之前聊过tcpdump 抓包原理，tcpdump使用packet 抓包，使用packet_map 完成零拷贝。但是这个零拷贝也有点假，何为假呢？从网卡到内存走的dma，哪能不能直接从dma拷贝到用 ...

eBPF实质上是一个内核注入技术 用户态可以用C来写运行的代码，再通过一个Clang&LLVM的编译器将C代码编译成BPF目标码； 用户态通过系统调用bpf()将BPF目标码注入到内核当中，并创建必要的eBPF-maps。eBPF具有用作socket filter，kprobe ...

eBPF前生 BPF（Berkeley Packet Filter）：用于过滤网络报文（packet） 两大特点： 1、过滤：根据用户输入规则过滤报文 2、拷贝：负责用网卡驱动层拷贝符合条件的数据包到用户空间 目的：解决当时包过滤机制效率低下的问题 eBPF、XDP链接 ...

使用 eBPF 扩展内核 目录 关于 eBPF Android BPF 加载程序 Android eBPF C 程序的格式 Android.bp 文件的格式 Android 包含一个 eBPF 加载程序和库，它会在 Android ...

本文是有关eBPF的系列文章中的第一篇。每个都将在先前的基础上发展，并从概念和上下文过渡到示例和实现。第一篇文章将探讨eBPF的历史，当前状态和未来轨迹。为此，我希望使eBPF的当前状态和功能更加一致。与许多软件项目一样，如果没有塑造它的历史背景，eBPF可能会显得奇怪而痉挛。 本文还引用 ...

基础概念 eBPF是kernel 3.15中引入的全新设计，将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。 eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行，注入时要先用llvm编译得到使用BPF指令集的elf文件，然后从elf文件中解析出可以注入 ...

eBPF 是一个用于访问 Linux 内核服务和硬件的新技术，由于其灵活性和高性能等特点，被迅速用于网络、出错、跟踪以及防火墙等多场景。目前国内已有少数企业开始尝试将 eBPF 引入生产实践，又拍云也是其中一个。专为技术开发者提供知识分享的 Open Talk 公开课邀请了又拍云开发工程师周晨约 ...

前言 eBPF是一项革命性的技术，可以在Linux内核中运行沙盒程序，而无需重新编译内核或加载内核模块。它能够在许多内核 hook 点安全地执行字节码，主要应用在云原生网络、安全、跟踪监控等方面。 eBPF 基金会 (https://ebpf.io) 是一个为 eBPF 技术而创建的非盈利 ...