使用 eBPF 实现高性能网络监控

最新推荐文章于 2025-06-12 12:25:53 发布
最新推荐文章于 2025-06-12 12:25:53 发布
阅读量809 收藏 9
点赞数 3
CC 4.0 BY-SA版权
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51700102/article/details/145471635

1. eBPF 简介

eBPF(Extended Berkeley Packet Filter)是一种在 Linux 内核中运行的高效沙箱技术,允许开发者在不修改内核源码或加载内核模块的情况下,运行安全且高性能的程序。eBPF 最初用于网络数据包过滤,如传统的 Berkeley Packet Filter(BPF),但现在已扩展到监控、安全、跟踪和优化系统性能等多个领域。

eBPF 具有以下优点:

  • 高效性:eBPF 代码在内核态执行,性能接近原生 C 代码。

  • 安全性:所有 eBPF 程序在执行前都会被验证,确保不会崩溃或影响系统稳定性。

  • 灵活性:支持动态加载、无中断更新,适用于网络监控、性能分析等场景。

  • 丰富的生态:与 XDP(eXpress Data Path)、tc(Traffic Control)、perf、BCC(BPF Compiler Collection)等工具结合,提供完整的可观测性解决方案。

2. eBPF 在网络监控中的应用

在网络监控领域,eBPF 主要用于:

  • 网络流量分析:捕获并分析流量模式,实时检测异常行为。

  • DDoS 防护:使用 XDP 进行高效的流量过滤,快速丢弃恶意流量。

  • 延迟监测:跟踪 TCP 连接建立时间、丢包率等关键性能指标。

  • 服务依赖跟踪:结合 eBPF 与分布式追踪系统,分析服务间调用关系。

3. eBPF 实战:编写一个简单的网络监控工具

3.1 环境准备

要使用 eBPF 进行网络监控,需要安装以下工具:

sudo apt update && sudo apt install -y clang llvm libelf-dev iproute2

如果使用 BCC(BPF Compiler Collection),可以安装:

sudo apt install -y bpfcc-tools linux-headers-$(uname -r)

3.2 编写 eBPF 程序

下面是一个简单的 eBPF 程序,它可以监控进程创建网络连接的情况。

eBPF C 代码 (tcp_monitor.c)
#include <linux/bpf.h>
#include <linux/in.h>
#include <linux/tcp.h>
#include <linux/ptrace.h>
#include <bpf/bpf_helpers.h>

struct event_t {
    u32 pid;
    u32 saddr;
    u32 daddr;
    u16 sport;
    u16 dport;
};

BPF_PERF_OUTPUT(events);

SEC("kprobe/tcp_connect")
int monitor_tcp(struct pt_regs *ctx) {
    struct event_t event = {};
    struct sock *sk = (struct sock *)PT_REGS_PARM1(ctx);
    
    event.pid = bpf_get_current_pid_tgid() >> 32;
    event.saddr = sk->__sk_common.skc_rcv_saddr;
    event.daddr = sk->__sk_common.skc_daddr;
    event.sport = sk->__sk_common.skc_num;
    event.dport = sk->__sk_common.skc_dport;
    
    events.perf_submit(ctx, &event, sizeof(event));
    return 0;
}

char LICENSE[] SEC("license") = "GPL";

3.3 编写用户态程序

我们还需要编写一个用户态程序来加载 eBPF 代码并接收事件。

from bcc import BPF
import socket
import struct

bpf = BPF(src_file="tcp_monitor.c")

def print_event(cpu, data, size):
    event = bpf["events"].event(data)
    print(f"Process {event.pid} connected from {socket.inet_ntoa(struct.pack('I', event.saddr))} ",
          f"to {socket.inet_ntoa(struct.pack('I', event.daddr))}:{event.dport}")

bpf["events"].open_perf_buffer(print_event)

while True:
    bpf.perf_buffer_poll()

3.4 运行 eBPF 监控程序

sudo python3 tcp_monitor.py

运行后,该程序会监听所有新的 TCP 连接,并输出进程 ID 以及连接的 IP 地址和端口。

4. eBPF 网络监控的高级用法

  • 使用 XDP 进行 DDoS 防御

  • 结合 Prometheus + Grafana 进行可视化监控

  • 分析 HTTP 请求延迟,优化 API 服务性能

5. 总结

eBPF 是一个强大的内核技术,适用于网络监控、安全防护和性能优化等多个领域。它提供了高效、安全且灵活的方式来实时监测系统行为,为现代云计算和分布式系统带来了革命性的提升。未来,eBPF 的应用场景还将进一步扩展,成为 Linux 生态中不可或缺的一部分。

ebpf实战(一)-------监控udp延迟
happyAnger6的专栏
11-23 987
然后在流程2读取udp缓冲区时(__skb_recv_udp)时取出1中记录的skb时间,并与当前时间做差值得到延迟.为了分析udp数据通信中端到端的延迟,我们需要对整个通信链路的每个阶段进行监控,找出延迟最长的阶段.2和1之间可能由于调度等造成延迟,我们写一个bcc程序对指定接收端口和延迟大于某个值的情况进行监控。我们在流程1放入udp缓冲区时(udp_unicast_rcv_skb),记录此skb的时间。1.数据包到达本机后,由软中断处理程序将数据包接收并放入udp socket的接收缓冲区。
24、利用 eBPF 实现高效连续的网络延迟监控
raspberrypi5的博客
06-06
本文介绍了基于 eBPF 实现的 evolved Passive Ping(ePPing)方法,用于高效连续的网络延迟监控。通过实验评估了 ePPing 在 RTT 准确性和监控开销方面的表现,并与 PPing 和 tshark 进行了对比。结果表明,ePPing 不仅能够提供准确的 RTT 测量,还能在高并发流量下保持较低的性能开销。通过采样和聚合优化,进一步提升了其在网络监控中的适用性。
一文看懂eBPFeBPF使用(超详细)
youzhangjing_的博客
04-14 4008
eBPF(extended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
eBPF 技术详解及其在网络安全领域的应用与挑战
最新发布
vortex5的博客
06-12 1159
eBPF(extended Berkeley Packet Filter)是 Linux 内核中的革命性技术,允许安全高效地运行自定义程序,无需修改内核代码或加载模块。其扩展了内核可编程性,广泛应用于可观测性、网络和安全领域。本文探讨 eBPF 的技术原理、架构及其在网络安全中的应用,包括入侵检测、DDoS防御、恶意软件分析和威胁狩猎。此外,分析了 eBPF 的安全挑战与未来发展趋势。 关键词:eBPF、Linux 内核、网络安全、入侵检测、DDoS防御
TCP Monitor Plus
09-01
TCP Monitor Plus 是Windows系统下的TCP/ IP网络监控软件。
测试两路由器间网速软件,网速检测(TCP Monitor Plus)
weixin_31210347的博客
07-22 1571
TCP Monitor Plus是一款专业的网速检测工具,通过在桌面上显示网络监控浮动窗口,你可以直观的看到当前宽带的上传和下载速度,专业用户可以使用更加专业的ping和TRACEROUTE功能!有需要的小伙伴欢迎来西西下载体验。软件说明:TCPMonitorPlus自带了很多和网络有关的工具,如果你对这些完全没有兴趣,那么可以只使用它提供的网速监控功能,这个功能启用非常的简单。软件运行后,默认会...
eBPF实战教程七 | 性能监控工具—bpftop
DBdoctor_off的博客
10-09 1117
bpftop是一个强大的工具,使用bpftop工具可以直观地监控系统中正在运行的eBPF程序,极大提升了开发eBPF程序时对其自身性能优化的效率。
应用监控eBPF 版调研
qq_33043025的博客
06-24 1296
具体来说,当一个请求进入系统时,会创建一个根Span,然后在处理过程中,每个服务或组件都会创建自己的Span,并在Span中记录相关信息,如开始时间、结束时间、耗时、标签、日志等。当前持续剖析的能力是基于eBPF实现的,因为无侵入的特点,针对Go等有Debug符号信息的语言,Profiling的数据能够显示具体的函数调用,如果遇到unknown的函数,表示当前函数无法在内核中找到对应的符号表信息。可以根据选择的应用、接口和告警指标,通过智能算法对该指标的历史数据进行分析,推荐较为合理的静态阈值。
01 张晓辉-使用 eBPF 实现多集群的流量调度.pdf
06-20
随着时间的发展,eBPF 成为了一个强大的、内核可编程的技术,允许开发人员动态地向 Linux 内核注入程序,以实现高效网络处理、监控、追踪以及安全性增强。eBPF 的关键特性包括: 1. **稳定性**:由于采用了有向无环...
Linux eBPF网络、系统监控和安全领域的创新
望获实时Linux系统
05-29 1664
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全:eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF的功能和应用场景不断扩展,如今已成为网络、系统监控和安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
基于eBPF技术的网络包追踪与网络问题诊断工具设计源码
09-30
源码中的C语言部分是系统的核心,负责与Linux内核中的eBPF系统交互,实现网络数据包的捕获和分析。C语言因其高性能和接近系统底层的能力,成为开发此类系统级工具的首选语言。同时,项目中还包含了Python脚本和shell...
TCP/IP 监视器 monitor
09-26
TCP monitor增强版是一款监视网络状况(如流量、端口、连接网络的进程等)的软件
ebpf-beginners:eBPF初学者指南
03-31
eBPF入门指南 ebpf.py是我在演讲中编写的代码:。 我还使用Go进行了类似的演讲,您将在找到代码。 您将在找到更多的Python代码示例 DockerCon上的eBPF Superpowers演示: 和
eBPF 在 Linux 性能监控中的高级运用
s13596191285的博客
05-23 62
eBPF 在 Linux 性能监控中的高级运用
eBPF可观测之网络流量控制和管理traffic control浅尝
kingu_crimson的博客
05-28 1693
首先发表一个"暴论"eBPF在可观测方面的应用,就是各种google。不需要学习内核,只要掌握ebpf开发套路。好比你开发 web 开发网站, 你了解socket 底层和内核吗?一样不了解。知道怎么调用就行了。而且 eBPF 的开发也没多少复杂度, 更多的是 在内核态拦截(简化的c语言) 内核数据(不管是网络数据还是tracepoint数据), 最终都是要发给用户态(可以理解为java、golang),然后用户态具体做业务处理。所以c语言也不需要怎么学,学了也没啥用。
一文带你系统学习Linux中的eBPF
执剑人
11-18 2377
eBPF(Extended Berkeley Packet Filter)是一个强大的 Linux 内核技术,它最初设计用于高效地过滤网络数据包,但随着功能的扩展,现在成为了内核性能调试、监控、安全审计以及网络流量管理等领域的核心工具。本文将详细介绍 eBPF 的工作原理、应用场景以及技术细节,帮助您深入理解其机制和应用潜力。
基于eBPF实现监控ssh登陆功能
李老板的移动安全杂货铺
12-02 723
该程序使用`bcc`库提供的Python接口来编写和加载eBPF程序。通过钩子函数`trace_auth_success`和`trace_auth_failure`来捕获SSH登录成功和失败的事件,并将相关信息存储在一个hash表中。最后,程序读取并打印出存储的SSH登录信息,包括进程ID、进程名称、登录时间和状态(成功或失败)。- 程序需要以root权限运行,因为eBPF需要进行特权操作。- 系统上安装了`bcc`库和eBPF相关工具。# 编译并加载eBPF程序。# 清理eBPF程序。
面对 DDoS,你知道如何实现在 1 秒内丢弃掉 1000 万个网络数据包攻击吗?
程序员闪充宝
03-11 922
本文转载自:「C0reFast 记事本」原文:https://url.cn/58wrb9u偶然看到一篇 Cloudflare 的博客 How to drop 10 million pac...
eBPF入门教程(Ubuntu 24.04)
一些C++相关的技术笔记或者教程.
02-10 1274
本文通过多个示例展示 eBPF使用,包括使用 BCC Python 框架编写 Hello World 程序,解析其工作原理,以及 eBPF 中 Hash 表的用法、读取内核输出的方法和 Tail call 的应用。想了解如何在 Ubuntu 24.04 配置 eBPF 环境的小伙伴不容错过!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

桂月二二

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值