活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
免费活动
  • 活动
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 算力套餐
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

eBPF入门介绍和使用示例

容器安全服务
2023-08-17 05:45:47
75
0

什么是eBPF?

      eBPF技术是Linux内核中的一种新型虚拟机技术。它提供了一种灵活的机制,可以在内核中运行高度优化的代码,用于各种问题的解决,例如监测和过滤网络流量、系统调用跟踪、性能分析等。

      eBPF的全称是Extended Berkeley Packet Filter,它是基于传统的Berkeley Packet Filter(BPF)技术的扩展,后者最初是为在网络接口上过滤流量而设计的。eBPF技术可以在Linux内核中运行用户定义的代码,因此可以用于各种目的。eBPF程序由LLVM编译器编译,可以与内核代码链接并在内核中运行。eBPF技术的主要优点是它在内核中运行、可编程的代码具有高性能,因为它们是与内核代码直接链接并优化的。它还提供了对内核底层的细粒度访问,使得它能用于处理和监控许多系统事件。

eBPF使用示例

      eBPF技术可应用于网络流量监控,其在TCP/IP网络协议层捕获包并进行分析。例如:通过使用tcptracer-bpf工具,可以轻松的监测网络流量,查看报文的源IP、目的IP、协议、端口、数据等信息,以便进行有针对性的网络安全检测和攻击防护。下文通过一个Demo示例进行简要说明,基本操作流程如下:

  1. 确认内核版本

 确认内核版本是4.4及以上版本,以支持eBPF模块的加载和使用。

$ uname -a 
Linux localhost 5.6.12-1.el7.elrepo.x86_64 #1 SMP Fri May 8 20:07:17 EDT 2020 x86_64 x86_64 x86_64 GNU/Linux
  1. 安装tcptracer-bpf工具

      本次demo使用的是tcptracer-bpf工具,该工具可以用于在TCP流上安装eBPF程序,并可以监听、捕获、打印流量数据包。tcptracer-bpf工具使用C语言编写,需使用GCC编译为可执行文件。你可以在GitHub上找到这个项目,下载安装包或者通过仓库克隆该项目。

$ git clone https://github.com/brendangregg/tcptracer-bpf.git
$ cd tcptracer-bpf
$ make

 

  1. 运行demo脚本

      这里使用一个demo脚本来展示tcptracer-bpf工具的使用方法,你可以在这个脚本中查看和分析tcp流量信息,并根据特定情况编写eBPF程序进行网络安全监测。

$ sudo ./tcptracer-bpf -i eth0

    使用sudo权限来运行tcptracer-bpf命令,进行网络流量的监测。运行上面的脚本,将开始监控eth0网络接口,tcptracer-bpf将开始侦听该接口,并打印关于TCP流的数据包。

  1. 分析流量数据

      启动上面的脚本后,tcptracer-bpf将开始捕获TCP流量数据,这些数据可以用于用于网络流量的分析和监测。这里我们使用tcptracer-bpf来监控一个运行HTTP服务的服务器,并打印相关的流量信息。当你使用浏览器访问该服务器时,tcptracer-bpf将捕获到流量数据。此时,你可以在控制台上看到每个TCP流量数据包的详细信息,例如:

  102.34.45.23:8080    10.64.0.91:43902      ESTABLISHED    9      2587      1d7fc26b2eddd6cf        0

  10.64.0.91:43902     102.34.45.23:8080     ESTABLISHED    9      4022      140af323a9c7d9d9        0

  102.34.45.23:8080    10.64.0.91:43902      ESTABLISHED    9      6760      1d7fc26b2eddd6cf        0

  102.34.45.23:8080    10.64.0.91:43902      ESTABLISHED    9      8907      1d7fc26b2eddd6cf        0

  10.64.0.91:43902     102.34.45.23:8080     ESTABLISHED    9      1888      140af323a9c7d9d9        0

以上是一个简单的安全监测例子,除此之外,我们可以根据需要对tcptracer-bpf进行定制化编写,以便监测涉及更多安全问题的数据包。

总结

eBPF作为一个能够运行在内核空间的高效工具,可以大大提高流量捕获速度和分析效率。除了网络安全监测,eBPF技术还可以用于各种系统问题的解决。在性能分析方面,eBPF技术可以用于跟踪系统调用,监测网络流量和磁盘I/O等,以便识别和消除系统瓶颈,优化性能。在容器和虚拟化领域,eBPF技术可以用于实时监测和控制容器和虚拟机的网络和存储活动,以提高应用的安全性、可靠性和性能。在存储领域,eBPF技术可以用于文件系统跟踪、故障检测、数据备份和恢复等多个方面。

eBPF技术在多个领域中提供了高效且可编程的能力,可以轻松得到内核中排查问题的数据,同时消除了一些可能伴随着动态追踪工具使用的一些性能瓶颈和操作系统风险,进而提供更可靠、安全、及高效的操作系统监控和调试方案。与传统的工具(如strace和DTrace)相比,它们提供了更丰富的指令集和功能,可以更好的处理更为复杂的问题。

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
李****辉
2文章数
0粉丝数
李****辉
2 文章 | 0 粉丝
Ta的热门文章查看更多
浅析Prometheus TSDB数据存储eBPF入门介绍和使用示例
李****辉
2文章数
0粉丝数
李****辉
2 文章 | 0 粉丝
原创

eBPF入门介绍和使用示例

容器安全服务
2023-08-17 05:45:47
75
0

什么是eBPF?

      eBPF技术是Linux内核中的一种新型虚拟机技术。它提供了一种灵活的机制,可以在内核中运行高度优化的代码,用于各种问题的解决,例如监测和过滤网络流量、系统调用跟踪、性能分析等。

      eBPF的全称是Extended Berkeley Packet Filter,它是基于传统的Berkeley Packet Filter(BPF)技术的扩展,后者最初是为在网络接口上过滤流量而设计的。eBPF技术可以在Linux内核中运行用户定义的代码,因此可以用于各种目的。eBPF程序由LLVM编译器编译,可以与内核代码链接并在内核中运行。eBPF技术的主要优点是它在内核中运行、可编程的代码具有高性能,因为它们是与内核代码直接链接并优化的。它还提供了对内核底层的细粒度访问,使得它能用于处理和监控许多系统事件。

eBPF使用示例

      eBPF技术可应用于网络流量监控,其在TCP/IP网络协议层捕获包并进行分析。例如:通过使用tcptracer-bpf工具,可以轻松的监测网络流量,查看报文的源IP、目的IP、协议、端口、数据等信息,以便进行有针对性的网络安全检测和攻击防护。下文通过一个Demo示例进行简要说明,基本操作流程如下:

  1. 确认内核版本

 确认内核版本是4.4及以上版本,以支持eBPF模块的加载和使用。

$ uname -a 
Linux localhost 5.6.12-1.el7.elrepo.x86_64 #1 SMP Fri May 8 20:07:17 EDT 2020 x86_64 x86_64 x86_64 GNU/Linux
  1. 安装tcptracer-bpf工具

      本次demo使用的是tcptracer-bpf工具,该工具可以用于在TCP流上安装eBPF程序,并可以监听、捕获、打印流量数据包。tcptracer-bpf工具使用C语言编写,需使用GCC编译为可执行文件。你可以在GitHub上找到这个项目,下载安装包或者通过仓库克隆该项目。

$ git clone https://github.com/brendangregg/tcptracer-bpf.git
$ cd tcptracer-bpf
$ make

 

  1. 运行demo脚本

      这里使用一个demo脚本来展示tcptracer-bpf工具的使用方法,你可以在这个脚本中查看和分析tcp流量信息,并根据特定情况编写eBPF程序进行网络安全监测。

$ sudo ./tcptracer-bpf -i eth0

    使用sudo权限来运行tcptracer-bpf命令,进行网络流量的监测。运行上面的脚本,将开始监控eth0网络接口,tcptracer-bpf将开始侦听该接口,并打印关于TCP流的数据包。

  1. 分析流量数据

      启动上面的脚本后,tcptracer-bpf将开始捕获TCP流量数据,这些数据可以用于用于网络流量的分析和监测。这里我们使用tcptracer-bpf来监控一个运行HTTP服务的服务器,并打印相关的流量信息。当你使用浏览器访问该服务器时,tcptracer-bpf将捕获到流量数据。此时,你可以在控制台上看到每个TCP流量数据包的详细信息,例如:

  102.34.45.23:8080    10.64.0.91:43902      ESTABLISHED    9      2587      1d7fc26b2eddd6cf        0

  10.64.0.91:43902     102.34.45.23:8080     ESTABLISHED    9      4022      140af323a9c7d9d9        0

  102.34.45.23:8080    10.64.0.91:43902      ESTABLISHED    9      6760      1d7fc26b2eddd6cf        0

  102.34.45.23:8080    10.64.0.91:43902      ESTABLISHED    9      8907      1d7fc26b2eddd6cf        0

  10.64.0.91:43902     102.34.45.23:8080     ESTABLISHED    9      1888      140af323a9c7d9d9        0

以上是一个简单的安全监测例子,除此之外,我们可以根据需要对tcptracer-bpf进行定制化编写,以便监测涉及更多安全问题的数据包。

总结

eBPF作为一个能够运行在内核空间的高效工具,可以大大提高流量捕获速度和分析效率。除了网络安全监测,eBPF技术还可以用于各种系统问题的解决。在性能分析方面,eBPF技术可以用于跟踪系统调用,监测网络流量和磁盘I/O等,以便识别和消除系统瓶颈,优化性能。在容器和虚拟化领域,eBPF技术可以用于实时监测和控制容器和虚拟机的网络和存储活动,以提高应用的安全性、可靠性和性能。在存储领域,eBPF技术可以用于文件系统跟踪、故障检测、数据备份和恢复等多个方面。

eBPF技术在多个领域中提供了高效且可编程的能力,可以轻松得到内核中排查问题的数据,同时消除了一些可能伴随着动态追踪工具使用的一些性能瓶颈和操作系统风险,进而提供更可靠、安全、及高效的操作系统监控和调试方案。与传统的工具(如strace和DTrace)相比,它们提供了更丰富的指令集和功能,可以更好的处理更为复杂的问题。

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
eBPF入门
1 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0
售前咨询热线
400-810-9889转1
  • 天翼云APP
    天翼云APP
  • 天翼云微信公众号
    微信公众号
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2024天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号