2022年7月19日 · Hook 点. Linux中基于eBPF的恶意利用与检测机制; 回顾一下eBPF技术的hook点： 从图中可以看出，eBPF的hook点功能包括以下几部分： 可以在Storage、Network等与内核 …

2021年5月5日 · EBPF：本质上它是一种内核代码注入的技术. 内核在packet filter和tracing等应用中提供了一系列的钩子来运行BPF代码。 目前支持以下类型的BPF代码. 提供了一种在不修改 …

本文提供了一个实际的eBPF教程，演示如何使用eBPF socket filter或syscall trace来捕获和分析HTTP流量。 教程内容包括开发eBPF程序、使用eBPF工具链和实施HTTP请求的追踪。

2024年11月29日 · eBPF 是一项革命性的技术，起源于 Linux 内核，它可以在特权上下文中（如操作系统内核）运行沙盒程序。 它用于安全有效地扩展内核的功能，而无需通过更改内核源代 …

eBPF 源于 BPF[1]，本质上是处于内核中的一个高效与灵活的虚类虚拟机组件，以一种安全的方式在许多内核 hook 点执行字节码。 BPF 最初的目的是用于高效网络报文过滤，经过重新设 …

2023年4月5日 · 通过 eBPF 可以对多种类型的事件进行跟踪，例如 kprobe、kretprobe、tracepoint、uprobe、uretprobe、socket filter、tc filter、perf events 等，本文主要介绍上述事 …

2024年10月29日 · eBPF特性. eBPF中的Hook 定义：hook是指内核中特定函数（事件）的发生，包括系统调用、函数进入/退出、网络事件等; 原理： tracepoint机制：基于内核标记 …

2022年11月11日 · 2 eBPF是什么? 理解成BFP PLUS++. 3 BCC是什么? BPF虚拟机只运行BPF指令, 直接敲BPF指令比较恶心。 BCC可以理解成辅助写BPF指令的工具包， 用python和c语言 …

2025年1月20日 · ebpf 允许在内核中执行自定义函数，以加速分布式协议、存储引擎和网络应用，与传统的用户空间实现相比，可以提高吞吐量和降低延迟。 ebpf 组件（如 jit 和验证器）的 …

2021年2月23日 · eBPF 程序能 attach 到内核中的若干 hook 点，其中大部分 hook 点 都是用于包处理（packet processing）和监控（monitoring）目的的。 这些 hook 中有两个与 TC 相关： …