BSD-Paketfilter

Der BPF ( Berkeley Packet Filter ) oder BSD-Paketfilter ist ein minimalistischer Code, der in den Kernel eingefügt wird und es dem Benutzer ermöglicht, Netzwerkfilter im Kernel durchzuführen. In seinen verschiedenen Versionen (Beispiel: eBPF (extend Berkeley Packet Filter)) wurden neue Werkzeuge implementiert, um die Erstellung von BPF-Programmen zu erleichtern. Darüber hinaus sind neue Einsatzgebiete erschlossen worden, wie zum Beispiel die Ereignisüberwachung im Kernel und dessen Tracing. Bis heute bestehen verschiedene Probleme, hauptsächlich auf der Ebene des Prüfers.

Definition

BPF wurde ursprünglich 1992 entwickelt und ist minimalistischer Binärcode, der aus dem Benutzerbereich in den Kernel injiziert wird . Es ermöglicht dem Benutzer, im Kernel zirkulierende Pakete zu filtern, ohne sie in den Benutzerbereich übertragen zu müssen. Aufgrund seiner minimalistischen Seite hat es jedoch nur wenige Anweisungen, außerdem wird es aufgrund seiner Programmierschwierigkeiten von einer kleinen Anzahl von Anwendungen wie tcpdump verwendet. Im Jahr 2013 hat Alexei Starovoitov (Software-Ingenieur, spezialisiert auf den Kernel bei Facebook) BPF komplett überarbeitet, indem er neue Funktionen hinzugefügt und seine Leistung verbessert hat. Diese neue Version heißt eBPF, im Gegensatz zu cBPF (klassisches BPF), das die vorherige Version bezeichnet. Diese neue Sprache ermöglicht die Gestaltung einer größeren Vielfalt von Anwendungsfällen, die sich in zwei Anwendungsbereiche unterteilen lassen. Der erste Bereich ist das Kernel-Tracing und -Monitoring, der zweite die Netzwerkprogrammierung.

Anwendungsfall

Es gibt mehrere Anwendungsfälle wie Tracing, Container-Firewall-Filterung oder -Netzwerk, Socket- Filterung, Paketfilterung und Datenverkehrssteuerung. Es ist auch möglich, auf der untersten Ebene des Netzwerkstapels zu filtern, also direkt durch den Treiber der Netzwerkschnittstellenkarte. So können Pakete sehr früh weggeworfen werden; XDP (Express Data Path) ist beispielsweise ein Projekt, das eBPF verwendet, das zur Verhinderung von Denial-of-Service-Angriffen verwendet werden kann . Darüber hinaus ermöglichen BPFs eine effiziente und flexible Überwachung der Netzwerkleistung für Anwendungen in virtuellen Maschinen , ein Beispiel ist das vNetTracer-Framework.

Hier ist eine nicht erschöpfende Liste von Projekten, die GMPs verwenden:

Verfolgung / Überwachung:

Bpftrace ist eine High-Level-Plottersprache zur Verbesserung von Linux Berkeley Packet Filters (eBPF), sie ist in neueren Versionen des Linux-Kernels (dh seit Version 4.x) verfügbar. Darüber hinaus verwendet bpftrace LLVM zum Kompilieren von Skripten und verwendet BCC, um mit dem Linux-BPF-System zu interagieren. Perf ist ein Tool zur Analyse der Systemleistung, das von der Linux-Kernel-Entwicklungsgemeinschaft entwickelt wurde. Lage ist ein schlankes dynamisches Tracing-Tool ohne andere Abhängigkeiten als libc. Es unterstützt x86_64 Arch64-, Arm- und PowerPC-Architekturen. Es kompiliert ply-Skripte in ein BPF-Programm und verwendet eine ähnliche Syntax wie C. Systemtipp ist ein unter der GPL lizenziertes Tracing-/Probing-Tool, mit dem Sie die Neukompilierungs-, Installations- und Neustartroutine umgehen können, um Daten zu sammeln. Es verfügt über eine Befehlszeilenschnittstelle sowie eine Skriptsprache. PCP steht für „Performance Co-Pilot“. Es ist ein ausgereiftes, erweiterbares, plattformübergreifendes Toolset, das eine Live- und retrospektive Analyse eines Systems ermöglicht. Zielfernrohr ist ein Tool zur Überwachung und Steuerung eines Docker-Containers in Echtzeit. Es bietet einen Überblick über Metriken, Tags und Container-Metadaten; sowie die Verwaltung von Containern.

Vernetzung:

Wimper ist Open-Source-Software, die Netzwerk- und Lastausgleichsverbindungen zwischen Anwendungscontainern oder -prozessen bereitstellt und sichert. Es ist in die Orchestrierungs-Frameworks von Kubernetes und Mesos integriert . Suricata ist ein Netzwerk- Intrusion-Detection- System, ein Intrusion-Prevention-System und ein Netzwerksicherheitskontrollgerät. Systemd ist eine Reihe von Programmen zur Systemverwaltung im Linux-Kernel. IProute2 ist eine Open-Source-Software, die Dienstprogramme zur Steuerung und Überwachung von Netzwerken im Linux-Kernel bereitstellt. P4c-xdp ist ein P4-Code-Backend-Compiler für XDP.

Andere:

LLVM ist ein C-Code-Compiler im eBPF-Programm. BCC steht für BPF Compiler Collection und ist ein Toolkit zum Schreiben effizienter Programme zum Verfolgen und Manipulieren des Kernels. Darüber hinaus erleichtert BCC das Schreiben von BPF-Programmen mit der Instrumentierung des Kernels in C und seiner Frontends in Python und lua . Libbpf ist eine BPF-Bibliothek, die es ermöglicht, BPF-Programme im von LLVM produzierten ELF-Format in den Kernel zu laden. Bpftool ist ein Werkzeug zur Inspektion und Manipulation von eBPF-Programmen. Gobpf ist eine GO- Bibliothek , die es dem BCC-Toolkit ermöglicht, eBPF-Programme aus GO-Code zu erstellen. Ebpf_asm ist ein Assembler für eBPF-Programme, der in einer ähnlichen Syntax wie Intel geschrieben ist.

Technischer Betrieb

BPF verwendet CFG- Kontrollflussdiagramme, um die bei der Paketanalyse verwendeten Kriterien darzustellen und auch für seine Leistung bei Baummodellausdrücken . Darüber hinaus werden diese Graphen von BPF verwendet, um Filterregeln aufzustellen, die es ermöglichen, CFG-Pfade, die für die Analyse eines Pakets unnötig sind, sowie redundante Vergleiche effektiv zu reduzieren. Der Datentransfer durch die Systemaufrufe erfolgt bidirektional zwischen dem Kernel und dem Userspace. Diese ermöglichen den ordnungsgemäßen Fortschritt der Injektion des eBPF-Binärcodes in den Kernel sowie die Übermittlung von Daten vom Zielkernel an einen User-Space-Prozess. Die vom BPF-Programm zugeordneten Pakete werden teilweise in einen Puffer kopiert, bevor sie in den Benutzerbereich übertragen werden. Mit BPF kann das Programm die Anzahl der Bytes des Pakets definieren, die in den Puffer kopiert werden sollen. Dies spart Zeit, da unnötige Daten nicht kopiert werden. Für TCP/IP/Ethernet-Pakete sind beispielsweise 134 Byte ausreichend. Ein Programm, das Statistiken über TCP-Frames erstellen möchte, kann nur einen Teil der Frames kopieren, wodurch Ausführungszeit gespart wird.

eBPF ist eine Erweiterung von BPF, die sich von dieser in mehreren Punkten unterscheidet: Das Laden von Programmen erfolgt durch den Benutzer und beim Beenden eines Programms wird überprüft, ob es sicher lauffähig ist. Die neueste Erweiterung von eBPF ist die Möglichkeit, auf gemeinsam genutzte Datenstrukturen zuzugreifen. Tatsächlich verwendet eBPF drei verschiedene Mechanismen, um diese Daten zu teilen:

• Der PERF-Puffer: eBPF kann Ereignisse erfassen und diese dann in einer C-Struktur aufzeichnen, die dann an den PERF-Puffer gesendet wird. Somit ist der PERF-Puffer ein Puffer, der C-Ereignisse und -Strukturen enthalten soll.
• Map-Strukturen: Dies sind Datenstrukturen mit der Besonderheit, dass sie fortgeschrittener sind als die der Sprache C, da sie die Datenpersistenz bei der Ausführung eines BPF-Programms ermöglichen.
• Die Datei /sys/kernel/debug/tracing/trace_pipe: Diese Datei kann vom Benutzerbereich gelesen und von einem Programm geschrieben werden, aber von ihrer Verwendung wird dringend abgeraten, da mehrere Tracer darauf schreiben, was das Lesen inkonsistent macht.

Seit der Version 3.15 des Linux-Kernels bieten die eBPF-Funktionen der virtuellen Maschine durch grundlegende Anweisungen und die Einführung neuer eBPF-Funktionalität den Link-Layer-Zugriff, wodurch eine Möglichkeit zum Filtern und Filtern von Netzwerkpaketen geschaffen wird. eBPF-Programme können jedoch in verschiedenen Schichten des Netzwerkstapels aufgerufen werden, wodurch die erfassten Pakete verarbeitet werden können, bevor zur nächsten Schicht übergegangen wird. EBPF basiert auf Binärcode, der in native CPU-Anweisungen kompiliert wird, wenn die Erweiterung in den Kernel geladen wird. Im Gegensatz zu klassischem Bytecode, beispielsweise Java, erzwingen der Compiler und die Ausführungszeit von eBPF keine Typ- oder Speichersicherheit. Stattdessen wird die Sicherheit durch einen statischen Verifizierer erhöht, der überprüft, dass das Programm nicht auf Kernel-Datenstrukturen zugreifen oder Seitenfehler verursachen kann.

Sicherheits- und Stabilitätsrisiken sind vorhanden, wenn Code im Kernel ausgeführt wird. Um diese Risiken zu mindern, verlässt sich BPF auf einen Interpreter, um ein Programm sicher auszuführen. Um diese Risiken zu reduzieren, führt eBPF einen Linux-Verifier ein, der sicherstellt, dass jedes Programm bestimmte Bedingungen erfüllt, bevor es in den Kernel geladen wird, wodurch hohe Kosten für die Überprüfungszeit vermieden werden. Es stellt sicher, dass das Programm terminiert werden kann, keine Schleife enthält, die zum Absturz des Kernels führen könnte oder dass auf bestimmte Anweisungen nicht zugegriffen werden kann. Und ein anderes Mal überprüft es jeden Befehl und simuliert ihn, um sicherzustellen, dass der Zustand der Register und der Batterien gültig ist, und verhindert so den Zugriff auf den Speicher oder den Zustand des Kernels außerhalb seines zugewiesenen Bereichs. Die eBPF-Implementierung sorgt für Sicherheit für den Kernel, bietet aber auch die Möglichkeit, verschiedene Arbeiten im Kernel einzurichten, wie z. B. das Tracing des Kernels und das Herstellen des Netzwerks.

Systemaufrufe ermöglichen das Laden von Binärcode. Damit der Upload erfolgreich ist, muss das Programm vom eBPF-Verifier verifiziert werden. EBPF-Programme können gleichzeitig instanziiert werden, sogar an verschiedenen Hooks. So können sie einzeln oder verkettet betrieben werden.

Netzwerke

Ein BPF-Programm kann auf einer Schnittstelle lauschen, wenn dies geschieht, ruft der Schnittstellentreiber dieses Programm zuerst auf. BPF verteilt die Pakete dann an jeden an der Verarbeitung beteiligten Filter. Benutzerdefinierte Filter werden dann auf die Pakete angewendet und entscheiden, ob das Paket akzeptiert wird oder nicht und wie viele Bytes jedes Pakets gespeichert werden sollen. Für jeden Filter, der das Paket akzeptiert, kopiert BPF die angeforderte Datenmenge als Puffer, dem er zugeordnet werden kann dieser Filter. Bei Topologieänderungen oder einer Änderung in den Anwendungen ist es notwendig, die als Firewall dienenden Regeln zu ändern, um die von den Filtern betroffenen Ports und Adressen hinzufügen, löschen oder ändern zu können. Um dies zu tun, erstellen Sie dank der Bitmap-Strategie, die das C-Programm einfach hält, einfach ein neues Programm mit neuen Maps und laden Sie die Map mit neuen Schlüsselwerten und tauschen Sie sie mit dem alten Programm aus, um das Verhalten nachzuahmen von iptables-restore.

Werkzeuge

Jit kompilieren

Filter werden in einem Kernel mit Interpreter als Bytecode interpretiert. Ist dieser nicht vorhanden, kann eBPF den On-the-Fly- Compiler (JIT-Compiler) des Kernels verwenden, um die von eBPF erzeugten Bytecodes in nativen Code zu übersetzen und optionale maschinenabhängige Optimierungen durchzuführen.

LLVM

Clang (natives LLVM) ermöglicht es dem Benutzer, seinen C-Code in eine eBPF-Anweisung in einer ELF-Datei zu kompilieren.

BCC

Die Programmierung in eBPF-Anweisungen kann kompliziert sein. Aus diesem Grund existiert ein Toolkit namens BPF Compiler Collection (BCC), mit dem der Benutzer einfach eBPF-Programme erstellen kann. BCC umfasst und erweitert LLVM, um dem Benutzer die Möglichkeit zu geben, eBPF-Maps in C-Code zu definieren und diesen C-Code in ein eBPF-Programm zu kompilieren.

Anleitung

Die virtuelle Maschine BPF + hat 5 Betriebsklassen:

• Laden: einen Wert in ein Register kopieren.
• store: Kopieren eines Registers an eine feste Position im Speicher.
• alu: arithmetische und logische Verknüpfung.
• Branch: Änderung des Steuerungsflusses basierend auf einem Testvergleich zwischen einem Register und einem unmittelbaren Wert oder einem anderen Register.
• return: beendet den Filter und gibt das Ergebnis der Auswertung zurück.

Verbesserungen und Einschränkungen

Im Jahr 2019 ergeben sich für den Entwickler noch verschiedene Probleme wie:

• der Wirtschaftsprüfer meldet zahlreiche Fehlalarme.
• der Verifier ist für Programme mit langem Pfad nicht skalierbar.
• der Verifier unterstützt keine Programme mit Schleifen.
• Begrenzung der Programmgröße (maximal 4096 Anweisungen, um sicherzustellen, dass das Programm innerhalb einer begrenzten Zeit endet, da es im Kernel ausgeführt wird).

Es gibt Einschränkungen bei der Nutzung von Kernel-Diensten, wenige Hilfsfunktionen und es können in eBPF-Programmen kein Userspace oder Dienste von Drittanbietern verwendet werden. Bestimmte Beschränkungen machen Programmprüfungen flexibel und ermöglichen die Systemintegrität, wie beispielsweise die Unfähigkeit, dynamische Zuweisungen vorzunehmen, auf Kernel-Datenstrukturen zuzugreifen, Kernel-APIs aufzurufen oder Sprunganweisungen indirekt zu machen. Sowie die Tatsache, dass es auf einem einzigen Thread ausgeführt wird und daher eine Ausführungszeit hat, die an die Anzahl der Anweisungen gebunden ist.

BPF-Leistung

Die cGMP verwendet eine Implementierungsstrategie Puffer , der seine Gesamtleistung macht bis zu 100 - mal schneller als die NIT (Network Interface Tap ) SUN auf der gleichen Hardware laufen. Die Ausführungszeit für einen Aufruf an BPF beträgt ungefähr 6 Mikrosekunden pro Paket für einen Filter, der alle Pakete verwirft. EBPFs sind auf x86_64-Architekturen bis zu 4-mal schneller als die cBPF-Implementierung für einige Netzwerkfilter-Mikrobenchmarks, und die meisten sind 1,5-mal schneller. Es gibt eine Leistungsverbesserung von eBPFs um den Faktor 10 im Vergleich zu IPTABLES und NFTABLES.

Vorkern (XDP)

XDP, das an die unterste Ebene des Netzwerkstapels angehängt ist, eignet sich für grobe Paketfilterung, z. B. zur Verhinderung von Denial-of-Service-Angriffen . Es kann die vierfache Leistung im Vergleich zu einer ähnlichen Aufgabe im Kernel produzieren. Darüber hinaus bietet XDP auch Verbesserungen der mittleren Latenz mithilfe von Codekompilierung in JIT (Just In Time), bis zu 45 % Leistungsverbesserung mit dem Preis höherer Ausreißer-Latenzwerte. XDP bietet einen Kompromiss, es bietet keine so gute Leistung wie hochleistungsfähige dedizierte Frameworks, die den Kernel überschreiben. Bietet jedoch eine Kernel-Integration, was bedeutet, dass Pakete mit all seinen Vorteilen den Netzwerkstapel durchlaufen können. Obwohl sie nur 50 % des Durchsatzes einer 10-GbE-Leitung bewältigt, entspricht dies der Leistung eines einzelnen Kerns, dh sie skaliert mit der Anzahl der CPU-Kerne.

BPF-Historie

BPF steht ursprünglich für „Berkeley Packet Filter“, 1992 für UNIX entwickelt, um Netzwerkpakete zu filtern, ermöglichen sie dann eine Leistungssteigerung in Netzwerküberwachungsanwendungen wie „tcpdump“. BPF hat nicht die Funktion empfangene Pakete zu verwerfen, aber als Filter beschrieben, können sie Pakete assoziieren, Pakete kopieren und senden.Anfänglich sind BPFs im Linux 2.x-Kernel implementiert, mit 2 Registern 32 Dann im Jahr 2013 schlug Alexei Starovoitov eine Verbesserung der BPFs vor, die jetzt cBPF (klassisch) unterscheiden BPF) und eBPF (erweitertes BPF), eine der bemerkenswertesten Änderungen ist der Übergang zu 10 64-Bit-Registern sowie der Funktionsaufruf im Kernel dank einer neuen Anweisung Ein weiterer Unterschied ist das Fehlen von Zustandspersistenz im cBPF während in eBPF die Zustände dank der Karten beibehalten werden können eBPFs erscheinen in Version 3 .x aus dem Linux-Kernel, mit kontinuierlichen Verbesserungen wie einem JIT (Just In Time) Compiler, neuen Features wie „Maps“ und „Tail Calls“.

Referenz

1. Monnet 2016
2. Chaignon 2018
3. Suo 2018
4. Scholz 2018
5. Cilium Autoren 2019
6. bptrace
7. perf
8. Lage
9. Systemtipp
10. PCP
11. Zielfernrohr
12. Zilium
13. Suricata
14. systemd
15. iproute2
16. P4C-xdp
17. LLVM
18. BCC
19. libbpf
20. bpftool
21. gobpf
22. ebpf_asm
23. McCanne 1993
24. Lidl 2002
25. Baidya 2018
26. Saif 2018
27. Ellis 2017
28. Belkalem 2018
29. Nam 2017
30. Gershuni 2019
31. Fleming 2017
32. Miano 2018
33. Deepak 2018
34. Begel 1999
35. Di 2018
36. Van Tu 2017
37. Spielzeug 2015
38. Corbet 2014
39. Spielzeug 2017
40. Bos 2004

Literaturverzeichnis

• (en) Justin Pettit , Joe Stringer und Cheng-Chun Tu , „  Building an Extensible Open vSwitch Datapath  “ , ACM SIGOPS Operating Systems Review ,September 2017( DOI  10.1145 / 3139645.3139657 )

• (en) Sebastiano Miano , Matteo Bertrone , Fulvio Risso , Massimo Tumolo und Mauricio Vásquez B , „  Creating Complex Network Services with eBPF: Experience and Lessons Learned  “ , 2018 IEEE 19. International Conference on High Performance Switching and Routing (HPSR) ,2018( ISBN  978-1-5386-7802-2 , ISSN  2325-5595 , DOI  10.1109 / HPSR.2018.8850758 )

• (en) Cynthia Sturton , Rohit Sinha und Thurston HY Dang , „  Symbolic software model validation  “ , 2013 Elfte ACM / IEEE International Conference on Formal Methods and Models for Codesign (MEMOCODE 2013) ,2013( ISBN  978-1-4799-0903-2 )

• (en) Steven McCanne und Van Jacobson , "  The BSD Packet Filter: A New Architecture for User-level Packet Capture  " , USENIX'93 Proceedings of the USENIX Winter 1993 Conference Proceedings on USENIX Winter 1993 Conference Proceedings ,Januar 1993

• (en) S. Ioannidis , KG Anagnostakis , J. Ioannidis und AD Keromytis , „  xPF: Packet Filtering for Low Cost Network Monitoring  “ , IEEE Xplore ,November 2002( ISBN  4-88552-184-X , DOI  10.1109 / HPSR.2002.1024219 )

• (de) Dominik Scholz , Daniel Raumer , Paul Emmerich , Alexander Kurtz , Krzysztof Lesiak und Georg Carle , „  Performance Implications of Packet Filtering with Linux eBPF  “ , IEEE Xplore ,September 2018( ISBN  978-0-9883045-5-0 , DOI  10.1109 / ITC30.2018.00039 )

• (de) Suo Kun , Zhao Yong , Chen Wei und Rao Jia , „  Demo/Poster-Abstract: Effiziente und flexible Paketverfolgung für virtualisierte Netzwerke mit eBPF  “ , IEEE INFOCOM 2018 - IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS) ,April 2018( ISBN  978-1-5386-5979-3 , DOI  10.1109 / INFCOMW.2018.8406849 )

• (de) Dominik Scholz , Daniel Raumer , Paul Emmerich , Alexander Kurtz , Krzysztof Lesiak und Georg Carle , „  Performance Implications of Packet Filtering with Linux eBPF  “ , 2018 30th International Teletraffic Congress (ITC 30) ,2018, s.  209-217 ( ISBN  978-0-9883045-5-0 , DOI  10.1109 / ITC30.2018.00039 )

• (en) Abdulqawi Saif , Lucas Nussbaum und Ye-Qiong Song , „  IOscope: A Flexible I/O Tracer for Workloads' I/O Pattern Characterization  “ , ISC High Performance ,Juli 2018, s.  14 ( DOI  10.1007 / 978-3-030-02465-9_7 )

• (en) Kun Suo , Yong Zhao , Wei Chen und Jia Rao , „  vNetTracer: Efficient and Programmable Packet Tracing in Virtualized Networks  “ , IEEE 38th International Conference on Distributed Computing Systems (ICDCS) ,Juli 2018( DOI  10.1109 / ICDCS.2018.00026 )

• (en) Zhenyu Wu , Mengjun Xie und Haining Wang , „  Design und Implementierung eines schnellen dynamischen Paketfilters  “ , IEEE/ACM Transactions on Networking , vol.  19,Oktober 2011, s.  1405 - 1419 ( ISSN  1063-6692 , DOI  10.1109 / TNET.2011.2111381 )

• (en) Haina Tang , Lian Duan und Jun Li , „  Eine Leistungsüberwachungsarchitektur für IP-Videokonferenzen  “ , 2004 IEEE International Workshop on IP Operations and Management ,2004( ISBN  0-7803-8836-4 , DOI  10.1109 / IPOM.2004.1547591 )

• (de) Paul Chaignon , Kahina Lazro , Jerome Francois , Thibault Delmas und Olivier Festor , „  Oko: Extending Open vSwitch with Stateful Filters  “ , ACM Symposium ,November 2018, s.  1-13 ( DOI  10.1145 / 3185467.3185496 )

• (en) Ludwig Thomeczek , Andreas Attenberger und Johannes Kolb , „  Messung von sicherheitskritischen Latenzquellen mit Linux Kernel eBPF Tracing  “ , ARCS Workshop 2019; 32. Internationale Konferenz zur Architektur von Computersystemen ,Mai 2019( ISBN  978-3-8007-4957-7 )

• (de) Xuan-Thuy Dang , Manzoor Ahmed Khan , Sebastian Peters und Tobias Dorsch , „  Realization of Handover Management in SDNized 3GPP architecture with Protocol Independent Forwarding  “ , Innovation in Clouds Internet and Networks and Workshops (ICIN) 2019 22. Konferenz ,April 2018, s.  277 - 284 ( DOI  10.1109 / WD.2018.8361695 )

• (de) Jose Fernando Zazo , Sergio Lopez-Buedo , Gustavo Sutter und Javier Aracil , „  Automatisierte Synthese von FPGA-basierten Paketfiltern für 100-Gbit/s-Netzwerküberwachungsanwendungen  “ , 2016 International Conference on ReConfigurable Computing and FPGAs (ReConfig) ,2016( ISBN  978-1-5090-3707-0 , DOI  10.1109 / ReKonFig.2016.7857156 )

• (en) Scott Raynel , Anthony McGregor und Murray Jorgensen , "  Using the IEEE 802.11 Frame Check Sequence as a pseudo random number for Packet Sampling in Wireless Networks  " , 2009 7th International Symposium on Modeling and Optimization in Mobile, Ad Hoc and Wireless Networks ,Juni 2009, s.  850-855 ( ISBN  978-1-4244-4919-4 , DOI  10.1109 / WIOPT.2009.5291575 )

• (en) Mathieu Xhonneux und Olivier Bonaventure , „  Flexible Fehlererkennung und schnelle Umleitung mit eBPF und SRv6  “ , 2018 14th International Conference on Network and Service Management (CNSM) ,Dezember 2018( ISBN  978-3-9031-7614-0 )

• (en) Kurt J. Lidl , Deborah G. Lidl und Paul R. Borman , „  Flexible Packet Filtering: Providing a Rich Toolbox  “ , Proceedings of the BSDCon 2002 Conference ,Februar 2002

• (en) Taekho Nam und JongWon Kim , „  Open-Source IO visor eBPF-based Packet Tracing on multiple network interface of Linux Boxes  “ , 2017 International Conference on Information and Communication Technology Convergence (ICTC) ,Dezember 2017( ISBN  978-1-5090-4032-2 , DOI  10.1109 / ICTC.2017.8190996 )

• (en) Elazar Gershuni , Nadav Amit , Arie Gurfinkel , Nina Narodytska , Jorge A. Navas , Noam Rinetzky , Leonid Ryzhyk und Mooly Sagiv , „  Simple and Precise Static Analysis of Untrusted Linux Kernel Extensions  “ , PLDI 2019: 40 Proceedings of the SIGPLAN-Konferenz zu Design und Implementierung von Programmiersprachen ,Juni 2019, s.  1069–1084 ( DOI  10.1145 / 3314221.3314590 )

• (en) Simon Jouet , Richard Cziva und Dimitrios P. Pezaros , „  Arbitrary Packet Matching in OpenFlow  “ , 2015 IEEE 16th International Conference on High Performance Switching and Routing (HPSR) ,Juli 2015( ISBN  978-1-4799-9871-5 , DOI  10.1109 / HPSR.2015.7483106 )

• (en) Nguyen Van Tu , Kyungchan Ko und James Won-Ki Hong , „  Architektur zum Aufbau virtueller Netzwerkfunktionen im hybriden Kernel-Benutzerraum  “ , 2017 13. Internationale Konferenz für Netzwerk- und Servicemanagement (CNSM) ,November 2017( ISBN  978-3-901882-98-2 , DOI  10.23919 / CNSM.2017.8256051 )

• (en) Sabur Baidya , Yan Chen und Marco Levorato , „  eBPF-basierter Inhalt und rechnergestützte Kommunikation für Echtzeit-Edge-Computing  “ , IEEE INFOCOM 2018 - IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS) ,April 2018( ISBN  978-1-5386-5979-3 , DOI  10.1109 / INFCOMW.2018.8407006 )

• (en) Andrew Begel , Steven McCanne und Susan L. Graham , „  BPF+: Exploring global data-flow Optimization in a generalized package filter architecture  “ , ACM SIGCOMM Computer Communication Review , vol.  29, n o  4,August 1999, s.  123-134 ( DOI  10.1145 / 316194.316214 )

• (en) Simon Jouet und Dimitrios P. Pezaros , „  BPFabric: Data Plane Programmability for Software Defined Networks  “ , 2017 ACM / IEEE Symposium on Architectures for Networking and Communications Systems (ANCS) ,Mai 2017( ISBN  978-1-5090-6386-4 , DOI  10.1109 / ANCS.2017.14 )

• (de) Jibum Hong , Seyeon Jeong , Jae-Hyoung Yoo und James Won-Ki Hong , „  Design and Implementation of eBPF-based Virtual TAP for Inter-VM Traffic Monitoring  “ , 2018 14. Internationale Konferenz für Netzwerk- und Servicemanagement (CNSM) ,November 2018( ISBN  978-3-9031-7614-0 )

• (de)  Verwenden von eBPF als Abstraktion für das Schalten , 2018Gemeinsam mit Nicolaas Viljoen geschrieben.

• (de)  TCP-BPF: Programmgesteuertes Tuning des TCP-Verhaltens durch BPF , 2018Zusammen mit Lawrence Brakmo geschrieben.

• (de)  eBPF / XDP-basierte Firewall und Paketfilterung , 2018In Zusammenarbeit mit Anant Deepak, Shankaran Gnanashanmugam, Richard Huang, Puneet Mehra.

• (de)  FFPF: Ziemlich schnelle Paketfilter , 2004Mitgeschrieben mit Herbert Bos, Willem de Bruijn, Mihai Cristea, Trung Nguyen, Georgios Portokalidis.

• (de)  Kombination von kTLS und BPF für Introspektion und Durchsetzung von Richtlinien , 2018Co-geschrieben mit Daniel Borkmann, John Fastabend.

• (de)  Die Leistungsfähigkeit von eBPF zum Öffnen von vSwitch , 2018Zusammen mit William Tu Joe Stringer Yifeng Sun Yi-Hung Wei geschrieben.
• (en) Xenofontas Dimitropoulos , Michail Vlachos und Luca Deri , „  pcapIndex: ein Index für Netzwerkpaketverfolgungen mit Legacy-Kompatibilität  “ , ACM SIGCOMM Computer Communication Review , vol.  42,Januar 2012, s.  47-53 ( DOI  10.1145 / 2096149.2096156 )

• (en) Jibum Hong , Seyeon Jeong , Jae-Hyoun Yoo und James Won-Ki Hong , „  Design and Implementation of eBPF-based Virtual TAP for Inter-VM Traffic Monitoring  “ , 2018 14. Internationale Konferenz für Netzwerk- und Servicemanagement (CNSM) ,2018( ISBN  978-1-5386-9193-9 , ISSN  2165-9605 )

Webseite

• Jugurtha Belkalem, „  Die Geheimnisse des eBPF-Traceurs  “ , auf www.linuxembedded.fr ,14. März 2019

• (de) "  eBPF, Teil 1: Vergangenheit, Gegenwart und Zukunft  " , auf https://ferrisellis.com/ ,28. April 2017

• (en) Cilium-Autoren, „  BPF and XDP Reference Guide  “ , unter https://cilium.readthedocs.io/en/v1.6/ ,30. September 2019.

• (de) Jonathan Corbet, "  BPF: the universal in-kernel virtual machine  " , auf https://lwn.net/ ,21. Mai 2014.

• (de) Quentin Monnet, "  Dive into BPF: a list of reading material  " , auf https://qmonnet.github.io/ ,1 st September 2016.

• (en) Ferris Ellis, „  eBPF, Teil 2: Syscall and Map Types  “ , unter https://ferrisellis.com/ ,11. Mai 2017.

• (de) Matt Fleming, „  Eine gründliche Einführung in eBPF  “ , unter https://lwn.net/ ,2. Dez. 2017.

Siehe auch

• Berkeley-Softwareverteilung