awesome ebpf

与EBPF相关的令人敬畏的项目的精心策划列表。

BPF（如伯克利数据包过滤器中）是一种从用户空间传递的内核虚拟机。最初在BSD，然后是Linux上实现的（现为遗产）“经典BPF”或CBPF计算机将与TCPDUMP之类的工具一起使用，用于过滤内核中的数据包，以避免使用用户空间的无用副本。最近，Linux中的BPF基础架构已完全重新设计，并赋予了“扩展的BPF”或EBPF的生命，该基础架构获得了新功能（安全性和终止检查，用于程序，持久地图，标准库，硬件卸载支持等），现在用于许多任务。处理非常低级别（XDP）的处理数据包，系统上的跟踪和监视事件，或对CGROUP进行访问控制只是EBPF带来性能，可编程性和灵活性的一些示例。

最近，Cilium推出了一个关于EBPF的很棒的网站，称为EBPF.IO。它具有与此列表相似的目的，并介绍了EBPF并链接到相关项目。

注意：EBPF是一项令人兴奋的技术，其生态系统正在不断发展。我们希望您能为您提供帮助，以使这一出色的列表保持最新状态，并以我们可以提高其信噪比。请随时留下任何反馈。

• 参考文档
• 文章和演讲
• 教程
• 例子
• EBPF工作流程：工具和实用程序
• 与EBPF有关的项目
• 安全性EBPF
• 代码
• 发展和社区
• EBPF上的其他资源列表
• 致谢

• EBPF.IO-一个发现EBPF的所有基础知识的门户，包括列出主要相关项目和社区资源的列表。
• Cilium的BPF和XDP参考指南 - 有关EBPF的大多数功能和方面的深入文档。

• BPF文档 - 与Linux内核配备的BPF相关文档的索引。
• linux/documentation/networking/filter.RST -EBPF规范（有点过时；信息仍然有效，但不要详尽）。
• BPF设计问答 - 关于BPF基础架构背后的决策的常见问题。
• 如何与BPF子系统互动 - 关于为EBPF开发做出贡献的常见问题。

• bpf(2) - 关于bpf()系统调用的手册页，用于管理BPF程序和用户空间中的地图。
• tc-bpf(8) - 有关将BPF与TC一起使用的手册页，包括示例命令和代码示例。
• bpf-helpers(7)人页 - 内核内帮手功能的描述，形成了BPF标准库。

• IO遮阳板的非官方EBPF规格 - EBPF语法和操作代码的摘要。

• Jesper Dangaard Brouer的文档 - 正在进行的工作，欢迎捐款。

• 从戴维·米勒（David Miller）到XDP纽比斯邮件列表的电子邮件：

  • bpf.h和你...
  • 上下文说...
  • BPF验证者概述

• 每个内核版本的BPF功能列表

如果您是EBPF的新手，则可能需要尝试本节中描述的“介绍”的链接。

• 简要介绍XDP和EBPF-可访问的简介提供了上下文，历史记录以及有关EBPF功能的详细信息。

• EBPF概述 - Adrian Ratiu的博客系列，涵盖EBPF基础架构的许多方面：

  • 第1部分：简介
  • 第2部分：机器和字节码

• Ferris Ellis关于EBPF的博客文章 - 他们有一些有关EBPF的文章：

  • 第1部分：过去，现在和未来
  • 第2部分：Syscall和地图类型

• BPF参考指南 - 关于BCC存储库的BPF C和BCC Python帮助者。

• 通过BPF和XDP使内核的网络数据路径可以编程 - 一组幻灯片涵盖了有关EBPF和XDP的所有基础知识（主要用于网络处理）。

• BSD数据包过滤器 - 简介主要涵盖了追踪方面。

• BPF：跟踪等等 - 介绍主要涵盖追踪方面。

• Linux BPF SuperPowers-简介主要涵盖了带有火焰图的第一部分。

• IO遮阳板 - 还介绍了IO遮阳板项目。

• BPF-内核虚拟机 - 由EBPF的作者演示。

• 扩展了扩展BPF-从2014年开始的一篇博客文章，介绍了BPF的开发并通过将EBPF程序附加到套接字上，以使用状态套接字过滤的示例来说明它可以做什么。

• 格雷格·马斯登（Greg Marsden）提供了一些有关EBPF的文件：

  • 参观程序类型 - 对BPF程序类型的所有现有挂钩及其感兴趣的描述。
  • BPF助手功能 - 对内核函数的综述，可以从EBPF程序中调用。
  • 与用户空间进行通信 - BPF如何与用户空间进行通信-BPF地图，PERF EVENT，BPF_TRACE_PRINTK。
  • 构建BPF程序 - 设置您的环境以构建BPF程序。
  • BPF字节码和BPF验证器 - BPF如何确保程序安全？
  • 使用BPF进行数据包转换 - 关于数据包转换的一种EBPF使用情况。

• Linux内核通过EBPF的可观察性 - 涵盖EBPF的基础知识的博客文章以及如何在如何构建和加载最小的EBPF程序中的代码样本中。

• EBPF-从程序员的角度来看 - 一篇简短的论文描述了EBPF的基础知识以及如何开始编写EBPF程序。

• CloudFlare在EBPF上的博客文章 - 有关网络用例和EBPF低级方面的不同博客文章。

• Linux扩展BPF（EBPF）跟踪工具 - 围绕使用EBPF的性能分析工具的示例的深入信息集合。在页面末尾还包含有关其他资源的部分。

• EBPF的初学者指南 - 一组实时编码对话和随附的代码示例，使用各种库和程序类型介绍EBPF编程。

• 丹尼尔·伯克曼（Daniel Borkmann）做了几篇演讲和论文，涵盖了EBPF的内部，特别是关于与TC的使用。

  • EBPF和XDP演练以及最近的（2017）更新
  • TC的CLS_BPF的高级可编程性和最新更新 - EBPF上的详细信息，其用于隧道和封装，直接数据包访问等等。
  • cls_bpf/eBPF更新自NetDev 1.1以来 - 本TC研讨会的一部分。
  • 在使用CLS_BPF- EBPF简介的TC分类器完全编程时，包括多个功能（地图管理，尾声，验证器）。完整的纸在这里也可用。
  • Linux TC和EBPF

• IO遮阳板博客

• Linux网络解释了 - Linux网络内部设备，有关EBPF的一部分。

• 使用EBPF和BPFTRACE在Linux上进行全系统动态跟踪 - 与EBPF进行跟踪的详细介绍，从列出可用跟踪点到运行BPFTrace程序。
• EBPF和内核跟踪之间的cute -kprobes，uprobes，ftrace。
• Linux内核跟踪 - SystemTap，kernelshark，trace-cmd，lttng，perf-tool，ftrace，hist-trigger，perf，perf，函数示踪剂，跟踪点，kprobe/uprobe等。
• Brendan Gregg的博客，特别是Linux BPF Superpowers文章。

• Express数据路径 - 对XDP的非常易于访问的介绍，提供了示例代码以显示如何处理数据包。

• 技术论文中的所有XDP详细信息：Express数据路径：操作系统内核中的快速可编程数据包处理，TokeHøiland-Jørgensen，Jesper Dangaard Brouer，Daniel Borkmann，John Fastabend，Tom Fastabend，Tom Herbert，David Ahern和David Ahern，都是必不可少的EBPF和XDP贡献者。

• XDP的进行工作文档

• BPF和XDP参考指南 - Cilium Project的指南。

• XDP项目概述

• Express Data Path（XDP） - 关于XDP的第一个介绍。

• BOF- BPF可以为您做什么？

• Express数据路径 - 包含使用MLX4驱动程序获得的一些基准结果。

• Jesper Dangaard Brouer有几套幻灯片描述XDP的内部：

  • XDP-表达数据路径，介绍和未来用例 - Linux内核与DPDK的斗争。 XDP的未来计划（截至撰写本文时）和与DPDK的比较。
  • 网络性能研讨会 - 有关XDP内部和预期演变的其他提示。
  • XDP - 用于DDOS保护的Express数据路径 - 有关XDP的详细信息和用例，具有基准结果，以及用于基准测试的代码片段以及使用EBPF/XDP的基本DDOS保护（基于IP黑名单方案）。
  • 内存与网络，挑衅和修复内存瓶颈 - 有关XDP开发人员面临的当前内存问题的高级详细信息。
  • 我们其他人的XDP - 如何开始使用EBPF和XDP来适合普通人。朱莉娅·埃文斯（Julia Evans）在她的博客上也总结了。
  • XDP现在使用重定向 - 更新XDP，尤其是在重定向操作上。

• XDP研讨会 - 简介，经验和未来开发（视频）

• Linux上的高速数据包过滤 - 关于Linux上的数据包过滤，DDOS保护，内核中的数据包处理，内核旁路，XDP和EBPF。

• 如何删除每秒1000万个数据包-Cloudflare的博客文章，谈论他们使用XDP进行数据包过滤的转移。

• af_xdp- af_xdp地址家族的内核文档。
• 使用AF_XDP在Linux中的快速数据包处理

• 为什么内核社区用BPF代替iPtables？ - Cilium关于EBPF和BPFILTER背后的动机的博客文章，并使用EBPF和BPFILTER链接了一些示例和链接到其他项目。
• BPFILTER：带有EBPF酱的Linux防火墙 - Quentin Monnet的演讲中的幻灯片，具有EBPF背景，并将BPFilter与Iptables进行了比较。

• BPF类型格式（BTF） - 有关BTF的内核文档，解释了如何使用它。
• 使用BTF类型信息增强Linux内核 - 与BTF一起完成的工作的描述，以提供BPF程序的调试信息。
• 什么是BTF（BPF类型格式） - 一个由社区创作的新闻通讯丰富了有用的代码插图和动手示例。

• BSD数据包过滤器：用于用户级数据包捕获的新体系结构 - 有关（经典）BPF的原始论文。
• 关于BPF的FreeBSD手册页
• Linux'数据包MMAP（2），BPF和NetSniff-ng
• TC和CLS BPF：与BPF分类的轻质数据包
• 引入CloudFlare的BPF工具 - 使用xt_bpf模块的iptables使用BPF字节码。
• libpcap滤波器语法

• EBPF/XDP硬件卸载到Smartnics -NetRonome引入的TC或XDP（Linux内核4.9+）的EBPF的硬件卸载。
• 综合XDP卸载---处理边缘案例 - 上述主题的更新。
• HBPF-硬件中的EBPF-为FPGA编写的EBPF CPU。
• OPENCSD EBPF SSD卸载 - 带有FUSE LFS文件系统的计算存储模拟（QEMU）平台，用于划分命名空间NVME SSD，使用UBPF来计算内核卸载，所有这些都在用户空间中。
• Delilah：计算存储上的EBPF扣除 - Delilah是为EBPF卸载到存储设备的计算存储处理器（CSP）。

• BCC参考指南 - 开始使用BCC和EBPF的许多增量步骤，主要集中于跟踪和监视。
• BCC Python开发人员教程 - 带有BCC，但针对17个“课程”的Python位。
• 使用LIBBPF-bootstrap构建BPF应用程序 - 有助于生成最小或高级模板，以引导自己的应用程序（用于地图和程序的内核侧和用户空间管理），具有诸如Co-RE，Global Global变量和环形缓冲区之类的功能。
• 我最终使用EBPF在Pure C中编写OpenSnoop的方式 - 彻底的演练如何编写EBPF程序，首先仅使用BPF（）SYSCALL，然后是LibBPF库，然后使用可重复的代码示例。
• Linux追踪研讨会材料 - 涉及使用几种BPF工具进行跟踪。
• 使用Linux TracePoints，Perf和EBPF追踪数据包旅程 - 对PERT和BCC程序进行故障排除和答复。
• 打开NFP平台 - 由NetRonome运营：与网络相关的EBPF用例的一些教程，包括EBPF卸载起始指南。
• 我们其他人的XDP - 第一版研讨会，将从XDP开始。
• XDP为我们其他人 - 第二版，带有新内容。
• 使用IP（IPROUTE2）命令加载XDP程序
• XDP动手教程 - 一个渐进式（三个级别的难度）教程，用于学习如何使用XDP处理数据包。
• 您所有的跟踪均属于BPF-将C ++应用程序中的跟踪功能与LLVM库中集成在一起的逐步演练。
• 使用BPF/XDP进行防火墙：示例和深水潜水 - 一个简单的指南，用于使用TC和XDP构建基本防火墙。
• 深入研究EBPF：编写有效的DNS监视。 - 用于捕获插座过滤层的DNS请求的方法的详细说明。
• EBPF开发人员教程 - 通过示例学习EBPF - 从EBPF基础知识开始，并使用20多个动手教程和示例来进步到高级主题。使用LIBBPF和Co-RE涵盖性能，网络和安全性。有中文和英语。
• 捕获EBPF中的性能回归 - 逐步指南，用于基准用Rust编写的客户和内核EBPF代码。
• EBPF中的循环和迭代器 - 有关在EBPF中循环和迭代的所有方法的通讯。
• EBPF可以在实时SSL/TLS加密流量中提供哪些见解？ - 逐步指南EBPF如何观察加密的网络流量。
• EBPF可以在重新出现问题之前检测到它们吗？ - 逐步指南EBPF如何观察客户端和服务器之间的REDIS通信。
• 使用EBPF和GO的透明代理实现 - 关于如何使用EBPF实现透明代理的分步指南。
• EBPF驱动负载平衡 - 了解EBPF如何通过SO_REUSEPORT TCP选项推断出在同一端口侦听服务的自定义负载平衡。
• 单元测试EBPF程序 - 了解如何使用LIBBPF单元测试您的EBPF程序。
• 使用EBPF加速本地插座通信 - 了解EBPF如何加速本地插座通信高达30％。

• Linux/samples/bpf/ - 在内核树中：一些示例EBPF程序。
• Linux/Tools/Testing/SelfTests/BPF-在内核树中：Linux BPF自我测试，带有许多EBPF程序。
• Prototype-Kernel/kernel/samples/bpf-Jesper Dangaard Brouer的原型内核存储库包含一些其他示例，这些示例可以在内核基础架构之外编译。
• IPROUTE2/示例/bpf/ - 一些网络程序将附加到TC接口。
• NetRonome示例网络应用程序 - 提供了与硬件卸载兼容的基本但完整的示例。
• BCC/示例 - 与BCC工具一起使用的示例，主要是关于跟踪。
• BCC/工具 - 这些工具本身可以看作是BPF程序的示例用例，主要用于跟踪和监视。 BCC工具已包装用于某些Linux发行版。
• MPLSINIP样本 - 大量评论的样本，演示了如何将MPL封装在IP中。该代码对BPF开发的新手进行了评论。
• EBPF -samples-收集的一组编译（作为精灵对象文件）的集合（作为精灵对象文件），主要旨在用作用户空间验证器的测试用例。
• EBPF-kill-example- EBPF探测器的全面记录和测试示例，该探测器记录所有力杀并在用户空间中打印出来。
• REDBPF示例 - 使用REDBPF在RUST中编写EBPF程序的示例程序。
• XDP/TC-EBPF示例 - 使用XDP/TC-EBPF提供状态fludll的防火墙和插座重定向的程序。

• BCC-框架和一组工具 - 处理BPF程序的一种方法，特别是用于跟踪和监视。还包括一些可以帮助检查系统上的地图或程序的实用程序。
• BCC的LUA前端 - C的另一种替代方法，甚至是BCC中使用的大多数Python代码。

• IPROUTE2-包含Linux网络管理工具的软件包。特别是，它包含用于管理EBPF过滤器和操作的tc ，以及用于管理XDP程序的ip 。与BPF相关的大多数代码都在lib/bpf.c中。
• IPROUTE2-Next-开发树，与Net-Next同步。

• LLVM-包含EBPF工作流中使用的几种工具。可以从此处检索到Ubuntu/Debian的最新版本的快照。

  • Clang用于以Elf格式（Clang v3.7.1+）将C汇编为EBPF对象文件。该提交添加了BPF后端。
  • llvm-objdump用于以人类可读格式倾倒对象文件的内容，可能使用初始C源代码（LLVM-OBJDUMP v4.0+）。
  • LLVM-MC用于从LLVM中间表示形式到EBPF对象文件，因此可以从C到EBPF汇编，带有汇编的修补程序，然后编译到Elf文件。

• LIBBPF-用于处理BPF对象（程序和地图）的AC库，并操纵包含它们的ELF对象文件。它用内核运输，并在github上镜像。
• LIBBPF-bootstrap-用LIBBPF和BPF Co-RE开发BPF应用程序开发的脚手架。

• cilium/ebpf-纯库库读取，修改和加载EBPF程序，并将其连接到Linux内核中的各种钩子上。
• LIBBPFGO -EBPF库，由LIBBPF提供支持。
• GOBPF-为创建EBPF程序的BCC绑定。

• AYA-一个纯锈库，用于编写，加载和管理EBPF对象，重点是开发人员的经验和可操作性。它支持在Rust中编写EBPF程序，并通过Crates.io将库代码分发，以在EBPF程序之间共享。 aya不依赖于libbpf。
• Aya -Template-用于在AYA中编写BPF应用程序的模板，可与cargo generate 。
• EBPFGuard-使用EBPF编写Linux安全策略的Rust库。

• ZBPF-一个纯ZIG框架，用于编写跨平台EBPF程序，由LIBBPF和ZIG工具链提供动力。

• EUNOMIA-BPF-以多种语言和WebAssembly的形式构建，分发，动态加载和运行Co-RE EBPF应用程序，以构建，分发，加载和运行Co-Re EBPF应用程序。它支持仅编写EBPF内核代码（构建简单的Co-Re LibBPF EBPF应用程序），在BCC和LIBBPF样式中编写内核部分，并在WASM模块中使用多种语言编写用户空间，并使用简单的JSON DATA或WASM OCI IMAGES将其分发。运行时仅基于LIBBPF，并为BCC风格的EBPF程序提供了连接，而无需依赖LLVM库。

• OxideBPF-用于管理用于安全用例的EBPF程序的纯锈库。该功能集比其他库更有限，但强调了各种内核和向后兼容的汇编典型运行的最多空间的稳定性。

• bpftool-也在内核树中的其他一些工具，在Linux/Tools/net/for for 4.15之前的版本或Linux/Tools/bpf/之后：

  • bpftool可用于与用户空间中的EBPF程序和地图进行交互的通用实用程序，例如显示，转储，加载，拆卸，固定，PIN程序，或显示，创建，固定，更新，删除地图，或将程序连接和分离为Cgroups。
  • bpf_asm最小CBPF组装程序。
  • bpf_dbg CBPF程序的小型调试器。
  • bpf_jit_disasm两种BPF口味的拆卸器，对于JIT调试可能非常有用。

• UBPF-用C编写的C。
• 通用实现 - 支持FreeBSD内核，FreeBSD用户空间，Linux内核，Linux用户空间和MacOS用户空间。用于Vale软件开关的BPF扩展模块。
• RBPF-用生锈写。 Linux下的Linux，MacOS和Windows的解释器，以及Linux下的X86_64的Jit-Compiler。
• 盛行 - 使用抽象解释层的EBPF的用户空间验证器，并支持循环。
• Oster-写作。通过将EBPF连接到Uprobes来追踪执行GO程序的工具。
• WACHY-旨在使基于EBPF的基于OBPF的调试更容易使用的追踪探险家。这是通过在源代码旁边的UI中显示轨迹并允许交互式钻取分析来完成的。

• Windows的EBPF-此项目是一个正在进行的工作，它允许使用Linux生态系统中熟悉的现有EBPF工具链和API，可以在Windows顶部使用。

• Vagrant设置 - 轻松测试XDP。现在存在通用XDP（主要用于测试）的通用XDP（主要用于测试）。
• 码头容器中的BCC

• P4与EBPF有一些互动：

  • p4在边缘-P4带有EBPF，以创建高性能的可编程开关。
  • OVS轨道剧集（＃11），在边缘上称为P4 - 与以前的项目有关。 Ben Pfaff对John Fastabend的音频采访，Ben Pfaff是Open Vswitch的核心维护者之一。
  • P4，EBPF和Linux TC卸载-P4具有与NetRonome NFP（网络流处理器）体系结构上的EBPF硬件卸载相关的一些元素。
  • 使用EBPF的P4使用的旧文档 - 来自BCC存储库；由下面链接的P4_16后端弃用。
  • P4_16 EBPF的后端

• Cilium Project（GitHub存储库）是一项依靠BPF和XDP的技术，可以为基于Fly Fly生成的EBPF程序的容器提供“快速内核网络和安全策略执行”。许多演示文稿可用（重叠）：

  • Cilium：具有BPF和XDP容器的网络和安全性 - 还具有负载平衡器用例
  • Cilium：具有BPF和XDP的容器的网络和安全性 - 视频
  • Cilium：使用BPF和XDP的快速IPv6集装箱网络
  • Cilium：BPF和XDP容器
  • OVS轨道剧集（＃4） - 本·普法夫（Ben Pfaff）的托马斯·格拉夫（Thomas Graf）采访。
  • 纤毛的通用简介
  • 播客采访了托马斯·格拉夫（Thomas Graf）-Ivan Pepelnjak在2016年10月在EBPF，P4，XDP和Cilium上采访了Thomas。

• Open Vswitch（OVS）及其相关项目开放虚拟网络（OVN，开源网络虚拟化解决方案）正在考虑在各个级别使用EBPF：

  • 使用EBPF卸载OVS流量处理
  • 将OVN的灵活性与Iovisor的效率耦合

• Katran-基于XDP的第4层负载 - 平衡器，由Facebook开源。

• 实践中XDP：在我们的DDOS缓解管道中集成XDP - 在CloudFlare的XDP对DDOS的保护。

• 液滴：由BPF + XDP驱动的DDOS对策 - 在Facebook上使用XDP对DDOS进行保护。

• DPDK具有基于AF_XDP的投票模式驱动程序（PMD）

• CETH用于XDP-更快网络I/O的常见以太网驱动程序框架，这是Mellanox发起的一项技术。

• 开源侵入检测系统Suricata依靠EBPF组件的“捕获旁路”功能：

  • Suricata文档的“ EBPF和XDP”部分
  • Septun -Mark -II-极端性能调整指南-Mark II。
  • 介绍该功能的博客文章
  • 在EBPF土地上进行的活动冒险
  • 从Meerkat的眼中看到EBPF和XDP

• Project Calico -Calico是用于容器，虚拟机和基于本机主机工作负载的开源网络和网络安全解决方案。 Calico的EBPF数据平面具有富含网络安全策略模型的低潜伏期，高吞吐量数据平面。

  • 使用印花布启用EBPF数据平面

• MERBRIDGE-使用EBPF加快服务网格。 Merbridge用EBPF替换Iptables规则以拦截流量。它还结合了msg_redirect，以减少延迟，并在旁边和服务之间缩短数据路径。

• PCApplusplus-一个开源C ++库，用于捕获，解析和制作网络数据包。它具有用于创建AF_XDP插座的C ++接口，从而易于通过它们发送和接收数据包。

• inkev：内核内分布式网络虚拟化DCN
• Deep-Mon-帮助测量服务器的功耗，并使用EBPF程序进行数据内汇总。
• Pixie-使用EBPF的Kubernetes可观察性。功能包括协议跟踪，申请分析以及对分布式BPFTRACE部署的支持。
• Skywalking Rover-Apache Skywalking是一个开源应用程序性能监控（APM）平台，专门为具有微服务，云原始和基于容器的（Kubernetes）架构的分布式系统设计。 Skywalking Rover是C，C ++，Golang和Rust应用程序的基于EBPF的探查器和指标收集器。
• PARCA-AGENT-基于EBPF的始终连续分析仪，用于分析CPU和内存使用情况，直到线号和整个时间。
• rbperf-对Ruby的采样探测器和示踪剂。
• Hubble-使用EBPF的Kubernetes网络，服务和安全性可观察性。
• Caretta -EBPF生成的Instant Kubernetes服务依赖图，grafana实例。
• DeepFlow-基于EBPF的云本地和AI应用的即时可观察性。

• FALCO-云本地运行时安全项目用作Kubernetes威胁检测引擎。
• Sysmon for Linux-安全监视工具。这取决于sysinsentersebpf。
• Red Canary Linux代理-Red Canary已开始将EBPF纳入其Linux安全传感器。
• TRACEE-用于Linux的运行时安全性和法医工具，该工具使用EBPF技术在运行时跟踪系统和应用程序，并分析收集的事件以检测可疑行为模式。
• Redcanary-EBPF传感器 - 一组BPF程序，从Linux内核中收集安全性事件数据。将BPF程序合并到一个单一的ELF文件中，可以从该文件中选择性地加载单个探针，具体取决于运行的操作系统和内核版本。
• BPFLOCK-锁定Linux机器 - 用于锁定和审核Linux机器的EBPF驱动的安全工具。
• Tetragon-Kubernetes-Aware，基于EBPF的可观察性和运行时执行。
• 鱼叉 - 使用EBPF从用户空间函数跟踪SYSCALL。

• ply-一个针对Linux的小但灵活的开源动态示踪剂，具有类似于BCC工具的功能，但具有更简单的语言，灵感来自Awk和Dtrace。
• BPFTRACE-一种使用其自己的高级追踪语言追踪的工具。它具有足够的灵活性，可以被设想为用于DTRACE和SYSTEMTAP的Linux替换。
  • bpftrace备忘单 - bpftrace编程的摘要和备忘单。包含有关语法，探针类型，变量和功能的信息。
• kubectl跟踪 - 用于在kubernetes群集中执行bpftrace程序的kubectl插件。
• Inspektor-GADGET-基于EBPF的工具集合，用于调试和检查Kubernetes资源和应用程序。
• BPFD-用于运行BPF程序的框架，其中包括Linux作为守护程序的规则。容器知道。
• BPFD-一个独特的BPF守护程序，试图利用BCC工具的灵活性来追踪和调试远程目标，特别是使用Android运行的设备。
• ADEB-使用BPFD在Android上使用跟踪工具的Linux Shell环境。
• GREGGD-系统守护程序将EBPF程序编译和加载到内核中，然后将程序输出转发到套接字以进行度量聚合。
• 保险丝 - 考虑使用EBPF。
• UPF-BPF-基于5G UPF的XDP的内核解决方案。
• REDBPF-工具和框架有效地编写EBPF代码。
• EBPF -explorer-一个用于探索系统地图和程序的Web界面。
• EBPFMON-用于实时监视EBPF程序的TUI（终端用户界面）应用程序。
• BPFMAN- Linux和Kubernetes的EBPF经理。包括一个内置的程序加载程序，该加载程序支持XDP和TC程序的程序合作，以及OCI图像中EBPF程序的部署。
• PTCPDUMP-一种基于EBPF的过程感知的TCPDUMP样工具。

• 拥抱红色：进攻性BPF！ - 围绕BPF引入的一系列帖子，重点放在进攻环境中，以及如何检测其滥用。帖子包括有关EBPF的词根功能的讨论，或在不同用例中需要进行跟踪类型的讨论。
• EBPF：通过BPF LSM进行Block Linux Fualteal有效载荷“恶意软件”执行 - 博客文章，介绍BPF如何帮助检测和阻止无归档恶意软件。
• Blackhat 2021：与像EBPF这样的朋友，谁需要敌人？ - 谈论EBPF rootkit以及如何滥用EBPF的功能。 Rootkit也是EBPF Defcon进行演讲的对象，我认为我们是朋友！
• EBPFKIT-一个利用多个EBPF功能实现进攻安全技术的rootkit。
• EBPFKIT -MONITOR-一个实用程序，可以静态分析EBPF字节码或监视运行时可疑的EBPF活动。它是专门设计用于检测EBPFKIT的。
• BPF不良 - 恶意EBPF程序的集合，它利用EBPF在USERMODE程序和内核之间读取和编写用户数据的能力。
• TripleCross-带有后门，C2，图书馆注入，执行劫持，持久性和隐形功能的Linux EBPF rootkit。

• linux/include/linux/bpf.h-与linux/include/upli/uapi/bpf.h：与EBPF相关的定义，分别在内核中使用并与用户空间程序进行交互。

• linux/include/linux/filter.h-与linux/include/uapi/filter.h：用于运行BPF程序本身的信息。

• linux/kernel/bpf/ - 此目录包含大多数与BPF相关的代码。特别是这些文件值得：

  • syscall.c系统调用允许的不同操作，例如程序加载或地图管理。
  • core.c -BPF解释器。
  • verifier.c -BPF验证者。

• linux/net/core/filter.c-功能和与网络有关的EBPF帮助者（TC，XDP等）;还包含将CBPF字节迁移到EBPF的代码（所有CBPF程序均在最近的内核中转换为EBPF）。

• linux/bernel/trace/bpf_trace.c-功能和EBPF帮助者与跟踪和监视有关（Kprobes，TracePoints等）。

• JIT编译器位于其各自架构的目录下，例如File Linux/Arch/x86/net/bpf_it_comp.c for x86。对于用于硬件卸载的JIT编译器，坐在驱动程序中，例如Linux/drivers/net/net/ethernet/netronome/nfp/nfp/bpf/jit.c，用于NetRonome NFP。

• linux/net/sched/ - ，尤其是在文件中act_bpf.c （action）和cls_bpf.c （filter）：与BPF操作和使用TC相关的代码。

• Linux/kernel/seccomp.c

• linux/net/core/dev.c-包含函数dev_change_xdp_fd() ，该函数通过NetLink命令调用以将XDP程序挂接到设备，然后将IS从用户空间加载到内核之后。依次使用此功能使用相关驱动程序的回调。

• BPF -Next树 - BPF补丁在这棵树中降落。它经常合并为net-next，本身就是每个发行版与Linus树的合并。
• 内核文档 - 关于BPF的贡献。
• NetDev邮件列表 - Linux内核网络堆栈开发的邮件列表。所有补丁都发送到那里以进行审查和包容。
• XDP -Newbies-专门用于XDP编程的邮件列表（无论是用于架构还是寻求帮助）。
• IO遮阳板邮件列表-BPF是该项目的核心，并在邮件列表上定期讨论。
• @Iovisor Twitter帐户
• XDP协作项目 - 一个GitHub存储库，其中有关于XDP未来发展的注释和想法。

• IO遮阳板的BCC文档
• IO遮阳板的BPF-DOCS存储库
• 潜入BPF：阅读材料列表

感谢Quentin Monnet和Daniel Borkmann在Dive In Toive中的最初工作：阅读材料的清单，这成为了此列表的基础。

欢迎捐款！首先阅读贡献指南。

To the extent possible under law, zoidbergwill has waived all copyright and related or neighboring rights to this work.