验证。之后其会执行。
Linux kernel 4.20 BPF 整数溢出 复现
A13837377363的博客
10-29 418
bsauce大佬是用'xchg eax,esp',但是这需要观察寄存器,而这个内核镜像'add rsp'这个gadget很足,所以我还是采用pt_regs这种打法。所用的是kmalloc-256,考虑覆盖下一个堆块。很明显就是覆盖下一个bfp_queue_stack的函数表指针,没开smap,所以可以在用户空间伪造。rbp这个寄存器不能修改,不然会报错说0xa00000010这个地址不能访问,r15能不能访问没去试,毕竟寄存器已经够用了。说实话,看bsauce大佬的github,BPF模块的漏洞貌似挺多。
Linux内核BPF学习1
bcbobo21cn的专栏
03-06 337
随着 BPF 追踪系统(基于时间采样)最后一个主要功能被合并至 Linux 4.9-rc1 版本的内核中,现在 Linux 内核拥有类似 DTrace 的原生追踪功能。DTrace 是 Solaris 系统中的高级追踪器。对于长期使用 DTrace 的用户和专家,这将是一个振奋人心的里程碑。现在在 Linux 系统上,你可以在生产环境中使用安全的、低负载的定制追踪系统,通过执行时间的柱状图和频率统计等信息,分析应用的性能以及内核。 用于 Linux 的追踪项目有很多,但是这个最终被合并进 Linux...
Linux 中的 DTrace :BPF 进入 4.9 内核
摄心神,致虚极,守静笃
12-20 2440
Linux 中的 DTrace :BPF 进入 4.9 内核 编译自:http://www.brendangregg.com/blog/2016-10-27/dtrace-for-linux-2016.html 作者: Brendan Gregg 原创:LCTT https://linux.cn/article-8038-1.html 译者: GitFuture 本文地址
2、探索BPF:从基础到首个程序运行
embedding5hiker的博客
07-13 70
本文详细介绍了BPF(伯克利数据包过滤器)的起源、发展历程及其架构,并指导读者编写并运行第一个BPF程序。BPF作为一种强大内核技术,广泛应用于系统可观测性、网络监控、性能分析和安全增强等领域。文章还探讨了BPF程序类型、验证器和映射的核心机制,以及其在实际项目中的应用流程,为读者全面了解和使用BPF提供了基础到实践的完整指南。
1探索 BPFLinux 可观测性的强大工具
最新发布
star的博客
11-22 3
本文深入探讨了BPF(Berkeley Packet Filter)作为Linux系统中强大的可观测性工具,涵盖了其历史、架构、程序类型、映射机制、追踪能力及实际应用。文章介绍了BPF在数据包过滤、性能监控、安全控制(如Seccomp和LSM)中的作用,并展示了如何通过bpftrace、BPFTool等工具进行开发与调试。同时,还涉及XDP高速处理、BTF类型信息、尾调用、并发访问控制、BPF虚拟文件系统以及用户空间静态跟踪点(USDT)等高级特性,结合Sysdig、Flowmill等案例,展望了BPF在云
深入探索BPF工具:从内核到容器和Hypervisor的性能分析
# 深入探索BPF工具:从内核到容器和Hypervisor的性能分析 ## 1. BPF工具内核分析中的应用 ### 1.1 锁相关工具 - **mlock**:用于记录`mutex_lock()`和`mutex_lock_interruptible()`的执行时间,仅在返回值表示...
Linux中的DTrace:BPF进入4.9内核
weixin_34329187的博客
08-15 333
随着 BPF 追踪系统(基于时间采样)最后一个主要功能被合并至 Linux 4.9-rc1 版本的内核中,现在 Linux 内核拥有类似 DTrace 的原生追踪功能。DTrace 是 Solaris 系统中的高级追踪器。对于长期使用 DTrace 的用户和专家,这将是一个振奋人心的里程碑!现在在 Linux 系统上,你可以在生产环境中使用安全的、低...
非常神奇的Linux技术:BPF
msbjy的博客
04-27 3941
近两年BPF技术跃然成为了一项热门技术,在KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关于BPF技术的中文分享,分别来自腾讯和PingCAP,涉足网络优化和系统追踪等领域。在中文社区里,包括阿里巴巴、网易、字节跳动等国内第一梯队IT公司也越来越关注BPF这项新技术。 一、前言 作为一个coder,时不时会遇到性能问题,有时候明明看资源,cpu,io都占用不高,程序的性能就是上不去,真有一种想进入到计算机里面看看到底发
linux bpf.h漏洞,Linux kernel BPF模块的相关漏洞分析
weixin_29058331的博客
05-17 366
今年pwn2own上的linux kernel提权漏洞是linux kernel bpf模块的漏洞 ---CVE-2020-8835,更早听说过的与bpf相关的漏洞是CVE-2017-16995。然后在上海参加GeekPwn 云靶场线下挑战赛的时候,也是一道bpf相关的内核题。我和我们队长通宵学习相关知识,最后拿到了这道题全场唯一的一血。 然后紧接着在111号,又有国外研究者爆出了bpf的又一个...
透视Linux内核 神奇的BPF
02-26 2005
一 前言对于第一次BPF的介绍,只是简单介绍了BPF,写了一个没啥用的例子,如何利用BCC写一个有点用的程序以及BCC中有哪些牛逼的工具,是本篇需要介绍的。二 BPF程序开发一般流程再来回...
Linux BPF技术深度解析(1):Hello World实现
07-03 1204
BPF(Berkeley Packet Filter)是Linux内核中的高效技术,最初用于网络数据包过滤,现已扩展到系统监控、安全等领域。它通过在内核态运行虚拟机实现高性能的数据处理,核心优势包括:避免内核态/用户态切换、通过验证器保证安全性、支持动态加载。文章详细介绍了BPF的工作原理(程序加载、数据包过滤、数据交互)、环境搭建方法(Ubuntu系统部署、内核源码获取)以及一个监控execve系统调用的示例程序。该示例展示了如何编写BPF程序(C语言编译为BPF字节码)、加载到内核跟踪点。
使用BPF跟踪Linux内核
金荣的个人技术博客
03-11 2339
1. 前言 我们可以使用BPFLinux内核进行跟踪,收集我们想要的内核数据,从而对Linux中的程序进行分析和调试。与其它的跟踪技术相比,使用BPF的主要优点是几乎可以访问Linux内核和应用程序的任何信息,同时,BPF对系统性能影响很小,执行效率很高,而且开发人员不需要因为收集数据而修改程序。 本文将介绍保证BPF程序安全的BPF验证器,然后以BPF程序的工具集BCC为例,介绍常见BPF程序,具体为kprobes和tracepoints类型的BPF程序的使用及程序编写示例。 2. BPF验证器 BPF
Linux内核BPF的简单工作原理
weixin_30746117的博客
04-12 741
BPF用于很多的抓包程序,在linux中,一般内核自动编译进了af_packet这个驱动,因此只需要在用户态配置一个PACKET的socket,然后将filter配置进内核即可,使用setsockopt的SO_ATTACH_FILTER 命令,这个filter是在用户空间配制的,比如tcpdump应用程序,tcpdump和内核BPF过滤器的关系类似iptables与netfilter的关系,只是N...
eBPF系列学习(1)-什么是内核BPFeBPF
西京刀客
08-23 6092
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
Linux bpf 1.1BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
探索bpftrace:Linux 5.3+版本的俄罗斯方块游戏
bpftrace是一个基于Linux eBPF(Extended Berkeley Packet Filter)的高级跟踪语言和工具,它允许用户编写小型程序来动态追踪Linux内核和应用程序的运行。eBPFLinux内核中一个强大的特性,它允许在不改变内核源代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值