https://www.oomkill.com/tags/ebpf/ Recent content in EBPF on Cylon's Collection Hugo -- 0.125.7 zh Wed, 22 Mar 2023 23:00:36 +0800 https://www.oomkill.com/what-is-ebpf/ Sun, 02 Oct 2022 00:00:00 +0000 https://www.oomkill.com/what-is-ebpf/ eBPF介绍 eBPF是 Extended Berkeley Packet Filter，主要是用于包过滤的。为什么叫Berkeley Packet Filter 是因为论文出自 Lawrence Berkeley Laboratory（相对的论文可以参考 [1]）。“E" 是使BPF不仅仅是包过滤。 eBPF 目前提供的功能不仅仅是包过滤，它是一个允许用户在操作系统内核加载自定义程序的框架，来自于 ”What Is eBPF?“ eBPF is a framework that allows users to load and run custom programs within the kernel of the operating system. That means it can extend or even modify the way the kernel behaves. [2] eBPF验证器 对于如果想改变Linux内核功能需要合并代码到内核或者编写内核模块。前者需要被社区接受，这需要很长一个周期；而后者可以很好的扩展内核功能，但都存在一个问题 ”==安全运行==“ ”安全运行“ 问题包含”漏洞“和“崩溃”，考虑到这些，eBPF为安全运行提供了一个非常不同的方法**：eBPF verifier** ，eBPF verifier 将确保应用只能够在安全情况下被运行。 eBPF verifier 保证了 eBPF 程序运行的 ”安全“ 和 ”验证“