3、深入了解BPF程序类型

于 2025-07-14 12:19:50 发布
阅读量55 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 掌握Linux可观测性与BPF高级编程 文章标签: BPF程序类型 Socket Filter Kprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/embedding5hiker/article/details/149703905

深入了解BPF程序类型

1. BPF程序基础概述

大多数BPF程序只能由具有root权限的用户加载到内核中。当运行一个BPF程序时,即使你没有对计算机进行任何操作,几秒钟后也会开始看到 “Hello, BPF World!” 消息。这是因为计算机后台运行的程序可能正在执行其他程序。当停止该程序时,消息将不再显示在终端中,并且一旦加载BPF程序的程序终止,BPF程序就会从虚拟机中卸载。

在很多情况下,我们希望BPF程序能够在后台运行,收集系统数据,而不受其他进程是否运行的影响。了解了BPF程序的基本结构后,下面来深入探讨可以编写的BPF程序类型,这些类型能让我们访问Linux内核中的不同子系统。

2. BPF程序类型分类

BPF程序类型虽然没有明确的分类,但可以根据其主要目的分为两类:
- 追踪类 :许多此类程序有助于更好地了解系统中正在发生的事情,能提供系统和硬件行为的直接信息,可访问特定程序的内存区域,提取运行进程的执行跟踪信息,还能直接访问每个特定进程分配的资源,如文件描述符、CPU和内存使用情况。
- 网络类 :这类程序允许检查和操作系统中的网络流量,可以过滤来自网络接口的数据包,甚至完全拒绝这些数据包。不同类型的程序可以附加到内核中网络处理的不同阶段,这各有利弊。例如,在网络驱动程序接收到数据包时就附加BPF程序,能更早控制数据包,但获取的信息较少;而在数据包即将传递到用户空间时附加程序,能获得更多信息以做出更明智的决策,但需要付出完全处理数据包的代价。

下面按照它们被添加到内核的时间顺序介绍一些常见的BPF程序类型:
|

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
7、深入理解 bpf() 系统调用:用户空间与 eBPF 程序的交互
gitlab7runner的博客
08-27 46
本文深入解析了 `bpf()` 系统调用在用户空间与 eBPF 程序及映射交互中的关键作用。从加载 BTF 数据、创建映射、加载程序,到修改映射和程序附加事件,详细分析了每个步骤的具体实现和注意事项。同时,介绍了引用计数机制对 eBPF 程序和映射生命周期管理的重要性。通过示例代码和操作步骤,帮助读者更好地理解如何使用 `bpf()` 系统调用进行 eBPF 开发。
一文搞懂所有bpf程序分类
zhjwang的博客
06-01 4658
bpf程序可以分为两大类:第一大类是tracing,可以帮助你更好的理解系统发生了什么,例如:cpu和内存的使用情况等。第二大类就是networking,主要可以帮助你检查和处理网络流量,它可以允许你filter或者reject网络数据包,不同的网络类型程序,可以发生在网络的不同阶段。 2.Socket Filter Programs BPF_PROG_TYPE_SOCKET_FILTER是第一个被添加到内核的程序类型。当你attach一个bpf程序socket上,你可以获取到被socket处理的所有数
rbperf:BPF中的实验性Ruby分析器
05-30
权限 rbperf 是一个实验性的 Ruby Profiler,运行在 Linux 的 eBPF VM(扩展的伯克利数据包过滤器)中 安装 您需要在系统中 、最新的 Linux 内核和 Python 3.6+。 要安装我们依赖的库: $ python3 setup.py install 用法 CPU 分析,在所有 CPU 中每 100 万个 CPU 周期采样一次: $ sudo bin/rbperf record --pid=12774 cpu Sampling every 1,000,000 CPU cycles Profiling pid: 12774 (Ruby 2.6.4) with addr: 0x7f6bd136a920 ^CReceived sigint, exiting... Processed 832 events, lost 0 events, lost stac
bpf性能分析
u013860464的博客
03-03 1096
bpf原理(Berkeley Packet Filter) 在操作系统内运行沙盒程序,安全效率的扩展操作系统内核的能力而不需要修改源代码或者加载内核模块。bpf不只是可以用来做性能分析,由于可以执行自己的jit编译的字节码,只要有bpf钩子(或探针)的地方都可以扩展功能(系统调用或者内核函数)。 1.将代码生成bpf字节码。 2.字节码被内核中的jit编译成二进制指令,不需要重启自动重新加载。 3.在attach点执行这段代码。 4.使用bpf map,用户空间可以共享内核空间的数据。 kprobes 钩
BPF环形缓冲区
RToax
02-21 3595
目录 BPF Ringbuf和BPF perfbuf 内存开销 活动订购 浪费工作和额外的数据复制 性能和适用性 给我看看代码! BPF perfbuf:bpf_perf_event_output() BPF ringbuf:bpf_ringbuf_output() BPF ringbuf:保留/提交API BPF ringbuf:数据通知控制 结论 现在有一个新的BPF数据结构可用:BPF环形缓冲区。它解决了BPF性能缓冲区(目前已成为从内核向用户空间发送数据的事实上的标准.
BPF之事件源
大吉
01-02 1667
基础 1. BPF和eBPF概念 BPF 原是 Berkeley Packet Filter(伯克利数据包过滤器)的缩写,1992诞生,用于网络包过滤。2014经过修改并入 Linux 内核主线,从此 BPF 变成了一个更通用的执行引擎,主要用于网络、可观测性和安全。将来可能会拓展到更多应用领域,比如控制 scheduler 的行为。 eBPF 是扩展后的 BPF,增加了更多的寄存器,增加 BPF 映射型存储(map)、设计成可即时编译 JIT 方式使用,不过官方缩写通常不带"e",内核中只有一个执行引擎
perf基本使用与简单介绍
李兆龙的博客
08-28 3167
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。 本作品 (李兆龙 博文, 由 李兆龙 创作),由 李兆龙 确认,转载请注明版权。 引言
统一kfunc与辅助函数定义:BPF程序调用函数的验证需求及方法
12-31
内容概要:本文详细探讨了BPF程序调用函数时的验证...阅读建议:本文深入剖析了BPF函数调用的内部细节,对于希望深入了解BPF机制和内核开发者非常有帮助。建议仔细阅读每部分的内容,并对照实际代码进行研究和实践。
系统级性能分析工具perf的介绍与使用
weixin_33797791的博客
01-04 2300
测试环境:Ubuntu16.04 + Kernel:4.4.0-31   系统级性能优化通常包括两个阶段:性能剖析(performance profiling)和代码优化。 性能剖析的目标是寻找性能瓶颈,查找引发性能问题的原因及热点代码。 代码优化的目标是针对具体性能问题而优化代码或编译选项,以改善软件性能。   在性能剖析阶段,需要借助于现有的profiling工具,如perf等。在代码优化阶段...
Linux超能力BPF技术介绍及学习分享
Docker的专栏
09-15 5961
近两年BPF技术跃然成为了一项热门技术,在刚刚结束的KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关...
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
学会使用perf性能分析工具--这一篇就够了
Muggle的博客
02-28 1万+
在功能上,perf很强大,可以对众多的软硬件事件采样,还能采集出跟踪点(trace points)的信息(比如系统调用、TCP/IP事件和文件系统操作。perf的代码和Linux内核代码放在一起,是内核级的工具。perf是在Linux上做剖析分析的首选工具。
perf性能瓶颈分析小试牛刀
漫不经心
06-10 1883
文档 https://perf.wiki.kernel.org/index.php/Tutorial#Live_analysis_with_perf_top 内核配置 CONFIG_PERF_EVENTS=y 编译 make -C tools/perf Auto-detecting system features: ... dwarf: [ OFF ] ... dwarf_getlocations: [ OFF ] ...
BPF程序类型
金荣的个人技术博客
03-09 1382
1 前言 根据BPF程序的主要目的,可以将其分为两类。一类是跟踪,一类是网络。 1.1 跟踪 跟踪类程序可以提供系统行为和系统硬件的直接信息。它们可以访问特定内存区域,从运行进程中提取执行跟踪信息。还可以直接访问为每个特定进程分配的资源,包括文件描述符、CPU和内存。 1.2 网络 网络类程序可以检测和控制系统的网络流量。它们可以对网络接口的数据包进行过滤,甚至可以完全拒绝数据包。可以将BPF程序附加到网络驱动程序接受数据包的网络事件上,也可以将BPF程序附加到数据包传递给用户空间的网络事件上。 2. BP
CheesyFabric_deepdive_analyst_7984_1764666209192.zip
12-03
CheesyFabric_deepdive_analyst_7984_1764666209192.zip
【卫星抗干扰】一种用于全球导航卫星系统反欺骗的空时融合方法【附MATLAB代码】.rar
12-03
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
遗传算法重新配置配电网络(IEEE 33和69总线系统.zip
最新发布
12-03
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
windows下定期自动清空某个文件夹(比如在公司电脑上定期清空微信的聊天记录)
12-03
windows下定期自动清空某个文件夹(比如在公司电脑上定期清空微信的聊天记录)
网络爬虫基于Python的豆瓣电影Top250数据采集:使用Requests与BeautifulSoup实现网页内容解析
12-03
内容概要:本文通过一个简单的Python爬虫实例,演示了如何使用requests库发送HTTP请求,获取豆瓣电影Top250页面的数据,并利用BeautifulSoup解析HTML内容,提取出中文电影名称。代码实现了基本的网页抓取与数据清洗流程,包括设置请求头模拟浏览器行为以应对简单反爬机制、解析响应文本以及过滤非中文片名,最终输出纯净的电影标题列表。; 适合人群:具备Python基础语法知识,对网络爬虫感兴趣的初学者或刚入门的数据采集学习者;适合学习Web数据获取的基本流程和技术栈。; 使用场景及目标:①学习如何使用requests发起网络请求并携带请求头信息;②掌握BeautifulSoup进行HTML结构化解析的方法;③理解网页内容提取与数据过滤的基本逻辑,为后续深入学习爬虫框架(如Scrapy)打下基础。; 阅读建议:建议读者在本地环境中配置好相关库(requests、BeautifulSoup),动手运行并调试代码,尝试修改选择器或目标网站以加深理解,同时注意遵守网站的robots协议,合理控制请求频率。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值