eBPF编写避坑指南

最新推荐文章于 2026-03-31 15:57:32 发布
原创 最新推荐文章于 2026-03-31 15:57:32 发布 · 854 阅读 · 0
标签
#centos #linux #安全
本文介绍了eBPF的基本概念,包括如何确认tracepoint的函数参数;强调了注意事项,如内存对齐和避免编译器填充,使用LLVM内置函数进行内存操作,以及指针操作后的声明;列举了常见的报错及其解决方法,如处理负值、内存访问、栈空间限制、未初始化的寄存器等问题。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看

0x1:基本概念

  1. 当使用tracepoint的时候,函数参数如何确认?

cat /sys/kernel/debug/tracing/events/syscalls/xxx/format. xxx为要跟踪的函数,在这里有函数参数定义。

0x2:注意事项

  1. 写结构体的时候一定要注意内存对齐,防止被编译器优化填充。

  2. 使用 LLVM 内置的函数做内存操作

#ifndef memset
# define memset(dest, chr, n)   __builtin_memset((dest), (chr), (n))
#endif

#ifndef memcpy
# define memcpy(dest, src, n)   __builtin_memcpy((dest), (src), (n))
#endif

#ifndef memmove
# define memmove(dest, src, n)  __builtin_memmove((dest), (src), (n))
#endif
  1. 指针被操作过后,就得再次声明,不然会被禁止访问
struct iphdr *ip4 = (struct iphdr *) skb->data + ETH_HLEN; //第一次赋值

skb_store_bytes(skb, l3_off + offsetof(struct iphdr, saddr), &new_saddr, 4, 0); //skb被操作了 因此ip4的值不可信,此时如果操作ip4会被拒绝

ip4 = (struct iphdr *) skb->data + ETH_HLEN; //再获取一次

if (ip4->protocol == IPPROTO_TCP) {

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看
最低0.47元/天 解锁文章
SenberHu
关注
【踩】关于在eBPF程序中构建长字符串并进行修改
weixin_43144516的博客
03-03 2485
场景: 在eBPF程序中一般难以声明很长的数组,如 char str[512]; 当在程序里这样做的时候很容易爆栈,错误提示类似 error: <unknown>:0:0: in function bpf_openat_parser i32 (%struct.bpf_raw_tracepoint_args*): Looks like the BPF stack limit of 512 bytes is exceeded. Please move large on stack variable
fatal error: unexpected signal during runtime execution [signal SIGSEGV: segmentation violation
sucess999的博客
04-25 7017
错误堆栈: fatal error: unexpected signal during runtime execution [signal SIGSEGV: segmentation violation code=0x1 addr=0x27 pc=0x7fc8a8a92932] runtime stack: runtime.throw({0x66d1b9, 0x7fc880f03a50}) /usr/local/go/src/runtime/panic.go:1198 +0x71 run...
Go语言第五课 指针
YongYu_IT的专栏
06-12 453
目前为止,我所见过的语言里面有指针的就两个:Go和C/C++ 两种指针还是有诸多类似的地方,下面我们将这两种指针对比着来学习 内存地址 · Go:不是每个值都有内存地址,但是每一个变量都有其内存地址,允许被&操作。聚合类型的每个成员(结构体的每个字段、数组的每个元素)也有内存地址,允许被&操作。 · C/C++:只要是值就有内存地址,只是区分堆地址、栈地址而已。所有值都可以...
go新手容易犯的三个致命错误
weixin_33921089的博客
01-20 368
前言 最近因为以前一些重要且古老的go项目基本没有人专职维护了,所以被安排去熟悉这些项目的代码,所以看了大量go的代码。历史原因,这些代码中或多或少有一些刚刚从PHPer转过来的Gopher去设计和开发的,自然有不少是在php(fpm模式下)码代码思路下埋藏的一些。今天我就来和大家一起分享一下最近发现的比较不容易发现和出现比率比较高的三...
Keil error:too many arguments to function“
gaixiaokuan的博客
04-03 6858
"too many arguments to function" 如果同学在C语言编程中出现了这个错误,那么就表示函数调用时传递了过多的参数,函数定义和函数调用之间的参数数量就不匹配了。在调用函数时,传递的参数数量是必须与函数的定义中声明的参数数量保持一致的。Find all-对比一下实参形参数量。
ebpf-go开发常见误区与指南
gitblog_00565的博客
11-06 1026
Linux内核开发领域,eBPF(Extended Berkeley Packet Filter)技术正迅速成为性能监控、网络分析和安全审计的强大工具。ebpf-go作为一个纯Go语言实现的eBPF库,为开发者提供了便捷的接口来加载、编译和调试eBPF程序。然而,由于eBPF技术本身的复杂性和内核版本差异,开发者在使用ebpf-go时常常会遇到各种难以调试的问题。本文将深入探讨ebpf-go开发
eBPF技术
qq_42944740的博客
03-16 6527
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
Linux 内核观测技术 eBPF 中文入门指南
easylife206的专栏
01-06 5038
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !很早前就想写一篇关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写一篇。这文章主要还是简单的介绍 eBPF 是用来干什么的,并通过几个示例来介绍是怎么玩的。这个技术非常非常之强,Linux 操作系统的观测性实在是太强大了,并在 BCC 加持下变得一览无余。这个技术不是一般的运维人员或是系统管理员可以...
深入探析 eBPF:从程序编写到执行的全流程解析
weixin_45887654的博客
09-28 2072
这篇文章介绍了eBPF(扩展的伯克利包过滤器)技术从程序的编写、验证到执行的全过程。深入分析了eBPF程序从源码到字节码的转换、验证机制以及通过JIT(即时编译)在内核中的运行过程。通过这些步骤的详细描述,读者可以更好地理解eBPF程序的执行原理。本文旨在为对eBPF感兴趣的技术人员提供入门指导,并为进一步深入研究打下基础。
ebpf程序入门编写
weixin_73622063的博客
05-19 1133
本文章旨在介绍如何利用工具链libbpf去编写一个简单的ebpf程序,目前只涉及tracepoint和kprobe两种类型
一文看懂eBPFeBPF的使用(超详细)
youzhangjing_的博客
04-14 4659
eBPF(extended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
Docker eBPF安装指南(专家级手册)
SimProceed的博客
01-06 692
掌握Docker与eBPF集成核心技术,详解Docker eBPF安装步骤,覆盖内核配置、环境准备与常见问题方案。适用于性能监控、安全追踪等场景,提升容器可观测性。方法权威实用,值得收藏。
eBPF介绍
热门推荐
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
在 WebAssembly 中使用 C/C++ 和 libbpf 编写 eBPF 程序
云微的blog
02-12 1271
本以 C/C++ 语言为例,讨论了如何使用 C/C++ 编写 eBPF 程序并编译为 Wasm 模块。在下一篇文章中,我们会讨论使用 Rust 编写 eBPF 程序并编译为 Wasm 模块,并使用 OCI 镜像发布、部署、管理 eBPF 程序,获得类似 Docker 的体验。接下来,我们也会继续完善在 Wasm 中使用多种语言开发和运行 eBPF 程序的体验,提供更完善的示例和用户态开发库/工具链,以及更具体的应用场景。
在 WebAssembly 中使用 Rust 编写 eBPF 程序并发布 OCI 镜像
云微的blog
02-12 1020
本文以 Rust 语言为例,讨论了使用 Rust 编写 eBPF 程序并编译为 Wasm 模块以及使用 OCI 镜像发布、部署、管理 eBPF 程序,获得类似 Docker 的体验。接下来,我们会继续完善在 Wasm 中使用多种语言开发和运行 eBPF 程序的体验,提供更完善的示例和用户态开发库/工具链,以及更具体的应用场景。
基于 eBPF 的 prometheus 监控方案
金荣的个人技术博客
04-13 5726
从最新资源构建二进制文件: $ go get -u -v github.com/cloudflare/ebpf_exporter/... cp -ip go/bin/ebpf_exporter /usr/local/bin/ebpf_exporter 运行一个示例: $ sudo ebpf_exporter --config.file=src/github.com/cloudflare/ebpf_exporter/examples/bio.yaml 输出结果如下: 浏览器访问9435端口,输出结
eBPF开发指南
SenberHu的博客
05-17 1736
0x1:技术背景 bpf: BPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classical bpf) EbpfeBPF全称 extended BPF,Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,比如:内核追踪(Kernel Tracing)、应用性能调优/监控、流控(Traffic Control)等;另一
Zig语言编写eBPF项目安装与配置指南
gitblog_00424的博客
03-26 625
Zig语言编写eBPF项目安装与配置指南 1. 项目基础介绍 本项目是基于Zig语言编写eBPF(Extended Berkeley Packet Filter)项目,名为zbpf。eBPF是一种强大的内核编程框架,允许你在Linux内核中运行高效的字节码程序。zbpf旨在利用Zig语言的静态类型安全和编译时反射特性,为eBPF程序提供更安全、更易于维护的编程模型。 主要编程语言 Zig ...
7个eBPF生产环境最佳实践:大规模部署经验与指南
最新发布
gitblog_00299的博客
03-31 1039
### 1. 使用专用加载器管理生命周期 免直接通过`bpf()`系统调用手动加载程序,推荐使用成熟的加载器如 **bpfman**([bpfman](https://github.com/bpfman/bpfman)),它支持: - OCI镜像分发eBPF程序 - XDP/TC程序协同加载 - 自动处理内核版本兼容性 ### 2. 采用CO-RE技术消除内核依赖 通过BTF(BPF Type
Linux eBPFXDP高速处理数据包;使用EBPF编写XDP网络过滤器;高性能ACL
RToax
10-10 9801
XDP(eXpress Data Path)是基于 eBPF 实现的高性能、可编程的数据平面技术。XDP 位于网卡驱动层,当数据包经过 DMA 存放到 ring buffer 之后,分配 skb 之前,即可被 XDP 处理。由于 XDP 位于整个 Linux 内核网络软件栈的底部,能够非常早地识别并丢弃攻击报文,具有很高的性能。这为我们改善 iptables/nftables 协议栈丢包的性能瓶颈,提供了非常棒的解决方案。BPF(Berkeley Packet Filter)字节码的动态注入技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值