ebpf

最新推荐文章于 2024-11-05 19:40:12 发布
最新推荐文章于 2024-11-05 19:40:12 发布
阅读量189 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/techtitan/article/details/116865264
本文探讨了EBPF(Extended Berkeley Packet Filter)的底层原理,包括老bpf的基本概念,深入解析bpf底层模块的系统调用、注入类型以及jit代码生成过程。通过链接到的相关资源,读者可以进一步了解BPF MOV指令类型、字节码解析和在网络层的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

底层原理

老bpf原理

https://www.cnblogs.com/wangchaowei/p/8572711.html

bpf底层模块代码

  1. bcc python 脚本
    b.attach_krpobe()

run_filter 执行字节码

系统调用

SYSCALL_DEFINE3(bpf, int, cmd, union bpf_attr __user *, uattr, unsigned int, size)
kernel/bpf/syscall.c
在这里插入图片描述
在这里插入图片描述

注入类型

在这里插入图片描述

jit代码

jit代码生成 bpf_jit_blind_insn —kernel/bpf/core.c
网络相关字节码:arch/arm64/net/bpf_jit_comp.c
BPF_ALU字节码解析

定义 BPF_MOV 指令类型 include/uapi/linux/bpf.h

参考资料

https://blog.csdn.

最低0.47元/天 解锁文章

200万优质内容无限畅学
ebpfsnitch:基于eBPF和NFQUEUELinux应用级防火墙
03-10
eBPFSnitch eBPFSnitch是基于eBPF和NFQUEUELinux应用级防火墙。 它的灵感来自和 ,但利用现代内核的抽象,没有一个内核模块。 eBPFSnitch守护程序在C ++ 17中实现。控制接口在Python 3中使用Qt5实现。 免责声明 这是一个实验项目。 此应用程序的安全性尚未经过第三方甚至我本人的审核。 可能有一些机制可以绕过它。 当前,守护程序控制套接字未经身份验证,攻击者可能会冒充用户界面进行自我授权。 特征 eBPFSnitch支持过滤所有基于IPv4的传出协议(TCP / UDP / ICMP等)。 在不久的将来应该支持对IPv6的过滤以及传入的连接。 该项目的核心目标是与容器化应用程序很好地集成。 如果应用程序在容器中运行,则可以独立于基本系统或其他容器来控制该容器。 此外,可以针对特定系统用户进行定位。 不需要为每个用户的Firefox每
基于eBPF和NFQUEUELinux应用程序级防火墙。-C/C++开发
05-26
eBPFSnitch eBPFSnitch是基于eBPF和NFQUEUELinux应用程序级防火墙。 它受OpenSnitch和Douane的启发,但是利用现代技术eBPFSnitch eBPFSnitch是基于eBPF和NFQUEUELinux应用程序级防火墙。 它受到OpenSnitch和Douane的启发,但是利用了现代的内核抽象-没有内核模块。 eBPFSnitch守护程序在C ++ 20中实现。控制接口在Python 3中使用Qt5实现。 免责声明这是一个实验项目。 此应用程序的安全性尚未经过第三方甚至我本人的审核。 可能有一些机制可以绕过它。
eBPFSnitch:基于eBPF与NFQUEUE的Linux应用层防火墙
最新发布
gitblog_00718的博客
11-05 974
eBPFSnitch:基于eBPF与NFQUEUE的Linux应用层防火墙 项目基础介绍及编程语言 eBPFSnitch 是一款采用现代内核抽象技术实现的Linux应用层防火墙,它摒弃了传统的内核模块方式,转而利用eBPF(Extended Berkeley Packet Filter)和NFQUEUE(NetFilter Queue)。此项目由C++ 20编写的守护进程和一个基于Python 3...
我对eBPF的偏见
TCP/IP
07-25 4615
台风天气,适合饮酒作文。 我并不反对eBPF技术本身,相反,我很喜欢eBPF并且是它的粉丝,我反对的是对eBPF的滥用。 上周听了一个关于eBPF技术扩展spinlock的讨论,基于以下这个paper: https://www.sigops.org/s/conferences/hotos/2021/papers/hotos21-s08-park.pdf 大致说的是,可以使用eBPF代码控制一个spinlock争锁者将自己排在什么位置。 先说结论,在spinlock上应用eBPF,我是持不同看法的。 跟同事讨
NFQueue简单介绍
saturn254的专栏
09-19 1920
netfilter netlink
ebpf:用于Go的eBPF
02-03
eBPF eBPF是一个纯Go库,提供用于加载,编译和调试eBPF程序的实用程序。 它具有最小的外部依赖性,适合在长时间运行的进程中使用。 包含一个基本的汇编器 允许将eBPF附加到各种挂钩 允许读取PERF_EVENT_ARRAY ...
ebpf_exporter:Prometheus导出程序,用于自定义eBPF指标
05-06
ebpf_exporter Prometheus导出程序,用于自定义eBPF指标。 使用此导出程序的目的是允许您编写eBPF代码并导出Linux内核无法访问的度量标准。 eBPF被IngoMolnár为: 在此循环中,更有趣的功能之一是能够将eBPF...
基于eBPF/XDP快速转发
04-02
**基于eBPF/XDP快速转发** eBPF(Extended Berkeley Packet Filter)是Linux内核中的一个技术,它提供了一种安全、灵活的机制来在内核中执行用户定义的程序,而无需修改内核代码。XDP(eXpress Data Path)是eBPF的...
高效入门eBPF-西安邮电大学-贺东升1
08-04
【高效入门eBPF-西安邮电大学-贺东升1】课程主要讲解了Linux内核中的eBPF(extended Berkeley Packet Filter)技术,这是一种强大的内核编程框架,广泛应用于性能监控、网络过滤、安全策略等多个领域。eBPF起源于...
基于eBPF技术实现TLS加密的明文捕获,无需CA证书
01-06
eBPF Uprobe/Traffic Control实现的各种用户空间/内核空间的数据捕获,无需改动原程序。 SSL/HTTPS数据导出功能,针对HTTPS的数据包抓取,不需要导入CA证书。 bash的命令捕获,HIDS的bash命令监控解决方案。 mysql ...
Linux防火墙在中小型企业的应用
07-30
Linux防火墙在中小型企业的应用论文。
欢迎来到JIT的世界: The Joy of Simple JITs
weixin_34009794的博客
07-22 627
2019独角兽企业重金招聘Python工程师标准>>> ...
《性能之巅》学习笔记之Dtrace good
eydwyz的专栏
02-02 1万+
前言: 《性能之巅》这本书,从推荐序开始,就不停的给Dtrace打广告,按照书中的描述,这是一个非常高级的调试工具,可以用于排查难以定位的线上问题。 看到cpu这章,讲了一个应用场景。如果一个进程pidstat显示sys的CPU使用率很高,可以通过dtrace -n 'profile-997 / pid == xxx / {@[stack()] = count();}'打印进程的内核栈信息,看cpu都消耗在了什么方法上。 于是我就在我的Centos虚拟机上执行了一下这个命令,结果居然返回'invali
BPF内部原理
weixin_47569031的博客
07-26 1333
1. 简介 Brendan最近在USENIX LISA2021大会上做了一篇关于BPF内部原理的演讲,这篇演讲把BPF的内部逻辑剖析地非常清楚,本文大部分素材来自Brendan的这篇PPT, 额外加了一些kprobe原理的解释,分享给大家。 文中用到的术语解释 AST: Abstract Syntax Tree LLVM: A compiler IR: Intermediate Representation JIT: Just-in-time compilation kprobes: Kernel dyn
ebpf_bcc_tools之execsnoop(监控系统进程exec执行)
ljbcharles的专栏
04-09 678
ebpf实用案例之系统进程exec执行命令监控
基于ebpf的防火墙--bpf-iptables
网络安全研究
11-18 4676
1. iptables iptables应用广泛,但是存在一些问题: 规则更新,需要重新创建所有规则 规则匹配效率O(n) 2. nftables nftables于2014年提出,目标是替代iptables,它仍然基于netfilter。 nftables集成了{ip,ip6,arp,eb}tables 在用户空间代码改进了规则匹配算法 但是nftables/ufw/nf-hipac都没有成功,主要是因为iptables规则语法已经被普遍使用,切换新的规则语法代价太大。 3. bpf-iptabl
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
云原生爱好者周刊:Lens 5.0 发布,更炫、更快、更强!
KubeSphere
07-07 432
云原生一周动态要闻: Lens 5.0.0 发布 GitHub 推出 AI 编程工具 GitHub Copilot Kubernetes 发布 2020 年社区年度报告 Weaveworks 推出适用于 Kubernetes 的集成 GitOps 平台 HashiCorp Boundary 0.4.0 发布 开源项目推荐 文章推荐 IT 从业人员想必都听说过 《深入理解计算机系统》 这本神书,也就是大名鼎鼎的 CSAPP(Computer Systems: A Programmer's Pe.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值