《周锋-第二届eBPF开发者大会报告-xcap.pdf》由会员分享,可在线阅读,更多相关《周锋-第二届eBPF开发者大会报告-xcap.pdf(16页珍藏版)》请在三个皮匠报告上搜索。
1、基于eBPF的下一代网络抓包工具第二届 eBPF开发者大会w w w.e b p f t r a v e l.c o m周锋字节跳动STE团队简介典型使用场景实现原理未来计划Q&A第二届 eBPF开发者大会w w w.e b p f t r a v e l.c o mtcpdump抓包点位置固定:入向是xdp之后,tc之前;出向是tc之后bpftrace+skboutput无法做到tcpdump语法进行过滤第 二 届 e B P F 开 发 者 大 会简介自定义抓包位置功能可高度定制第 二 届 e B P F 开 发 者 大 会简介基于eBPF进行hook,保证安全和灵活依赖bcc生成字节码,
2、并load和attach第 二 届 e B P F 开 发 者 大 会简介1.内核丢包第 二 届 e B P F 开 发 者 大 会典型应用场景2.AF_XDP环境抓包第 二 届 e B P F 开 发 者 大 会典型应用场景整体架构图第 二 届 e B P F 开 发 者 大 会实现原理bcc集成了llvm的功能,可即时编译生成字节码,并load和attach第 二 届 e B P F 开 发 者 大 会实现原理tcpdump语法转换为c函数第 二 届 e B P F 开 发 者 大 会实现原理skb结构体和报文的对应关系第 二 届 e B P F 开 发 者 大 会实现原理用sock伪造s
3、kb报文第 二 届 e B P F 开 发 者 大 会实现原理如何将过滤后的报文生成pcap第 二 届 e B P F 开 发 者 大 会实现原理开源计划:github开源集成到字节veLinux系统第 二 届 e B P F 开 发 者 大 会未来计划优化方向:使用bpf ringbuf代替perf ringbuf,性能更好,内存消耗更少使用vmlinux btf来自动解析内核函数的参数使用fentry,fexit来降低hook的性能损耗尝试用低开销的uprobe技术,支持DPDK抓包(如:bpftime项目)第 二 届 e B P F 开 发 者 大 会未来计划我们是字节跳动 STE 团队(System Technologies&Engineering,系统技术与工程),聚焦系统技术领域的前沿技术动态,技术创新与实践、行业技术热点等,期待与你的交流。第 二 届 e B P F 开 发 者 大 会Q&A欢迎关注【字节跳动SYS Tech】公众号