Linux内核中的eBPF技术详解

原创 于 2026-04-04 23:54:12 发布 · 203 阅读 · 52 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#linux #系统内核 #嵌入式

Linux内核中的eBPF技术详解

什么是eBPF?

eBPF(Extended Berkeley Packet Filter)是Linux内核中的一项革命性技术,它允许用户在不修改内核源码或加载内核模块的情况下,在内核空间安全地执行自定义程序。eBPF为系统性能分析、网络流量处理、安全监控等场景提供了一种灵活、高效的解决方案。

eBPF的前身是BPF(Berkeley Packet Filter),它最初设计用于网络数据包过滤。经过多年的发展,eBPF已经成为一个通用的内核执行引擎,可以处理各种内核事件和数据。

eBPF的工作原理

1. eBPF程序的加载和执行

eBPF程序的工作流程主要包括以下几个步骤:

  1. 编写eBPF程序:使用C语言编写eBPF程序,然后通过LLVM/Clang编译成eBPF字节码
  2. 加载eBPF程序:通过bpf()系统调用将编译好的字节码加载到内核
  3. 验证eBPF程序:内核的eBPF验证器会检查程序的安全性,确保它不会破坏系统稳定性
  4. 绑定到钩子点:将eBPF程序绑定到特定的内核钩子点,如系统调用、网络设备、跟踪点等
  5. 执行eBPF程序:当触发相应的事件时,内核会执行绑定的eBPF程序
  6. 获取结果:通过映射(maps)在用户空间和内核空间之间传递数据

2. eBPF的核心组件

  • eBPF虚拟机:在内核中执行eBPF字节码的虚拟机器
  • eBPF验证器:确保eBPF程序的安全性和正确性
  • eBPF映射:用于在用户空间和内核空间之间共享数据的数据结构
  • eBPF辅助函数:eBPF程序可以调用的内核提供的辅助函数
  • 钩子点:eBPF程序可以绑定的内核事件点

eBPF的应用场景

1. 网络流量处理

eBPF可以在网络栈的各个层次处理数据包,实现高效的网络功能:

  • 流量过滤:实现自定义的数据包过滤规则
  • 负载均衡:在网络层实现负载均衡
  • 网络监控:实时监控网络流量和性能
  • 网络安全:检测和阻止恶意流量

2. 系统性能分析

eBPF提供了丰富的工具用于系统性能分析:

  • CPU分析:跟踪函数调用和执行时间
  • 内存分析:监控内存分配和使用情况
  • IO分析:跟踪文件系统和块设备的IO操作
  • 系统调用分析:监控系统调用的使用情况

3. 安全监控

eBPF可以用于构建强大的安全监控系统:

  • 异常行为检测:检测系统的异常行为
  • 入侵检测:检测潜在的安全入侵
  • 权限监控:监控特权操作和权限变更
  • 容器安全:监控容器的行为和资源使用

eBPF的API和工具

1. 核心API

eBPF的核心API是bpf()系统调用,它支持多种操作:

  • BPF_MAP_CREATE:创建eBPF映射
  • BPF_MAP_LOOKUP_ELEM:查找映射中的元素
  • BPF_MAP_UPDATE_ELEM:更新映射中的元素
  • BPF_MAP_DELETE_ELEM:删除映射中的元素
  • BPF_PROG_LOAD:加载eBPF程序
  • BPF_OBJ_PIN:将eBPF对象固定到文件系统
  • BPF_OBJ_GET:获取已固定的eBPF对象

2. 常用工具

  • bpftool:用于管理eBPF对象的命令行工具
  • bpftrace:基于eBPF的高级跟踪工具
  • perf:支持eBPF的性能分析工具
  • cilium:基于eBPF的网络和安全解决方案
  • bcc:BPF编译器集合,提供高级语言接口

编写第一个eBPF程序

1. 示例:跟踪系统调用

下面是一个简单的eBPF程序,用于跟踪execve系统调用:

// trace_execve.c
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

SEC("tracepoint/syscalls/sys_enter_execve")
int tracepoint_syscalls_sys_enter_execve(struct pt_regs *ctx) {
    char msg[] = "Hello from eBPF!\n";
    bpf_trace_printk(msg, sizeof(msg));
    return 0;
}

char _license[] SEC("license") = "GPL";

2. 编译和加载

使用Clang编译eBPF程序:

clang -O2 -target bpf -c trace_execve.c -o trace_execve.o

使用bpftool加载程序:

sudo bpftool prog load trace_execve.o /sys/fs/bpf/execve_trace

3. 查看输出

sudo cat /sys/kernel/debug/tracing/trace_pipe

高级eBPF应用

1. 使用eBPF映射

eBPF映射是在用户空间和内核空间之间共享数据的关键机制:

// map_example.c
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

struct bpf_map_def SEC("maps") syscall_count = {
    .type = BPF_MAP_TYPE_HASH,
    .key_size = sizeof(int),
    .value_size = sizeof(long),
    .max_entries = 256,
};

SEC("tracepoint/syscalls/sys_enter_execve")
int tracepoint_syscalls_sys_enter_execve(struct pt_regs *ctx) {
    int syscall_id = 59; // execve的系统调用号
    long *count;
    
    count = bpf_map_lookup_elem(&syscall_count, &syscall_id);
    if (count) {
        __sync_fetch_and_add(count, 1);
    } else {
        long init_count = 1;
        bpf_map_update_elem(&syscall_count, &syscall_id, &init_count, BPF_ANY);
    }
    
    return 0;
}

char _license[] SEC("license") = "GPL";

2. 用户空间程序读取映射

// read_map.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <bpf/bpf.h>

int main() {
    int map_fd;
    int syscall_id = 59;
    long count;
    
    map_fd = bpf_obj_get("/sys/fs/bpf/syscall_count");
    if (map_fd < 0) {
        perror("bpf_obj_get");
        return 1;
    }
    
    while (1) {
        if (bpf_map_lookup_elem(map_fd, &syscall_id, &count) == 0) {
            printf("execve syscall count: %ld\n", count);
        } else {
            printf("execve syscall count: 0\n");
        }
        sleep(1);
    }
    
    close(map_fd);
    return 0;
}

性能优化建议

1. 减少eBPF程序的复杂度

  • 保持eBPF程序简洁,避免复杂的逻辑
  • 使用子例程(subprograms)重用代码
  • 避免在eBPF程序中进行复杂的计算

2. 优化映射访问

  • 选择合适的映射类型(HASH、ARRAY、PERCPU等)
  • 合理设置映射的大小,避免频繁扩容
  • 使用PERCPU映射减少锁竞争

3. 合理使用钩子点

  • 选择合适的钩子点,避免在高频路径上使用eBPF程序
  • 对于网络处理,考虑使用XDP(eXpress Data Path)
  • 对于系统调用跟踪,使用tracepoints而不是kprobes

4. 内存管理

  • 避免在eBPF程序中分配大量内存
  • 使用bpf_perf_event_output批量输出数据
  • 合理设置环形缓冲区的大小

eBPF的未来发展

1. 增强的功能

  • eBPF类型系统:提供更严格的类型检查
  • eBPF程序间调用:允许eBPF程序调用其他eBPF程序
  • 用户空间eBPF:在用户空间执行eBPF程序

2. 更广泛的应用

  • 边缘计算:在边缘设备上使用eBPF进行数据处理
  • IoT设备:在资源受限的设备上使用eBPF
  • 云原生:与Kubernetes等云原生技术深度集成

3. 工具生态系统

  • 更丰富的eBPF工具和库
  • 更好的可视化和分析工具
  • 更完善的文档和示例

代码优化案例

1. 网络流量监控

使用eBPF实现高效的网络流量监控:

// network_monitor.c
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

struct bpf_map_def SEC("maps") port_count = {
    .type = BPF_MAP_TYPE_HASH,
    .key_size = sizeof(__u16),
    .value_size = sizeof(long),
    .max_entries = 65536,
};

SEC("xdp")
int xdp_prog(struct xdp_md *ctx) {
    void *data = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;
    struct ethhdr *eth = data;
    
    if (data + sizeof(struct ethhdr) > data_end) {
        return XDP_PASS;
    }
    
    if (bpf_ntohs(eth->h_proto) == ETH_P_IP) {
        struct iphdr *ip = data + sizeof(struct ethhdr);
        if (data + sizeof(struct ethhdr) + sizeof(struct iphdr) > data_end) {
            return XDP_PASS;
        }
        
        if (ip->protocol == IPPROTO_TCP) {
            struct tcphdr *tcp = data + sizeof(struct ethhdr) + sizeof(struct iphdr);
            if (data + sizeof(struct ethhdr) + sizeof(struct iphdr) + sizeof(struct tcphdr) > data_end) {
                return XDP_PASS;
            }
            
            __u16 dport = bpf_ntohs(tcp->dest);
            long *count = bpf_map_lookup_elem(&port_count, &dport);
            if (count) {
                __sync_fetch_and_add(count, 1);
            } else {
                long init_count = 1;
                bpf_map_update_elem(&port_count, &dport, &init_count, BPF_ANY);
            }
        }
    }
    
    return XDP_PASS;
}

char _license[] SEC("license") = "GPL";

2. 系统调用监控

使用eBPF监控系统调用的使用情况:

// syscall_monitor.c
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

struct bpf_map_def SEC("maps") syscall_stats = {
    .type = BPF_MAP_TYPE_HASH,
    .key_size = sizeof(__u32),
    .value_size = sizeof(struct syscall_stat),
    .max_entries = 500,
};

struct syscall_stat {
    long count;
    long total_time;
};

SEC("tracepoint/syscalls/sys_enter_execve")
int trace_enter_execve(struct pt_regs *ctx) {
    __u64 start_time = bpf_ktime_get_ns();
    bpf_map_update_elem(&syscall_stats, &(int){59}, &(struct syscall_stat){.count=1, .total_time=0}, BPF_NOEXIST);
    return 0;
}

SEC("tracepoint/syscalls/sys_exit_execve")
int trace_exit_execve(struct pt_regs *ctx) {
    __u64 end_time = bpf_ktime_get_ns();
    struct syscall_stat *stat = bpf_map_lookup_elem(&syscall_stats, &(int){59});
    if (stat) {
        stat->count++;
        // 注意:这里简化处理,实际需要存储开始时间
    }
    return 0;
}

char _license[] SEC("license") = "GPL";

总结

eBPF是Linux内核中一项非常强大的技术,它为我们提供了一种在不修改内核源码的情况下扩展内核功能的方法。通过eBPF,我们可以:

  • 实现高效的网络流量处理
  • 进行深入的系统性能分析
  • 构建强大的安全监控系统
  • 开发各种内核级别的工具和应用

作为内核开发者和系统管理员,掌握eBPF技术是非常重要的。它不仅是一种调试和分析工具,更是一种构建高性能、安全、可靠系统的有力手段。

随着eBPF技术的不断发展和完善,它在Linux生态系统中的地位将会越来越重要。相信在不久的将来,eBPF将会成为Linux系统编程的标准工具之一,为我们解决各种复杂的系统问题提供新的思路和方法。

钟哩哩
关注
eBPF(extended Berkeley Packet Filter):Linux系统最具颠覆性的“白盒测试”
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
03-20 2466
eBPF——Linux系统地图上的“沙盒游戏”简单介绍eBPF 简单介绍eBPF eBPF is a revolutionary technology with origins in the Linux kernel that can run sandboxed programs in an operating system kernel. It is used to safely and efficiently extend the capabilities of the kernel without
eBPF 技术:从入门到精通
weixin_39145568的博客
04-10 3278
eBPF(Extended Berkeley Packet Filter)是一种允许在 Linux 内核中运行沙盒化程序的技术。它充当内核内部的一个轻量级、沙盒化的虚拟机(VM),开发者可以在其中运行经过验证的 BPF 字节码,利用特定的内核资源。虽然其名称源自早期的伯克利数据包过滤器(BPF),但 eBPF 的能力已远超最初的数据包过滤范畴,成为一项通用的内核扩展技术。如今,eBPF 通常被视为一个独立术语,而最初的 BPF 有时被称为 cBPF(经典 BPF)以作区分。
eBPF技术内核级观测实战指南
最新发布
qq_66359721的博客
11-06 700
BPF(eBPF)是Linux内核中的可编程框架,能够在不修改内核源码的情况下实现系统追踪、性能分析和安全监控。本文介绍了BPF的发展历程和bpftrace工具的使用方法,包括安装、基本语法、内置变量/函数,以及多种探测点(kprobe/uprobe/tracepoint)的应用实例。通过具体示例展示了如何监控TCP连接、Redis/Mysql调用和内存分配等操作,为开发自定义eBPF应用奠定了基础。后续将深入讲解libbpf-bootstrap库的使用方法。
一文带你系统学习Linux中的eBPF
执剑人
11-18 2788
eBPF(Extended Berkeley Packet Filter)是一个强大的 Linux 内核技术,它最初设计用于高效地过滤网络数据包,但随着功能的扩展,现在成为了内核性能调试、监控、安全审计以及网络流量管理等领域的核心工具。本文将详细介绍 eBPF 的工作原理、应用场景以及技术细节,帮助您深入理解其机制和应用潜力。
linux跟踪技术ebpf
Innocence_0的博客
08-12 884
eBPF是一项革命性的技术,起源于 Linux内核,可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能,而无需更改内核源代码或加载内核模块。比如,使用ebpf可以追踪任何内核导出函数的参数,返回值,以实现kernel hook的效果;通过ebpf还可以在网络封包到达内核协议栈之前就进行处理,这可以实现流量控制,甚至隐蔽通信。
Linux内核超级装备eBPF技术详细研究
嵌入式Linux内核的博客
06-06 2195
内核大神Brendan用了比喻的说法,更加形象地介绍了这个技术eBPF对于Linux就相当于JavaScript对于HTML一样。JavaScript给静态的HTML网站带了了动态的内容和效果,已经丰富的交互能力。JavaScript程序运行在一个虚拟机的安全沙盒中。eBPF也对Linxu内核提供了类似的功能,程序员可以通过编写字节码,从而让程序工作在内核的沙盒环境中。eBPF更像是内核中JavaScript的V8虚拟机引擎。
eBPF:现代Linux的强大内核扩展技术
weixin_44867889的博客
11-29 1713
eBPF最初是从BPF(Berkeley Packet Filter)发展而来的,BPF用于高效的数据包捕获和过滤。随着对更高性能和灵活性的需求,eBPF在2014年被引入Linux内核,它允许在内核中执行用户定义的程序,从而提供更广泛的功能集。
Linux eBPF介绍(一)
chi's blog
09-27 1767
eBPF(extened Berkeley Packet Filter)是一种内核技术,它允许开发人员在不修改内核代码的情况下运行特定的功能。eBPF 的概念源自于 Berkeley Packet Filter(BPF),后者是由贝尔实验室开发的一种网络过滤器,可以捕获和过滤网络数据包。2014 年eBPFLinux 3.18 首次限量发布,充分利用 eBPF 至少需要 Linux 4.4 以上版本。
eBPF技术
qq_42944740的博客
03-16 6521
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
Linux: eBPF 实现简析
JiMoKuangXiangQu的专栏
04-02 1520
linuxeBPF,调试追踪工具
linux内核eBPF基础及应用调研
qq_43840665的博客
09-24 1766
Cilium 是一种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施和可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理和智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义和实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或一组容器的网络访问权限。可观测性:通过运行为每个节点的Hubble 组件和eBPF技术实现集群中流量和其他网络指标的实时观测。
Linux】软件工程师的屠龙技—eBPF(编辑中)
我的笔记本
03-07 1218
eBPF(extended Berkeley Packet Filter),即“增强版伯克利数据包过滤器”或“伯克利数据包过滤器扩展版”,是一种在Linux内核中运行沙盒程序的技术
探索eBPFLinux内核的黑科技
嵌入式Linux内核的博客
06-30 1845
eBPF 是一个基于寄存器的虚拟机,使用自定义的 64 位 RISC 指令集,能够在 Linux 内核内运行即时本地编译的 “BPF 程序”,并能访问内核功能和内存的一个子集。这是一个完整的虚拟机实现,不要与基于内核的虚拟机(KVM)相混淆,后者是一个模块,目的是使 Linux 能够作为其他虚拟机的管理程序。eBPF 也是主线内核的一部分,所以它不像其他框架那样需要任何第三方模块(LTTng 或 SystemTap),而且几乎所有的 Linux 发行版都默认启用。
Linux 中的 eBPF
魏小言的博客
03-08 1158
了解更多,请关注 公众号 “ [code 杂坛](Kafka 高吞吐、高性能核心技术及最佳应用场景...) “! 01 什么是 eBPFeBPF 基金会? 简单来说,eBPFLinux 内核中一个非常灵活与高效的类虚拟机 (virtual machine-like) 组件, 能够在许多内核 hook 点安全地执行字节码 (bytecode)。很多内核系统都已经使用了 BPF,例如常见的网络、跟踪与安全。 eBPF 基金会 (https://ebpf.io) 是一个为 eBPF 技术而创
Linux内核eBPF实践入门篇
qq_43840665的博客
11-22 2236
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于––进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
Linuxebpf(1)基础使用
梅花香自苦寒来,宝剑锋从磨砺出。
04-22 4668
eBPF (extended Berkeley Packet Filter) 是一种先进的技术,允许在无需更改内核源代码或加载内核模块的情况下,以安全的方式动态地在内核中执行预编译和沙箱化的程序。它最初是为了能够在内核层面高效地过滤网络包而设计的,但现在它的用途已经大大扩展,可以用于各种系统级编程任务。eBPF 是 Berkeley Packet Filter (BPF) 的扩展,BPF 最初是在 1992 年为了提高网络包过滤的效率而引入的。
Linux内核eBPF基础篇
qq_43840665的博客
10-21 3171
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值