編寫說明編寫單位：浪潮電子信息產業股份有限公司、濟南浪潮數據技術有限公司前言方便的內核可編程性等特點成為實現內核定制與功能多樣性的最佳選擇，為內核提 8 9 9 74 1eBPF簡介統內核)運行沙盒程序。它可以安全有效地擴展內核的功能，并且不需要更改內核源eBPF從根本上改變了上述情況，它允許在內核中運行沙箱程序，即通過運行2eBPF技術介紹2.1.1eBPF加載過程重定位是指在編譯、加載的過程中把字節碼中一些臨時數據以更準確的信息進指針的安全性檢查在第二個階段實現，每次把指針加載到寄存器時都會進行指2.1.2JIT編譯直接執行機器碼，這樣就解決了每次執行都需要進行中間碼解析的問題，如下圖所2.1.3掛載與執行根據設計與需求提前在內核指定位置通過提前嵌入代碼實現的，初始時函數指針是加載器讀取到map信息后調用系統調用創建eBPFmap，系統調用返回由eBPF常見程序類型主要用于從系統中提取跟蹤信息，進等主要用于對網絡數據包進行過濾和處行邏輯的情況下，對操作系統進行深入的分析間，而不需要像傳統系統一樣必須將大量的采樣數據全部傳輸到用戶空間再進行分核和安全模塊的解耦，使不同的安全模塊可以自在，開發人員可以通過eBPF編寫自定義的安全策略，并將2.2.1BCC2.2.2bpfTrace強大的單行代碼和簡短的工具。它自定義了自己的DSL作為前端，底層也是調用2.2.3libbpf頭文件就行，不需要再安裝內核頭文件（vmlinux.從而解決了由于數據結構在不同內核版本間的變化導致的兼容2.2.4libbpf-bootstrap2.2.5cilium-ebpf2.2.6Coolbpf開發&測試組件提供了多語言開發和自動化測試功能；編譯組件提供了多種編譯方3.1.1系統診斷面臨挑戰等協作工具的不穩定性，影響遠程團隊的工作效率和溝1、網絡數據包分析工具：如Wireshark、tcpdump能夠獲取到文件訪問信息以及該進程所在的調試內存泄漏問題是一項復雜而具有挑戰性的任務。這涉及詳細檢查應用程序常見的干擾源是中斷搶占。當中斷搶占時間過長時，可能會導致業務進程調度不及戶來說可能需要一定的專業知識進行分析，并且難以準確定位根3.1.2基于eBPF的系統診斷方案診斷方案應運而生，為系統在網絡、IO、內存和調度等方面的診斷提供了更強大的網絡抖動問題定位周期長，定位難度大（跨很多組件業務影響嚴重的特點，ICMP_ECHOREPLY)協議的網絡延遲探測協議，通過發送和解析探測報文來定位報的回包后，可以獲取所有時間戳數據進行分析，以確定存在延filepath:文件路徑,當在一次采集周期內由于進程訪問文獲取不到文件名則為"-"如進程來自某個容器，在文件名后綴會顯示[containterId:2、當內核分配內存時，memleak會在eBTIME(irqoff)3.1.3基于eBPF的Profiling取并保存函數調用棧，保證問題發生后能夠回溯到當時的問題現場，而的哪一段代碼在CPU上消耗資源。而offcpu我們希望看到應用是否是自愿放棄?地址：函數調用的內存地址?文件名：源代碼文件名稱?行號：源代碼中的行號通過前面的方法獲取到了內核態和用戶態棧信息后，需要在用戶態將ContinuesProfiling整體架構我們事先需要部署agent去負責profiling，在server端去查看數據。在中心端SysOM:/anolis/sysom節點端SysAK:/anolis/sysakeBPF采集端Coolbpf:/anolis/coolbpf3.2.1虛擬化IO全路徑分析主要面臨的挑戰2、客戶操作系統塊設備物理地址(guestblockLBA)到虛擬磁盤文件內偏移3.2.2基于bpftrace虛擬化IO路徑追蹤解決方案主要功能關鍵技術2、virtio前后端分析：完成virtio前端（virtio-blk/virtio-scsi、virtio-2、追蹤結果按預定義格式保存到raw輸出，供reporter解析；圖3-2-4IO性能追蹤工具repor3.3.1TCP監控面臨的挑戰時等信息。但是這種方式依賴業務邏輯適配側采集時間，能夠獲取到整個通信路徑上的延遲。該方式需要用戶修改業務邏輯適3.3.2基于eBPF的TCP監控方案為了克服了傳統TCP監控方式的缺陷，龍蜥社區基于eBP數據下載時間。對于下載比較大的數據響應，該信息的3.4.1Linux網絡性能優化面臨的挑戰隨著當前芯片等硬件制造工藝的持續進步，網卡支持的帶寬及處理能力越來越傳統網絡性能優化方案存在諸多問題更多網絡協議和特性卸載。但這種方案還存載能力不一定具有通用性，帶來的性能提升可能無法與其不同平臺上的兼容性可能存在差異。某些特定的硬件設備或操作系統版本可能無法配置和調優問題：DPDK提供了豐富的配置選項和優化以及相關的元數據，這些都需要占用一定的內存空間。DPDK通過3.4.2基于eBPF的Linux內核網絡性能優化解決方案整體架構XDP可直接掛載至可編程的智能網卡上，執行效率最高，但對硬件有一定要求。作系統進行數據處理，它的執行性能相對也很高。對于還沒有實現native或供的通用XDP兼容模式，它可以在沒有硬件或驅動程序支持的主機上執行XDP行，但性能相對較低。nativeXDP掛載點在poll函數之后，在內核收包函數應用實踐夠帶來大幅的性能提升。相比kube-proxy等傳統實現方案，包轉發率能夠提高3.5.1傳統流量鏡像面臨的挑戰在數據中心中存在多種流量鏡像方案，包括基于交換機端口鏡像的硬件流量鏡庫的流量這增加了數據傳輸量以及后期流量篩選和分可擴展性問題：基于交換機或iptables/ovs3.5.2基于eBPF的流量鏡像解決方案3.5.3應用實踐在某大型企業客服系統容器化遷移項目中，線上客服業務相關數據庫從物理機量采集后無法直接分析，還需要針對性的解封裝，增加了整3.6.1傳統網絡訪問控制面臨的挑戰系，當出現問題時難以快速定位到具體的規則，不易兼容性問題：可能與同樣基于iptabl3.6.2基于eBPF的網絡訪問控制解決方案兼容性強：eBPF程序作用于操作系統網絡入口，能夠避免與運行如提供更加靈活易用的安全加固語義規則、支持標記/鏡像等更多的網絡包處理3.6.3應用實踐某銀行清算系統部分服務運行于私有云平臺互聯網區，其通過傳統的軟件防火也通過iptables方案實現，因此兩種上下線業務期間常會出現配置不當、互聯網與云內流量規則沖突引起訪問控制異常leBPF流量訪問規則作用于互聯網通信網卡tc入口，不影響云內流量路徑l流量在互聯網通信網卡tc處被限制，可以做到與云內流量更加安全的隔離3.7.1基于eBPF實現網絡功能的優勢1.eBPF作為一種起源于內核的2.相比于DPDK等方案，eB3.eBPF允許動態加載用戶代碼然后安全地在內核3.7.2eBPF實現網絡功能面臨的技術挑戰bpf_get_prandom_u32對于網絡功能來說性能開銷太大。如果每一個包都調用一現有的解決方案存在的缺陷為了解決這兩個技術挑戰，可以考慮兩種解決方案。第一種解決方案是增強第二種解決方案是將所有功能無法實現的和性能下降的網絡功能實現為內核模3.7.3基于標準庫的優化eBPF網絡功能技術方案整體架構為了在不修改內核的前提下，解決上述的技術挑戰，我們設計并實現一個可供eBPF調用的網絡功能標準庫eNetSTL。eNetSTL將上述的通用的模我們驗證了跳表的查找性能和插入性能，可以看到使用eN達到了70.9%的峰值。這是由于隨著哈希函低負載場景下，優化主要體現在使用hw_hash_crc替代基于軟件的哈希計算和3.8.1傳統解決方案面臨挑戰傳統安全檢測和防御方案采用內核模塊技術，內核模塊技術是通過編寫內核模斷低3.8.2基于eBPF的新一代安全解決方案和合規性的同時，解決傳統內核模塊方式帶來的系統穩定性和性主要功能2、主機入侵檢測：基于規則引擎可以對黑客的入侵行為進行檢測和自動處置。基于“誘餌”行為監測的勒索病毒防御，及時發現和阻止勒索病毒整體架構/test//test/bin/完全信任業務軟件自身程序，對業務軟件的程序不做任何攔截，保障業務/test/bin/其他任何程序都無法終止以及對業務4、黑客入侵：攻擊者對被保護的文件進行編輯或刪除等操作，進入內核LSMmap安全策略和匹配。在獲取主體進程時作、進程創建、網絡連接等行為。基于MITREATT&CK（AdversarialTactics,文件描述符0,1,2,3文件描述符選擇實施加固和擴展，以便更好地滿足對不同用戶不同場景的配置安全基