ebpf 是一种创新的革命性技术,它能在内核中运行沙箱程序, 而无需修改内核源码或者加载内核模块。将 Linux 内核变成可编程之后,就能基于现有的(而非增加新的)抽象层来打造更加智能、 功能更加丰富的基础设施软件,而不会增加系统的复杂度,也不会牺牲执行效率和安全性。BPF 的第一个版本在 1994 年问世。我们在使用 tcpdump 工具编写规则的时候其实就使用到它了,该工具用于查看或”嗅探”网络数据包。使用 ebpf 技术,你可以从安全、跟踪&性能分析、网络、观测&监控等方向提供新的思路和技术:安全:可以从系统调用级、packet 层、socket 层进行安全检查,比如开发 DDOS 防护……