awesome ebpf

與EBPF相關的令人敬畏的項目的精心策劃列表。

BPF（如伯克利數據包過濾器中）是一種從用戶空間傳遞的內核虛擬機。最初在BSD，然後是Linux上實現的（現為遺產）“經典BPF”或CBPF計算機將與TCPDUMP之類的工具一起使用，用於過濾內核中的數據包，以避免使用用戶空間的無用副本。最近，Linux中的BPF基礎架構已完全重新設計，並賦予了“擴展的BPF”或EBPF的生命，該基礎架構獲得了新功能（安全性和終止檢查，用於程序，持久地圖，標準庫，硬件卸載支持等），現在用於許多任務。處理非常低級別（XDP）的處理數據包，系統上的跟踪和監視事件，或對CGROUP進行訪問控制只是EBPF帶來性能，可編程性和靈活性的一些示例。

最近，Cilium推出了一個關於EBPF的很棒的網站，稱為EBPF.IO。它具有與此列表相似的目的，並介紹了EBPF並鏈接到相關項目。

注意：EBPF是一項令人興奮的技術，其生態系統正在不斷發展。我們希望您能為您提供幫助，以使這一出色的列表保持最新狀態，並以我們可以提高其信噪比。請隨時留下任何反饋。

• 參考文檔
• 文章和演講
• 教程
• 例子
• EBPF工作流程：工具和實用程序
• 與EBPF有關的項目
• 安全性EBPF
• 代碼
• 發展和社區
• EBPF上的其他資源列表
• 致謝

• EBPF.IO-一個發現EBPF的所有基礎知識的門戶，包括列出主要相關項目和社區資源的列表。
• Cilium的BPF和XDP參考指南 - 有關EBPF的大多數功能和方面的深入文檔。

• BPF文檔 - 與Linux內核配備的BPF相關文檔的索引。
• linux/documentation/networking/filter.RST -EBPF規範（有點過時；信息仍然有效，但不要詳盡）。
• BPF設計問答 - 關於BPF基礎架構背後的決策的常見問題。
• 如何與BPF子系統互動 - 關於為EBPF開發做出貢獻的常見問題。

• bpf(2) - 關於bpf()系統調用的手冊頁，用於管理BPF程序和用戶空間中的地圖。
• tc-bpf(8) - 有關將BPF與TC一起使用的手冊頁，包括示例命令和代碼示例。
• bpf-helpers(7)人頁 - 內核內幫手功能的描述，形成了BPF標準庫。

• IO遮陽板的非官方EBPF規格 - EBPF語法和操作代碼的摘要。

• Jesper Dangaard Brouer的文檔 - 正在進行的工作，歡迎捐款。

• 從戴維·米勒（David Miller）到XDP紐比斯郵件列表的電子郵件：

  • bpf.h和你...
  • 上下文說...
  • BPF驗證者概述

• 每個內核版本的BPF功能列表

如果您是EBPF的新手，則可能需要嘗試本節中描述的“介紹”的鏈接。

• 簡要介紹XDP和EBPF-可訪問的簡介提供了上下文，歷史記錄以及有關EBPF功能的詳細信息。

• EBPF概述 - Adrian Ratiu的博客系列，涵蓋EBPF基礎架構的許多方面：

  • 第1部分：簡介
  • 第2部分：機器和字節碼

• Ferris Ellis關於EBPF的博客文章 - 他們有一些有關EBPF的文章：

  • 第1部分：過去，現在和未來
  • 第2部分：Syscall和地圖類型

• BPF參考指南 - 關於BCC存儲庫的BPF C和BCC Python幫助者。

• 通過BPF和XDP使內核的網絡數據路徑可以編程 - 一組幻燈片涵蓋了有關EBPF和XDP的所有基礎知識（主要用於網絡處理）。

• BSD數據包過濾器 - 簡介主要涵蓋了追踪方面。

• BPF：跟踪等等 - 介紹主要涵蓋追踪方面。

• Linux BPF SuperPowers-簡介主要涵蓋了帶有火焰圖的第一部分。

• IO遮陽板 - 還介紹了IO遮陽板項目。

• BPF-內核虛擬機 - 由EBPF的作者演示。

• 擴展了擴展BPF-從2014年開始的一篇博客文章，介紹了BPF的開發並通過將EBPF程序附加到套接字上，以使用狀態套接字過濾的示例來說明它可以做什麼。

• 格雷格·馬斯登（Greg Marsden）提供了一些有關EBPF的文件：

  • 參觀程序類型 - 對BPF程序類型的所有現有掛鉤及其感興趣的描述。
  • BPF助手功能 - 對內核函數的綜述，可以從EBPF程序中調用。
  • 與用戶空間進行通信 - BPF如何與用戶空間進行通信-BPF地圖，PERF EVENT，BPF_TRACE_PRINTK。
  • 構建BPF程序 - 設置您的環境以構建BPF程序。
  • BPF字節碼和BPF驗證器 - BPF如何確保程序安全？
  • 使用BPF進行數據包轉換 - 關於數據包轉換的一種EBPF使用情況。

• Linux內核通過EBPF的可觀察性 - 涵蓋EBPF的基礎知識的博客文章以及如何在如何構建和加載最小的EBPF程序中的代碼樣本中。

• EBPF-從程序員的角度來看 - 一篇簡短的論文描述了EBPF的基礎知識以及如何開始編寫EBPF程序。

• CloudFlare在EBPF上的博客文章 - 有關網絡用例和EBPF低級方面的不同博客文章。

• Linux擴展BPF（EBPF）跟踪工具 - 圍繞使用EBPF的性能分析工具的示例的深入信息集合。在頁面末尾還包含有關其他資源的部分。

• EBPF的初學者指南 - 一組實時編碼對話和隨附的代碼示例，使用各種庫和程序類型介紹EBPF編程。

• 丹尼爾·伯克曼（Daniel Borkmann）做了幾篇演講和論文，涵蓋了EBPF的內部，特別是關於與TC的使用。

  • EBPF和XDP演練以及最近的（2017）更新
  • TC的CLS_BPF的高級可編程性和最新更新 - EBPF上的詳細信息，其用於隧道和封裝，直接數據包訪問等等。
  • cls_bpf/eBPF更新自NetDev 1.1以來 - 本TC研討會的一部分。
  • 在使用CLS_BPF- EBPF簡介的TC分類器完全編程時，包括多個功能（地圖管理，尾聲，驗證器）。完整的紙在這裡也可用。
  • Linux TC和EBPF

• IO遮陽板博客

• Linux網絡解釋了 - Linux網絡內部設備，有關EBPF的一部分。

• 使用EBPF和BPFTRACE在Linux上進行全系統動態跟踪 - 與EBPF進行跟踪的詳細介紹，從列出可用跟踪點到運行BPFTrace程序。
• EBPF和內核跟踪之間的cute -kprobes，uprobes，ftrace。
• Linux內核跟踪 - SystemTap，kernelshark，trace-cmd，lttng，perf-tool，ftrace，hist-trigger，perf，perf，函數示踪劑，跟踪點，kprobe/uprobe等。
• Brendan Gregg的博客，特別是Linux BPF Superpowers文章。

• Express數據路徑 - 對XDP的非常易於訪問的介紹，提供了示例代碼以顯示如何處理數據包。

• 技術論文中的所有XDP詳細信息：Express數據路徑：操作系統內核中的快速可編程數據包處理，TokeHøiland-Jørgensen，Jesper Dangaard Brouer，Daniel Borkmann，John Fastabend，Tom Fastabend，Tom Herbert，David Ahern和David Ahern，都是必不可少的EBPF和XDP貢獻者。

• XDP的進行工作文檔

• BPF和XDP參考指南 - Cilium Project的指南。

• XDP項目概述

• Express Data Path（XDP） - 關於XDP的第一個介紹。

• BOF- BPF可以為您做什麼？

• Express數據路徑 - 包含使用MLX4驅動程序獲得的一些基準結果。

• Jesper Dangaard Brouer有幾套幻燈片描述XDP的內部：

  • XDP-表達數據路徑，介紹和未來用例 - Linux內核與DPDK的鬥爭。 XDP的未來計劃（截至撰寫本文時）和與DPDK的比較。
  • 網絡性能研討會 - 有關XDP內部和預期演變的其他提示。
  • XDP - 用於DDOS保護的Express數據路徑 - 有關XDP的詳細信息和用例，具有基準結果，以及用於基準測試的代碼片段以及使用EBPF/XDP的基本DDOS保護（基於IP黑名單方案）。
  • 內存與網絡，挑釁和修復內存瓶頸 - 有關XDP開發人員面臨的當前內存問題的高級詳細信息。
  • 我們其他人的XDP - 如何開始使用EBPF和XDP來適合普通人。朱莉婭·埃文斯（Julia Evans）在她的博客上也總結了。
  • XDP現在使用重定向 - 更新XDP，尤其是在重定向操作上。

• XDP研討會 - 簡介，經驗和未來開發（視頻）

• Linux上的高速數據包過濾 - 關於Linux上的數據包過濾，DDOS保護，內核中的數據包處理，內核旁路，XDP和EBPF。

• 如何刪除每秒1000萬個數據包-Cloudflare的博客文章，談論他們使用XDP進行數據包過濾的轉移。

• af_xdp- af_xdp地址家族的內核文檔。
• 使用AF_XDP在Linux中的快速數據包處理

• 為什麼內核社區用BPF代替iPtables？ - Cilium關於EBPF和BPFILTER背後的動機的博客文章，並使用EBPF和BPFILTER鏈接了一些示例和鏈接到其他項目。
• BPFILTER：帶有EBPF醬的Linux防火牆 - Quentin Monnet的演講中的幻燈片，具有EBPF背景，並將BPFilter與Iptables進行了比較。

• BPF類型格式（BTF） - 有關BTF的內核文檔，解釋瞭如何使用它。
• 使用BTF類型信息增強Linux內核 - 與BTF一起完成的工作的描述，以提供BPF程序的調試信息。
• 什麼是BTF（BPF類型格式） - 一個由社區創作的新聞通訊豐富了有用的代碼插圖和動手示例。

• BSD數據包過濾器：用於用戶級數據包捕獲的新體系結構 - 有關（經典）BPF的原始論文。
• 關於BPF的FreeBSD手冊頁
• Linux'數據包MMAP（2），BPF和NetSniff-ng
• TC和CLS BPF：與BPF分類的輕質數據包
• 引入CloudFlare的BPF工具 - 使用xt_bpf模塊的iptables使用BPF字節碼。
• libpcap濾波器語法

• EBPF/XDP硬件卸載到Smartnics -NetRonome引入的TC或XDP（Linux內核4.9+）的EBPF的硬件卸載。
• 綜合XDP卸載---處理邊緣案例 - 上述主題的更新。
• HBPF-硬件中的EBPF-為FPGA編寫的EBPF CPU。
• OPENCSD EBPF SSD卸載 - 帶有FUSE LFS文件系統的計算存儲模擬（QEMU）平台，用於劃分命名空間NVME SSD，使用UBPF來計算內核卸載，所有這些都在用戶空間中。
• Delilah：計算存儲上的EBPF扣除 - Delilah是為EBPF卸載到存儲設備的計算存儲處理器（CSP）。

• BCC參考指南 - 開始使用BCC和EBPF的許多增量步驟，主要集中於跟踪和監視。
• BCC Python開發人員教程 - 帶有BCC，但針對17個“課程”的Python位。
• 使用LIBBPF-bootstrap構建BPF應用程序 - 有助於生成最小或高級模板，以引導自己的應用程序（用於地圖和程序的內核側和用戶空間管理），具有諸如Co-RE，Global Global變量和環形緩衝區之類的功能。
• 我最終使用EBPF在Pure C中編寫OpenSnoop的方式 - 徹底的演練如何編寫EBPF程序，首先僅使用BPF（）SYSCALL，然後是LibBPF庫，然後使用可重複的代碼示例。
• Linux追踪研討會材料 - 涉及使用幾種BPF工具進行跟踪。
• 使用Linux TracePoints，Perf和EBPF追踪數據包旅程 - 對PERT和BCC程序進行故障排除和答复。
• 打開NFP平台 - 由NetRonome運營：與網絡相關的EBPF用例的一些教程，包括EBPF卸載起始指南。
• 我們其他人的XDP - 第一版研討會，將從XDP開始。
• XDP為我們其他人 - 第二版，帶有新內容。
• 使用IP（IPROUTE2）命令加載XDP程序
• XDP動手教程 - 一個漸進式（三個級別的難度）教程，用於學習如何使用XDP處理數據包。
• 您所有的跟踪均屬於BPF-將C ++應用程序中的跟踪功能與LLVM庫中集成在一起的逐步演練。
• 使用BPF/XDP進行防火牆：示例和深水潛水 - 一個簡單的指南，用於使用TC和XDP構建基本防火牆。
• 深入研究EBPF：編寫有效的DNS監視。 - 用於捕獲插座過濾層的DNS請求的方法的詳細說明。
• EBPF開發人員教程 - 通過示例學習EBPF - 從EBPF基礎知識開始，並使用20多個動手教程和示例來進步到高級主題。使用LIBBPF和Co-RE涵蓋性能，網絡和安全性。有中文和英語。
• 捕獲EBPF中的性能回歸 - 逐步指南，用於基準用Rust編寫的客戶和內核EBPF代碼。
• EBPF中的循環和迭代器 - 有關在EBPF中循環和迭代的所有方法的通訊。
• EBPF可以在實時SSL/TLS加密流量中提供哪些見解？ - 逐步指南EBPF如何觀察加密的網絡流量。
• EBPF可以在重新出現問題之前檢測到它們嗎？ - 逐步指南EBPF如何觀察客戶端和服務器之間的REDIS通信。
• 使用EBPF和GO的透明代理實現 - 關於如何使用EBPF實現透明代理的分步指南。
• EBPF驅動負載平衡 - 了解EBPF如何通過SO_REUSEPORT TCP選項推斷出在同一端口偵聽服務的自定義負載平衡。
• 單元測試EBPF程序 - 了解如何使用LIBBPF單元測試您的EBPF程序。
• 使用EBPF加速本地插座通信 - 了解EBPF如何加速本地插座通信高達30％。

• Linux/samples/bpf/ - 在內核樹中：一些示例EBPF程序。
• Linux/Tools/Testing/SelfTests/BPF-在內核樹中：Linux BPF自我測試，帶有許多EBPF程序。
• Prototype-Kernel/kernel/samples/bpf-Jesper Dangaard Brouer的原型內核存儲庫包含一些其他示例，這些示例可以在內核基礎架構之外編譯。
• IPROUTE2/示例/bpf/ - 一些網絡程序將附加到TC接口。
• NetRonome示例網絡應用程序 - 提供了與硬件卸載兼容的基本但完整的示例。
• BCC/示例 - 與BCC工具一起使用的示例，主要是關於跟踪。
• BCC/工具 - 這些工具本身可以看作是BPF程序的示例用例，主要用於跟踪和監視。 BCC工具已包裝用於某些Linux發行版。
• MPLSINIP樣本 - 大量評論的樣本，演示瞭如何將MPL封裝在IP中。該代碼對BPF開發的新手進行了評論。
• EBPF -samples-收集的一組編譯（作為精靈對象文件）的集合（作為精靈對象文件），主要旨在用作用戶空間驗證器的測試用例。
• EBPF-kill-example- EBPF探測器的全面記錄和測試示例，該探測器記錄所有力殺並在用戶空間中打印出來。
• REDBPF示例 - 使用REDBPF在RUST中編寫EBPF程序的示例程序。
• XDP/TC-EBPF示例 - 使用XDP/TC-EBPF提供狀態fludll的防火牆和插座重定向的程序。

• BCC-框架和一組工具 - 處理BPF程序的一種方法，特別是用於跟踪和監視。還包括一些可以幫助檢查系統上的地圖或程序的實用程序。
• BCC的LUA前端 - C的另一種替代方法，甚至是BCC中使用的大多數Python代碼。

• IPROUTE2-包含Linux網絡管理工具的軟件包。特別是，它包含用於管理EBPF過濾器和操作的tc ，以及用於管理XDP程序的ip 。與BPF相關的大多數代碼都在lib/bpf.c中。
• IPROUTE2-Next-開發樹，與Net-Next同步。

• LLVM-包含EBPF工作流中使用的幾種工具。可以從此處檢索到Ubuntu/Debian的最新版本的快照。

  • Clang用於以Elf格式（Clang v3.7.1+）將C彙編為EBPF對象文件。該提交添加了BPF後端。
  • llvm-objdump用於以人類可讀格式傾倒對象文件的內容，可能使用初始C源代碼（LLVM-OBJDUMP v4.0+）。
  • LLVM-MC用於從LLVM中間表示形式到EBPF對象文件，因此可以從C到EBPF彙編，帶有彙編的修補程序，然後編譯到Elf文件。

• LIBBPF-用於處理BPF對象（程序和地圖）的AC庫，並操縱包含它們的ELF對象文件。它用內核運輸，並在github上鏡像。
• LIBBPF-bootstrap-用LIBBPF和BPF Co-RE開發BPF應用程序開發的腳手架。

• cilium/ebpf-純庫庫讀取，修改和加載EBPF程序，並將其連接到Linux內核中的各種鉤子上。
• LIBBPFGO -EBPF庫，由LIBBPF提供支持。
• GOBPF-為創建EBPF程序的BCC綁定。

• AYA-一個純銹庫，用於編寫，加載和管理EBPF對象，重點是開發人員的經驗和可操作性。它支持在Rust中編寫EBPF程序，並通過Crates.io將庫代碼分發，以在EBPF程序之間共享。 aya不依賴於libbpf。
• Aya -Template-用於在AYA中編寫BPF應用程序的模板，可與cargo generate 。
• EBPFGuard-使用EBPF編寫Linux安全策略的Rust庫。

• ZBPF-一個純ZIG框架，用於編寫跨平台EBPF程序，由LIBBPF和ZIG工具鏈提供動力。

• EUNOMIA-BPF-以多種語言和WebAssembly的形式構建，分發，動態加載和運行Co-RE EBPF應用程序，以構建，分發，加載和運行Co-Re EBPF應用程序。它支持僅編寫EBPF內核代碼（構建簡單的Co-Re LibBPF EBPF應用程序），在BCC和LIBBPF樣式中編寫內核部分，並在WASM模塊中使用多種語言編寫用戶空間，並使用簡單的JSON DATA或WASM OCI IMAGES將其分發。運行時僅基於LIBBPF，並為BCC風格的EBPF程序提供了連接，而無需依賴LLVM庫。

• OxideBPF-用於管理用於安全用例的EBPF程序的純銹庫。該功能集比其他庫更有限，但強調了各種內核和向後兼容的彙編典型運行的最多空間的穩定性。

• bpftool-也在內核樹中的其他一些工具，在Linux/Tools/net/for for 4.15之前的版本或Linux/Tools/bpf/之後：

  • bpftool可用於與用戶空間中的EBPF程序和地圖進行交互的通用實用程序，例如顯示，轉儲，加載，拆卸，固定，PIN程序，或顯示，創建，固定，更新，刪除地圖，或將程序連接和分離為Cgroups。
  • bpf_asm最小CBPF組裝程序。
  • bpf_dbg CBPF程序的小型調試器。
  • bpf_jit_disasm兩種BPF口味的拆卸器，對於JIT調試可能非常有用。

• UBPF-用C編寫的C。
• 通用實現 - 支持FreeBSD內核，FreeBSD用戶空間，Linux內核，Linux用戶空間和MacOS用戶空間。用於Vale軟件開關的BPF擴展模塊。
• RBPF-用生鏽寫。 Linux下的Linux，MacOS和Windows的解釋器，以及Linux下的X86_64的Jit-Compiler。
• 盛行 - 使用抽象解釋層的EBPF的用戶空間驗證器，並支持循環。
• Oster-寫作。通過將EBPF連接到Uprobes來追踪執行GO程序的工具。
• WACHY-旨在使基於EBPF的基於OBPF的調試更容易使用的追踪探險家。這是通過在源代碼旁邊的UI中顯示軌跡並允許交互式鑽取分析來完成的。

• Windows的EBPF-此項目是一個正在進行的工作，它允許使用Linux生態系統中熟悉的現有EBPF工具鍊和API，可以在Windows頂部使用。

• Vagrant設置 - 輕鬆測試XDP。現在存在通用XDP（主要用於測試）的通用XDP（主要用於測試）。
• 碼頭容器中的BCC

• P4與EBPF有一些互動：

  • p4在邊緣-P4帶有EBPF，以創建高性能的可編程開關。
  • OVS軌道劇集（＃11），在邊緣上稱為P4 - 與以前的項目有關。 Ben Pfaff對John Fastabend的音頻採訪，Ben Pfaff是Open Vswitch的核心維護者之一。
  • P4，EBPF和Linux TC卸載-P4具有與NetRonome NFP（網絡流處理器）體系結構上的EBPF硬件卸載相關的一些元素。
  • 使用EBPF的P4使用的舊文檔 - 來自BCC存儲庫；由下面鏈接的P4_16後端棄用。
  • P4_16 EBPF的後端

• Cilium Project（GitHub存儲庫）是一項依靠BPF和XDP的技術，可以為基於Fly Fly生成的EBPF程序的容器提供“快速內核網絡和安全策略執行”。許多演示文稿可用（重疊）：

  • Cilium：具有BPF和XDP容器的網絡和安全性 - 還具有負載平衡器用例
  • Cilium：具有BPF和XDP的容器的網絡和安全性 - 視頻
  • Cilium：使用BPF和XDP的快速IPv6集裝箱網絡
  • Cilium：BPF和XDP容器
  • OVS軌道劇集（＃4） - 本·普法夫（Ben Pfaff）的托馬斯·格拉夫（Thomas Graf）採訪。
  • 纖毛的通用簡介
  • 播客採訪了托馬斯·格拉夫（Thomas Graf）-Ivan Pepelnjak在2016年10月在EBPF，P4，XDP和Cilium上採訪了Thomas。

• Open Vswitch（OVS）及其相關項目開放虛擬網絡（OVN，開源網絡虛擬化解決方案）正在考慮在各個級別使用EBPF：

  • 使用EBPF卸載OVS流量處理
  • 將OVN的靈活性與Iovisor的效率耦合

• Katran-基於XDP的第4層負載 - 平衡器，由Facebook開源。

• 實踐中XDP：在我們的DDOS緩解管道中集成XDP - 在CloudFlare的XDP對DDOS的保護。

• 液滴：由BPF + XDP驅動的DDOS對策 - 在Facebook上使用XDP對DDOS進行保護。

• DPDK具有基於AF_XDP的投票模式驅動程序（PMD）

• CETH用於XDP-更快網絡I/O的常見以太網驅動程序框架，這是Mellanox發起的一項技術。

• 開源侵入檢測系統Suricata依靠EBPF組件的“捕獲旁路”功能：

  • Suricata文檔的“ EBPF和XDP”部分
  • Septun -Mark -II-極端性能調整指南-Mark II。
  • 介紹該功能的博客文章
  • 在EBPF土地上進行的活動冒險
  • 從Meerkat的眼中看到EBPF和XDP

• Project Calico -Calico是用於容器，虛擬機和基於本機主機工作負載的開源網絡和網絡安全解決方案。 Calico的EBPF數據平面具有富含網絡安全策略模型的低潛伏期，高吞吐量數據平面。

  • 使用印花布啟用EBPF數據平面

• MERBRIDGE-使用EBPF加快服務網格。 Merbridge用EBPF替換Iptables規則以攔截流量。它還結合了msg_redirect，以減少延遲，並在旁邊和服務之間縮短數據路徑。

• PCApplusplus-一個開源C ++庫，用於捕獲，解析和製作網絡數據包。它具有用於創建AF_XDP插座的C ++接口，從而易於通過它們發送和接收數據包。

• inkev：內核內分佈式網絡虛擬化DCN
• Deep-Mon-幫助測量服務器的功耗，並使用EBPF程序進行數據內匯總。
• Pixie-使用EBPF的Kubernetes可觀察性。功能包括協議跟踪，申請分析以及對分佈式BPFTRACE部署的支持。
• Skywalking Rover-Apache Skywalking是一個開源應用程序性能監控（APM）平台，專門為具有微服務，雲原始和基於容器的（Kubernetes）架構的分佈式系統設計。 Skywalking Rover是C，C ++，Golang和Rust應用程序的基於EBPF的探查器和指標收集器。
• PARCA-AGENT-基於EBPF的始終連續分析儀，用於分析CPU和內存使用情況，直到線號和整個時間。
• rbperf-對Ruby的採樣探測器和示踪劑。
• Hubble-使用EBPF的Kubernetes網絡，服務和安全性可觀察性。
• Caretta -EBPF生成的Instant Kubernetes服務依賴圖，grafana實例。
• DeepFlow-基於EBPF的雲本地和AI應用的即時可觀察性。

• FALCO-雲本地運行時安全項目用作Kubernetes威脅檢測引擎。
• Sysmon for Linux-安全監視工具。這取決於sysinsentersebpf。
• Red Canary Linux代理-Red Canary已開始將EBPF納入其Linux安全傳感器。
• TRACEE-用於Linux的運行時安全性和法醫工具，該工具使用EBPF技術在運行時跟踪系統和應用程序，並分析收集的事件以檢測可疑行為模式。
• Redcanary-EBPF傳感器 - 一組BPF程序，從Linux內核中收集安全性事件數據。將BPF程序合併到一個單一的ELF文件中，可以從該文件中選擇性地加載單個探針，具體取決於運行的操作系統和內核版本。
• BPFLOCK-鎖定Linux機器 - 用於鎖定和審核Linux機器的EBPF驅動的安全工具。
• Tetragon-Kubernetes-Aware，基於EBPF的可觀察性和運行時執行。
• 魚叉 - 使用EBPF從用戶空間函數跟踪SYSCALL。

• ply-一個針對Linux的小但靈活的開源動態示踪劑，具有類似於BCC工具的功能，但具有更簡單的語言，靈感來自Awk和Dtrace。
• BPFTRACE-一種使用其自己的高級追踪語言追踪的工具。它具有足夠的靈活性，可以被設想為用於DTRACE和SYSTEMTAP的Linux替換。
  • bpftrace備忘單 - bpftrace編程的摘要和備忘單。包含有關語法，探針類型，變量和功能的信息。
• kubectl跟踪 - 用於在kubernetes群集中執行bpftrace程序的kubectl插件。
• Inspektor-GADGET-基於EBPF的工具集合，用於調試和檢查Kubernetes資源和應用程序。
• BPFD-用於運行BPF程序的框架，其中包括Linux作為守護程序的規則。容器知道。
• BPFD-一個獨特的BPF守護程序，試圖利用BCC工具的靈活性來追踪和調試遠程目標，特別是使用Android運行的設備。
• ADEB-使用BPFD在Android上使用跟踪工具的Linux Shell環境。
• GREGGD-系統守護程序將EBPF程序編譯和加載到內核中，然後將程序輸出轉發到套接字以進行度量聚合。
• 保險絲 - 考慮使用EBPF。
• UPF-BPF-基於5G UPF的XDP的內核解決方案。
• REDBPF-工具和框架有效地編寫EBPF代碼。
• EBPF -explorer-一個用於探索系統地圖和程序的Web界面。
• EBPFMON-用於實時監視EBPF程序的TUI（終端用戶界面）應用程序。
• BPFMAN- Linux和Kubernetes的EBPF經理。包括一個內置的程序加載程序，該加載程序支持XDP和TC程序的程序合作，以及OCI圖像中EBPF程序的部署。
• PTCPDUMP-一種基於EBPF的過程感知的TCPDUMP樣工具。

• 擁抱紅色：進攻性BPF！ - 圍繞BPF引入的一系列帖子，重點放在進攻環境中，以及如何檢測其濫用。帖子包括有關EBPF的詞根功能的討論，或在不同用例中需要進行跟踪類型的討論。
• EBPF：通過BPF LSM進行Block Linux Fualteal有效載荷“惡意軟件”執行 - 博客文章，介紹BPF如何幫助檢測和阻止無歸檔惡意軟件。
• Blackhat 2021：與像EBPF這樣的朋友，誰需要敵人？ - 談論EBPF rootkit以及如何濫用EBPF的功能。 Rootkit也是EBPF Defcon進行演講的對象，我認為我們是朋友！
• EBPFKIT-一個利用多個EBPF功能實現進攻安全技術的rootkit。
• EBPFKIT -MONITOR-一個實用程序，可以靜態分析EBPF字節碼或監視運行時可疑的EBPF活動。它是專門設計用於檢測EBPFKIT的。
• BPF不良 - 惡意EBPF程序的集合，它利用EBPF在USERMODE程序和內核之間讀取和編寫用戶數據的能力。
• TripleCross-帶有後門，C2，圖書館注入，執行劫持，持久性和隱​​形功能的Linux EBPF rootkit。

• linux/include/linux/bpf.h-與linux/include/upli/uapi/bpf.h：與EBPF相關的定義，分別在內核中使用並與用戶空間程序進行交互。

• linux/include/linux/filter.h-與linux/include/uapi/filter.h：用於運行BPF程序本身的信息。

• linux/kernel/bpf/ - 此目錄包含大多數與BPF相關的代碼。特別是這些文件值得：

  • syscall.c系統調用允許的不同操作，例如程序加載或地圖管理。
  • core.c -BPF解釋器。
  • verifier.c -BPF驗證者。

• linux/net/core/filter.c-功能和與網絡有關的EBPF幫助者（TC，XDP等）;還包含將CBPF字節遷移到EBPF的代碼（所有CBPF程序均在最近的內核中轉換為EBPF）。

• linux/bernel/trace/bpf_trace.c-功能和EBPF幫助者與跟踪和監視有關（Kprobes，TracePoints等）。

• JIT編譯器位於其各自架構的目錄下，例如File Linux/Arch/x86/net/bpf_it_comp.c for x86。對於用於硬件卸載的JIT編譯器，坐在驅動程序中，例如Linux/drivers/net/net/ethernet/netronome/nfp/nfp/bpf/jit.c，用於NetRonome NFP。

• linux/net/sched/ - ，尤其是在文件中act_bpf.c （action）和cls_bpf.c （filter）：與BPF操作和使用TC相關的代碼。

• Linux/kernel/seccomp.c

• linux/net/core/dev.c-包含函數dev_change_xdp_fd() ，該函數通過NetLink命令調用以將XDP程序掛接到設備，然後將IS從用戶空間加載到內核之後。依次使用此功能使用相關驅動程序的回調。

• BPF -Next樹 - BPF補丁在這棵樹中降落。它經常合併為net-next，本身就是每個發行版與Linus樹的合併。
• 內核文檔 - 關於BPF的貢獻。
• NetDev郵件列表 - Linux內核網絡堆棧開發的郵件列表。所有補丁都發送到那里以進行審查和包容。
• XDP -Newbies-專門用於XDP編程的郵件列表（無論是用於架構還是尋求幫助）。
• IO遮陽板郵件列表-BPF是該項目的核心，並在郵件列表上定期討論。
• @Iovisor Twitter帳戶
• XDP協作項目 - 一個GitHub存儲庫，其中有關於XDP未來發展的註釋和想法。

• IO遮陽板的BCC文檔
• IO遮陽板的BPF-DOCS存儲庫
• 潛入BPF：閱讀材料列表

感謝Quentin Monnet和Daniel Borkmann在Dive In Toive中的最初工作：閱讀材料的清單，這成為了此列表的基礎。

歡迎捐款！首先閱讀貢獻指南。

根據法律的可能，Zoidbergwill放棄了所有版權以及這項工作的相關或鄰近權利。