深入了解BPF程序类型
1. BPF程序基础与运行特点
大多数BPF程序只有具有root权限的用户才能加载到内核中。当运行一个BPF程序时,即使你没有对计算机进行任何操作,几秒钟后也会开始看到 “Hello, BPF World!” 消息。这是因为计算机后台运行的程序可能正在执行其他程序。
当停止这个程序时,消息将不再显示在终端中。一旦加载BPF程序的程序终止,BPF程序就会从虚拟机中卸载。在很多情况下,你可能希望BPF程序在后台运行,无论其他进程是否正在运行,都能从系统中收集数据。
2. BPF程序类型分类
虽然BPF程序没有明确的分类,但根据其主要用途,可大致分为两类:
-追踪类:这类程序能帮助你更好地了解系统中正在发生的事情。它们可以提供系统行为和硬件运行情况的直接信息,能够访问特定程序的内存区域,提取运行进程的执行跟踪信息,还能直接访问每个特定进程分配的资源,包括文件描述符、CPU和内存使用情况。
-网络类:这类程序允许你检查和操作系统中的网络流量。可以过滤来自网络接口的数据包,甚至完全拒绝这些数据包。不同类型的程序可以附加到内核中网络处理的不同阶段,这有其优缺点。例如,在网络驱动程序接收到数据包时就附加BPF程序,此时程序对数据包的信息访问较少,因为内核还没有足够的信息;而在数据包即将传递到用户空间之前附加程序,虽然能获得更多关于数据包的信息,有助于做出更明智的决策,但需要付出完全处理数据包的代价。
3. 常见BPF程序类型介绍
以下按程序添加到内核的时间顺序介绍一些常见的BPF程序类型:
