LJTian Blog
LJTian Blog/
🏆
Linux/
🏀
ebpf 相关知识学习
Search
ebpf 相关知识学习
🏀

ebpf 相关知识学习

 
eBPF - Introduction, Tutorials & Community Resources
eBPF is a revolutionary technology that can run sandboxed programs in the Linux kernel without changing kernel source code or loading a kernel module.
eBPF - Introduction, Tutorials & Community Resources
https://ebpf.io
eBPF - Introduction, Tutorials & Community Resources
 

一句话描述

ebpf 是 内核扩展功能一种方式,此方式能保证安全(因为它在一个沙盒环境中运行)。
个人认为:这相当于内核留了一个后门,你可以通过这个后门对内核的一些事件进行监控并操作。
 

汉化的图(没啥意义)

notion image

带着问题去学习

ebpf 部署及运行图:
notion image

问题1:maps 内的数据都有哪些?

问题2:eBpf 都可以对哪些事件进行 Hook ?

问题3:eBpf 各种库的对比。

库名称
开发语言
特点
BCC
Python
bpftrace
C
用于追踪、调试
eBPF go 语言库
go
libbpf c/c++

问题4:什么是 Helper 内核函数?

问题5:验证器实现原理

 
 
Copyright 2025 Travis Fischer