eBPF
- What is eBPF? (eBPF Doc)
- 酷壳 - eBPF 介绍
- 一文看懂eBPF、eBPF的使用(超详细): 给出了一个简单的 eBPF 示例
- BCC Install
eBPF 是一项革命性的技术,起源于 Linux 内核,它可以在特权上下文中(如操作系统内核)运行沙盒程序。它用于安全有效地扩展内核的功能,而无需通过更改内核源代码或加载内核模块的方式来实现。
主要使用范畴:安全、网络、观测(溯源)
eBPF 是事件驱动的,当内核或应用程序通过某个钩子点运行时,会触发 eBPF 程序,预定义的钩子主要包括:
- 系统调用
- 函数入口/退出
- 内核跟踪点
- 网络事件
