epbf原理篇 -------- epbf编程语言

已于 2023-12-31 09:39:57 修改
阅读量1.4k 收藏 19
点赞数 26
分类专栏: 性能分析优化 文章标签: ebpf linux bcc tracepoint kprobe
于 2023-12-31 09:33:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/happyAnger6/article/details/135245833
版权
本文详细介绍了eBPF(Extended Berkeley Packet Filter)编程语言的系统调用、数据结构,特别是eBPF maps和相关接口。讨论了kprobes、uprobes、tracepoint和raw tracepoint等事件,以及eBPF程序的编写和加载流程。通过学习,读者可以了解到如何使用C语言编写eBPF程序,以及如何利用eBPF进行性能分析、追踪和安全等任务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 提示:本文约1.6万字

通过学习此文,你可以了解到以下内容:

  1. Linux是如何通过新增bpf系统调用来支持ebpf功能的
  2. ebpf提供了哪些编程接口和编程便利
  3. 如何在不使用bcc,bpftrace等高级工具的情况下,使用C语言来编写ebpf程序

正如上文中提到Linus对epbf的评价
"BPF has actually been really useful, and the real power of it is how it allows people to do specialized code that isn't enabled until asked for"

ebpf的强大的可编程性几乎可以最大程度地的满足我们性能分析、追踪、安全等各种需要。
既然类似于一门编程语言,我们就可以从学习一门编程语言的角度来学习它。看看ebpf都提供给我们哪些编程便利.

编程语言

1. 系统调用

Linux为了支持ebpf程序的开发及加载,使用下面的系统调用实现.

  #
了解本专栏 订阅专栏 解锁全文 超级会员免费看
1.3 eBPF的工作原理初探
从0到1,突破自己
05-29 878
上一节提到过,eBPF程序是面向BPF体系结构指令集编写的,它并不直接运行在Linux内核中,我们可以理解为它是运行在eBPF虚拟机,由eBPF虚拟机来执行eBPF字节码,就像java运行在jvm一样。我们用一张原理图来看下eBPF程序的编译,加载,验证,钩子,映射等结点。如上是详细的eBPF的工作流程,首先eBPF程序是一个C语言编写的代码源文件bpf_prog.c,通过LLVM将源文件编译成bpf_prog.o对象文件(ELF)。
BPF可移植性 CO-RE (Compile Once – Run Everywhere)
happyAnger6的专栏
07-01 280
BPF CO-RE的目标是帮助BPF开发人员以简单的方式解决简单的可移植性问题(如读取结构字段),并使其仍然有可能(如果不是微不足道的话,也是可以容忍的)解决复杂的可移植问题(如不兼容的数据结构更改、复杂的用户空间控制条件等)。这允许BPF开发人员停留在“编译一次–到处运行”的范式中。这是通过组合几个BPF CO-RE构建块来实现的,如本篇文章的内容所述:vmlinux.h消除内核头文件依赖字段重定位(字段偏移、存在、大小等)使从内核提取数据变得可移植。
eBPF介绍
ss810540895的博客
03-22 1515
当网卡接收到数据包的时候,因为设置的混杂模式,那么就会额外的拷贝一份新的数据包,然后在根据BPF的代码进行过滤,将符合规则的数据包接收到socket套接字的接收队列里面。因而,早期的BPF被称为cBPF,扩展后的BPF被称为eBPF。JIT:just in time 的缩写,我们将编译好的BPF指令集需要在虚拟机上执行,虚拟机需要一条一条的解析为本机机器码才能够执行,所以这个执行效率会很低,但是如果我们的处理器有了JIT就能够将我们BPF直接直接编译为能够在机器直接执行的机器码,这样大大提高了执行的速度。
linux跟踪技术之ebpf
蚁景网安学院
12-29 1272
eBPF是一项革命性的技术,起源于 Linux 内核,可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能,而无需更改内核源代码或加载内核模块。
ebpf简介
qq_27749613的博客
05-04 1万+
@TOC[] 什么是eBPF eBPF 是什么呢? 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。顾名思义BPF来源于伯克利大学, 最早应用于网络数据包过滤器,它比当时最先进的抓包技术快20倍,其主要得利于它的两个设计: 内核态引入一个新的虚拟机,所有指令都在内核虚拟机中运行。 用户态使用 BPF 字节码来定义过滤表达式,然后传递给内核
你应该给eBPF一个机会
eBPF_Kindling的博客
03-28 468
通过这篇博客,我想要和读者探讨两个问题,一是为什么说eBPF是一项很重要的技术,二是为什么在前段时间它引发了我的兴趣。在这里,我并不想去探讨eBPF的工作原理,我只想去解释eBPF拥有超高热度的背后原因。在之后的博客文章中,我将更深入地探讨这项技术和它的工具。 在我说明对它感兴趣的理由之前,我想给你一个关于eBPF的基本介绍。如果你已经对eBPF有了广泛的了解,可以跳过这一节,转到下一节。 eBPF背后的思想是,我们有一个运行在Linux内核中的虚拟机,我们可以发送代码让它执行。由于某种原因,称它为虚拟
Markdown 高效建站指南 Hugo/Typora/Chevereto/Docker/Nginx
dwh0403的专栏
12-01 1476
Markdown 高效建站指南 Hugo/Typora/Chevereto/Docker/Nginx 2020年11月7日 1. 概览 本系列博客使用 Markdown 编写,建站工具为 Hugo,Markdown 编辑器采用 Typora,图床使用自建的 Chevereto,生产环境部署采用 Nginx + Docker 。 最终形成的效果是可以对于本地的截图在 Typora 粘贴过程中自动上传到 Chevereto 搭建的图床,极大地方便了图文排列的 Markdown 问题,由于采用自建图床也.
ebpf_exporter:Prometheus导出程序,用于自定义eBPF指标
05-06
epbf_exporter依赖libbcc来检测内核,因此需要在系统上安装它。 请咨询bcc文档: 请注意,系统上的bcc版本与gobpf之间存在依赖关系, gobpf是Go的库,用于与libbcc进行libbcc 。 如果看到指向参数不匹配的错误,则...
Cilium核心技术-eBPF XDP&TC介绍
weixin_38299404的博客
07-16 1708
eBPF 是一项革命性技术,它能在内核中运行沙箱程序(sandbox programs), 而无需修改内核源码或者加载内核模块。eBPF的一个重要特性是能够使用高级语言(如C)来实现程序。LLVM有一个eBPF后端,用于编辑包含eBPF指令的ELF文件,前端(如clang)可以用于生成程序。在一个后端转换为字节码后,使用bpf()系统调用加载bpf程序,并校验安全性。
eBPF学习笔记(一)—— eBPF介绍&内核编译
lzyddf的博客
11-11 4376
本篇将介绍eBPF技术,以及如何编译高版本Linux内核源码中的eBPF示例代码并用其编写自定义例程。
linux ubuntu 20.04安装epbf bcc 工具包
坚持的力量
11-06 4152
这个工具包可真不好安装,费了好大的功夫,而且折腾了好几个版本的操作系统才弄好。 首先我也不推荐用命令行安装的方式安装,简直太坑了,一方面有时候找不到对应的版本,有时候就算是安装好了,但是用的时候又说BPF模块无法编译 首先下载ubuntu 20.04 镜像 ubuntu 20.04 阿里云 然后把系统安装好 通过源码对bcc工具包进行编译安装 VER=trusty echo "deb http://llvm.org/apt/$VER/ llvm-toolchain-$VER-3.7 main deb-src
ebpf深入理解和应用介绍
热门推荐
网络安全研究
04-07 2万+
1. ebpf概述 1.1 ebpf发展历史 BPF,及伯克利包过滤器Berkeley Packet Filter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核崩溃或者安全问题 —— 并附着到一个套接字上,接着在每个接...
Linux上安装Miniconda
最新发布
qq_45688164的博客
05-24 524
本文介绍了在Linux系统上安装Anaconda或Miniconda的详细步骤。主要内容包括:1) 版本选择(推荐轻量级的Miniconda);2) 下载安装脚本;3) 运行安装并初始化;4) 配置conda(如修改默认通道);5) 创建虚拟环境;6) 卸载方法。还提供了常见问题解决方案,如命令未找到、下载速度慢等。安装流程推荐优先使用Miniconda,通过创建虚拟环境实现包管理的便捷性和环境隔离。
ubuntu下实时检测机械硬盘和固态硬盘温度
前行居士
05-20 555
本文介绍了如何在Linux系统中使用smartmontools工具监控硬盘温度。首先,通过sudo apt update和sudo apt install smartmontools命令安装工具。接着,使用sudo smartctl -a /dev/sda查看硬盘详细信息,包括温度。虽然smartctl无法实时显示温度,但可以通过watch命令定期查看,如watch -n 10 "sudo smartctl -a /dev/sda | grep Temperature_Celsius",
Linux 搭建FTP服务器(vsftpd)
Stringzhua的博客
05-22 1214
或者修改/etc/selinux/config文件,将SELINUX=enconfig改为SELINUX=disabled,然后重启系统。在Linux上查看,发现已经有了scptoserver.txt文件,说明文件复制到服务器成功!默认即可,如果有需要可以修改/etc/ssh/sshd_config文件。scp 本地文件 user@远程服务器IP:/远程目录/在win10使用git的bash窗口上传文件到Linux。scp root@远程服务器ip:/远程文件 本地目录/
部署springBoot项目的脚本-linux
zilin-lynn的博客
05-19 930
说明,maven打包时,可以将脚本打包跟jar包在同一个目录。
RHCSA Linux 系统 硬盘管理
Y_P_W的博客
05-23 738
1扇区 = 512B,分区 = 多个扇区 ×512B查看硬盘命令~]# lsblk。
Linux中的tty与login之间的关系
zyqash的博客
05-23 521
项目login角色启动登录界面、捕获用户名用户身份认证,启动用户 shell运行时机系统启动后由 systemd/init 启动由agetty调用,完成认证替换关系agetty被login替换login被用户的 shell 替换如果你使用ps或pstree查看,会看到agetty和login不会同时存在于同一个终端上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

self-motivation

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值