eBPF 从入门到入门

最新推荐文章于 2024-05-22 17:48:48 发布
原创 最新推荐文章于 2024-05-22 17:48:48 发布 · 340 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux #运维

本文介绍了eBPF(Extended Berkeley Packet Filter)的基础知识,包括其起源、与cBPF的区别,以及在现代操作系统中的重要作用。eBPF作为一个通用执行引擎,广泛应用于性能分析、网络过滤、内核调试等多个领域。文章详细阐述了eBPF的工作原理、架构,如虚拟机、指令集、字节码、hook、map和辅助函数等,并列举了BCC Tools、Cilium和eBPF Exporter等实际应用案例。此外,还提及了eBPF编程工具,如libbpf和bpftrace,以及其对内核模块的替代优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

eBPF 简介

什么是 BPF

BPF(Berkeley Packet Filter),中文翻译为伯克利包过滤器,是类 Unix 系统上数据链路层的一种原始接口,提供原始链路层封包的收发。BPF 在数据包过滤上引入了两大革新:

  • 基于虚拟机 (VM) 设计,可以有效地工作在基于寄存器结构的 CPU 之上。
  • 应用程序使用缓存只复制与过滤数据包相关的数据,不会复制数据包的所有信息。这样可以最大程度地减少BPF 处理的数据。

tcpdump就是采用 BPF 作为底层包过滤技术,我们可以在命令后面增加-d来查看tcpdump过滤条件的底层汇编指令。

$ tcpdump -d 'ip and tcp port 8080'
(000) ldh      [12]
(001) jeq      #0x800           jt 2	jf 12
(002) ldb      [23]
(003) jeq      #0x6             jt 4	jf 12
(004) ldh      [20]
(005) jset     #0x1fff          jt 12	jf 6
(006) ldxb     4*([14]&0xf)
(007) ldh      [x + 14]
(008) jeq      #0x1f90          jt 11	jf 9
(009) ldh      [x + 16]
(010) jeq      #0x1f90          jt 11	jf 12
(011) ret      #262144
(012) ret      #0

什么是 eBPF

2014 年初,Alexei Starovoitov 实现了 eBPF(extended Berkeley Packet Filter)。经过重新设计,eBPF 演进为一个通用执行引擎,可基于此开发性能分析工具、软件定义网络等诸多场景。eBPF 最早出现在 3.18 内核中,此后原来的 BPF 就被称为经典 BPF,缩写 cBPF(classic BPF),cBPF 虚拟机只在内核中可用,用于过滤网络数据包,与用户空间程序没有交互,因此被称为 “包过滤器”,而 eBPF 从内核空间扩展到用户空间,这也成为了 BPF 技术的转折点。

cBPF 已经基本废弃,现在,Linux 内核只运行 eBPF,内核会将加载的 cBPF 字节码透明地转换成 eBPF 再执行。没有特别说明,现在的 BPF 一般指的是 BPF 这项技术,而不再是任何首字母缩写词。

cBPF 和 eBPF 对比

eBPF 新的设计针对现代硬件进行了优化,所以 eBPF 生成的指令集比旧的 BPF 解释器生成的机器码执行得更快。扩展版本也增加了虚拟机中的寄存器数量,将原有的 2 个 32 位寄存器增加到 10 个 64 位寄存器。由于寄存器数量和宽度的增加,开发人员可以使用函数参数自由交换更多的信息,编写更复杂的程序。总之,这些改进使 eBPF 版本的速度比原来的 BPF 提高了 4 倍。

维度 cBPF eBPF
内核版本 Linux 2.1.75(1997年) Linux 3.18(2014年)[4.x for kprobe/uprobe/tracepoint/perf-event]
寄存器数目 2个:AX 10个:r0r9,另外r10是一个只读的帧指针
寄存器宽度 32位 64位
存储 16 个内存位: M[0–15] 512 字节堆栈,无限制大小的 “map” 存储
限制的内核调用 常有限,仅限于 JIT 特定 有限,通过 bpf_call() 指令调用
目标事件 数据包、 seccomp-BPF 数据包、内核函数、用户函数、跟踪点 PMCs 等

eBPF 与内核模块对比

eBPF 相比于直接修改内核和编写内核模块提供了一种新的内核可编程的选项。eBPF 程序架构强调安全性和稳定性,看上去很像内核模块,但与内核模块不同,eBPF 程序不需要重新编译内核,并且可以确保 eBPF 程序运行完成,而不会造成系统的崩溃。

维度 Linux 内核模块 eBPF
kprobes/tracepoints 支持 支持
安全性 可能引入安全漏洞或导致内核 Panic 通过验证器进行检查,可以保障内核安全
内核函数 可以调用内核函数 只能通过 BPF Helper 函数调用
编译性 需要编译内核 不需要编译内核,引入头文件即可
运行 基于相同内核运行 基于稳定 ABI 的 BPF 程序可以编译一次,各处运行
与应用程序交互 打印日志或文件 通过 perf_event 或 map 结构
数据结构丰富性 一般 丰富
入门门槛
升级 需要卸载和加载,可能导致处理流程中断 原子替换升级,不会造成处理流程中断
内核内置 视情况而定 内核内置支持

eBPF 可以用来做什么

一个 eBPF 程序会附加到指定的内核代码路径中,当执行该代码路径时,会执行对应的 eBPF 程序。鉴于它的起源,eBPF 特别适合编写网络程序,将该网络程序附加到网络 socket,进行流量过滤、流量分类以及执行网络分类器的动

最低0.47元/天 解锁文章

200万优质内容无限畅学
bpf原理与入门
qq_29044159的博客
03-26 4510
一、bpf架构 如上图所示,bpf由六部分构成,以下为其在bpf中的作用: bpf工具:该部分涉及bpf用户态程序、bpf的编译工具,通过bpf编译工具如Clang、LLVM将bpf用户态程序编译成bpf字节码; 加载器:可以简单理解为bpf系统调用,将bpf字节码加载到内核; 验证器:对bpf程序的合法性进行检查; bpf虚拟机:实现将bpf字节码转化成机器码并运行,使用内核解释器的话需要根据字节码执行对应的机器码,使用JIT可以直接将字节码编码生成机器码; 静态跟踪:为内核为bpf程
eBPF 入门开发实践教程一:介绍与快速上手
云微的blog
09-22 1605
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。加载内核模块虽然来说更为灵活,不需要重新编译源码,但是也可能导致内核崩溃,且随着内核版本的变化模块也需要进行相应的修改,否则将无法使用。在这一背景下,eBPF技术应运而生。
BPF入门1:BPF技术简介
legend050709的专栏
12-20 5315
ebpf
初识 BPF:从 Hello World 开始的内核编程之旅
m0_67544708的博客
05-22 923
BPF 在 Linux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
【BPF入门系列-1】eBPF 技术简介
sunshineywz的博客
04-25 797
【BPF入门系列-1】eBPF 技术简介 https://developer.aliyun.com/article/779357 我正在使用ftrace获取内核中sys_read调用的跟踪。使用函数或图形跟踪器,将set_ftrace_filter设置为sys_write失败 # echo sys_read > tracing/set_ftrace_filter
【BPF入门系列-2】BPF 学习路径总结
dwh0403的专栏
12-01 2245
1. 为什么要学习 BPF 可以先从ebpf.io网站获取一个简单的了解,首页内容翻译如下。 Linux 内核一直是实现监控/可观察性、网络和安全性的理想场所。不幸的是,这往往是不切实际的,因为它需要改变内核源代码或加载内核模块,并导致层层抽象叠加。eBPF 是一项革命性的技术,它可以在 Linux 内核中运行沙盒程序,而无需改变内核源代码或加载内核模块。 通过使Linux内核可编程,基础架构软件可以利用现有的层,使其更加智能,功能更加丰富,而不会继续给系统增加额外的复杂度,也不会影响执行效率和安..
eBPF介绍
fpcc的专栏
07-30 1128
一、简介 提到这个eBPF,就不得不提到BPF(Berkeley Packet Filter),它是一个用于过滤filter网络报文packet的架构。它是tcpdump 或 wireshark 甚至网络监控基础构件。它始于1992 发行在 USENIX conference 上的一篇论文:The BSD Packet Filter: A New Architecture for User-level Packet Capture。最初 BPF 是实现于 BSD 系统之上的,所以论文中称做“BSD Pack
高效入门eBPF-西安邮电大学-贺东升1
08-04
【高效入门eBPF-西安邮电大学-贺东升1】课程主要讲解了Linux内核中的eBPF(extended Berkeley Packet Filter)技术,这是一种强大的内核编程框架,广泛应用于性能监控、网络过滤、安全策略等多个领域。eBPF起源于...
eBPF Tracing 入门教程与实例
数据库技术
05-28 833
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPFeBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction...
Go语言结合libbpfgo进行eBPF编程入门教程
- `sudo ./hello`:在Linux环境下,使用sudo运行可执行文件表示需要管理员权限,这是因为eBPF程序通常需要以root权限加载到内核。 4. **dist/hello.bpf.o 和 hello**:`hello.bpf.o`是eBPF程序的目标文件,包含了...
eBPF技术全面指南与实战手册_包含eBPF基础概念实现原理指令集解析高级应用场景和实战案例的开源文档集合_为开发者提供从入门到精通的完整学习路径_涵盖eBPF架构内核编程.zip
最新发布
08-20
eBPF技术全面指南与实战手册_包含eBPF基础概念实现原理指令集解析高级应用场景和实战案例的开源文档集合_为开发者提供从入门到精通的完整学习路径_涵盖eBPF架构内核编程.zip
ebpf 字节码elf文件信息读取
hubingsong的博客
08-25 1162
对于复杂的ebpf程序来说需要对其map与prog sect进行复杂的编排管理,而这些操作在用户态程序中一般都是基于文件描述符fd来进行的。本文介绍了获取map与prog sect对应的fd的基本方法。
Linux内核功能eBPF入门学习(一):BPF、eBPF、BCC等基本概念
eydwyz的专栏
08-13 4824
Linux内核观测技术BP https://www.lijiaocn.com/%E6%8A%80%E5%B7%A7/2019/02/25/ebpf-introduction-1.html 目录 目录 说明 BPF eBPF带来的新变化 eBPF使用 升级内核 eBPF代码示例 eBPF代码编译装载 使用BCC简化eBPF应用开发过程 BCC安装 BCC收集的eBPF应用 参考 说明 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指.
BPF进阶 - BPF常用命令
ulangch的博客
05-28 6305
这篇文章主要解析常用的BPF命令 参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=4&manpath=FreeBSD | 4.7-RELEASE 上篇文章 BPF初探 - Android(DhcpClient)中BPF运用实例解析 介绍了Android源码中对BPF的运用,其中配置的BPF过滤规则...
BPF自己写过滤包程序
火星上的乡巴佬的专栏
07-05 1750
http://blog.youkuaiyun.com/maeom/article/details/6092457 BPF自己写过滤包程序 分类: linux知识学习 2010-12-22 19:09 2256人阅读 评论(4) 收藏 举报 filterbyte汇编tcpsocketstruct   BPF:Berkeley Packet Filter   英
【转】BPF详解
热门推荐
mrhesongze的博客
09-25 1万+
原文地址:https://linux.cn/article-9507-1.html 什么是 BPF? BPF,及伯克利包过滤器BerkeleyPacketFilter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核...
【BPF入门系列-3】BPF 环境搭建
dwh0403的专栏
12-01 3244
1. 内核版本选择 补丁 Prepatch: Prepatch 或 “RC” 内核是主线内核的预发布版本,主要针对其他内核开发者和 Linux 爱好者。它们必须从源码中编译,并且通常包含新的功能,这些功能必须在稳定发布之前进行测试。Prepatch 内核由 Linus Torvalds 维护和发布。 主线版 Mainline: 主线版本由 Linus Torvalds 维护。它是介绍所有新功能的版本,包含了所有令人兴奋的新开发的功能。新的主线内核每 2-3 个月发布一次。 稳定版
Linux】BPF学习笔记 - 基本概念 [1]
Linoy
02-29 1709
【BPF】学习笔记 - 基本概念 [1] 本学习笔记来自于阅读 Brendan Gregg的《BPF Performance Tools》 一、介绍 数据包筛选器(BPF) 是一种内核执行引擎,用于处理虚拟指令集,并且最近进行了扩展(又称eBPF),这使BPF变成了通用执行引擎,可用于多种用途,包括创建高级性能分析工具。 这是一种在各种内核和应用程序事件上运行小型程序的方法。 如果您熟悉JavaS...
eBPF 入门实践教程
09-02
eBPF(extended Berkeley Packet Filter)是一种在Linux内核中执行程序的技术,它可以用于网络分析、性能监控、安全审计等多种用途。下面是一个eBPF入门实践教程的大致步骤: 1. 确保你的系统支持eBPF:你需要一个运行Linux内核4.1或更高版本的机器,并且要启用eBPF功能。你可以通过运行`uname -r`命令来检查你的内核版本。 2. 安装所需的工具:你需要安装clang编译器、LLVM和libbpf库。这些工具可以帮助你编写和编译eBPF程序。你可以使用包管理器(如apt、yum等)来安装这些工具。 3. 学习eBPF原理:了解eBPF的基本概念和工作原理是很重要的。eBPF程序是一种在内核中执行的小型虚拟机程序,它可以通过钩子函数与内核交互并处理数据。 4. 编写eBPF程序:使用C语言编写eBPF程序,并使用clang编译器将其编译为eBPF字节码。eBPF程序可以通过BPF syscall加载到内核中。 5. 调试和测试:在运行eBPF程序之前,你可以使用bpftool和bpfsyscall等工具进行调试和测试。这些工具可以帮助你检查eBPF程序的正确性和性能。 6. 部署eBPF程序:一旦你的eBPF程序通过测试,你可以使用ip、tc等工具将其部署到实际的网络环境中。这些工具允许你在网络数据包到达内核之前或之后执行eBPF程序。 以上是一个简单的eBPF入门实践教程的大致步骤。在实际使用中,你可能会遇到更多的挑战和复杂性。但通过不断学习和实践,你将能够掌握eBPF技术并应用于各种场景中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值