2022年7月19日 · Hook 点. Linux中基于eBPF的恶意利用与检测机制; 回顾一下eBPF技术的hook点： 从图中可以看出，eBPF的hook点功能包括以下几部分： 可以在Storage、Network等与内核交互之间； 也可以在内核中的功能模块交互之间； 又可以在内核态与用户态交互之间； 更可以在用户 …

2021年5月5日 · EBPF：本质上它是一种内核代码注入的技术. 内核在packet filter和tracing等应用中提供了一系列的钩子来运行BPF代码。 目前支持以下类型的BPF代码. 提供了一种在不修改内核代码的情况下，可以灵活修改内核处理策略的方法. __uint(type, BPF_MAP_TYPE_ARRAY); __type(key, u32); __type(value, long); __uint(max_entries, 256); int bpf_prog1(struct __sk_buff * skb) int index = load_byte(skb, ETH_HLEN + offsetof(struct iphdr, protocol));

本文提供了一个实际的eBPF教程，演示如何使用eBPF socket filter或syscall trace来捕获和分析HTTP流量。 教程内容包括开发eBPF程序、使用eBPF工具链和实施HTTP请求的追踪。

2024年11月29日 · eBPF 是一项革命性的技术，起源于 Linux 内核，它可以在特权上下文中（如操作系统内核）运行沙盒程序。 它用于安全有效地扩展内核的功能，而无需通过更改内核源代码或加载内核模块的方式来实现。 eBPF执行编译字节码，通过Just-In-Time编译成对应机器码，通常BPF Hook负责数据生产和动作执行，数据透传通过perfbuf和ringbuf方式消费。 Kernele 5.8支持ringbuf (BPF环形缓冲区)，perf改良版，ringbuf兼容perf且高效，多生产单消费队列设计，本篇需要低 …

eBPF 源于 BPF[1]，本质上是处于内核中的一个高效与灵活的虚类虚拟机组件，以一种安全的方式在许多内核 hook 点执行字节码。 BPF 最初的目的是用于高效网络报文过滤，经过重新设计，eBPF 不再局限于网络协议栈，已经成为内核顶级的子系统，演进为一个通用执行引擎。 开发者可基于 eBPF 开发性能分析工具、软件定义网络、安全等诸多场景。 本文将介绍 eBPF 的前世今生，并构建一个 eBPF 环境进行开发实践，文中所有的代码可以在我的 Github[2] 中找到。 …

2023年4月5日 · 通过 eBPF 可以对多种类型的事件进行跟踪，例如 kprobe、kretprobe、tracepoint、uprobe、uretprobe、socket filter、tc filter、perf events 等，本文主要介绍上述事件 Hook 跟踪点。

2024年10月29日 · eBPF特性. eBPF中的Hook 定义：hook是指内核中特定函数（事件）的发生，包括系统调用、函数进入/退出、网络事件等; 原理： tracepoint机制：基于内核标记点tracepoint来追踪内核中的特定事件; kprobes机制：可以在内核函数的入口或出口处插入Hook

2022年11月11日 · 2 eBPF是什么? 理解成BFP PLUS++. 3 BCC是什么? BPF虚拟机只运行BPF指令, 直接敲BPF指令比较恶心。 BCC可以理解成辅助写BPF指令的工具包， 用python和c语言间接生成EBPF指令。 4 IO Visor是什么? 指的是 开源项目 && 开发者社区 ， BCC是IOVisor项目下的编 …

2025年1月20日 · ebpf 允许在内核中执行自定义函数，以加速分布式协议、存储引擎和网络应用，与传统的用户空间实现相比，可以提高吞吐量和降低延迟。 ebpf 组件（如 jit 和验证器）的正式验证确保了正确性，并揭示了实际实现中的错误。

2021年2月23日 · eBPF 程序能 attach 到内核中的若干 hook 点，其中大部分 hook 点 都是用于包处理（packet processing）和监控（monitoring）目的的。 这些 hook 中有两个与 TC 相关：从内核 4.1 开始，eBPF 程序能作为 tc classifier 或 tc action 附着（attach）到这两个 hook 点。