llvm

eBPF 是一个用于访问 Linux 内核服务和硬件的新技术，由于其灵活性和高性能等特点，被迅速用于网络、出错、跟踪以及防火墙等多场景。目前国内已有少数企业开始尝试将 eBPF 引入生产实践，又拍云也是其中一个。专为技术开发者提供知识分享的 Open Talk 公开课邀请了又拍云开发工程师周晨约直播分享 eBPF 的学习经验与开发心得，并对其分享内容进行整理，下拉至文末点击阅读原文可回看原视频。 大家好，今天分享的主题是《eBPF 探索之旅》，围绕三部分展开： eBPF 是什么 eBPF 能做什么 如何编写 eBPF 程序 认识 eBPF eBPF 是什么，从字面上来看是扩展伯克利包处理器，那伯克利包处理器是什么呢？ 在此之前先来了解一个性能优秀的常用抓包工具：tcpdump tcpdump 图中展示了两个常用指令 指令一：指定 IP 和端口，可以抓到 IP 为 220.173.103.227，端口为 80 的包 指令二：加上 grep，可以过滤出带有 route 字段的数据 那么 tcpdump 又是如何做到通过用户提供的规则处理网络上收到的包，再 copy 给用户的呢？如果放在用户层，就需要在系统里所有 socket 读写的时候做一层处理，把规则放上去，这样做难度太大。而 tcpdump 是基于 libpcap 库实现的，libpcap 能做到在驱动将包交给内核网络时