frankzfz的专栏

本篇文章通过一个案例，对systemtap、BPF/BCC、bpftrace三种不同类型的内核探测工具进行剖析和对比。这个程序就是简单对icmp_rcv函数，收到icmp报文，打印出对应的源IP地址和目的IP地址。

当我们使用127.0.0.1的localhost地址，在本地机器上进行发送和接受数据时，整个数据的发送还是要经过完整的内核协议栈。Cilimu的网络借用bfp的sockmapbypass提高整个网络的性能，参考《How to use eBPF for acceleratingCloud Native application》文章中的示例，在centos7.6平台上进行验...

通过对内核中相关的文件进行分析， 在kernel/bpf/syscall.c文件中，我们可以看到其中提交的一个commit，去掉对bpf_prog_load的tracepoint，使用git show 4d220ed 显示下面的信息。》中第4章节中的案例中，有一个tracepoint bpf_prog_load的实例，在我自己的云主机上，执行不通过。通过上面的查看，是在内核4.18之后的内核删除了。上面的程序在bpf_prog_load的函数中添加一个添加一个tracepoint点。

前端工具通常作为使用者，在跟踪内核或者观测内核时使用的命令，比如：bpftrace BCC 等工具，内核态框架是指支持上述前端工具的内核框架，比如systemtap的内核模块、BPF的字节码等。Linux trace技术发展已久，经常看到很多的专业术语，从perf LTTng systemtap bpftrace tracepoint trace BCC bpf ebpf等词汇，这些关键的词汇有着怎样的联系和关联，通过下面的这个图可以直观的认识到这几种关键技术的内在联系。：BPF是可针对内核可编程的，