Zurück zur Übersicht

Begriff

eBPF (Extended Berkeley Packet Filter)

Linux Kernel S3
2 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Stell dir vor, du willst dein Auto tunen (Linux Kernel ändern). Früher musstest du Mechaniker sein, den Motor ausbauen, neu schweißen, einbauen (Kernel Modul schreiben, kompilieren, neustarten). Wenn du einen Fehler machst, explodiert das Auto (Kernel Panic/Absturz). eBPF erlaubt dir, kleine Mini-Programme ("Sandboxed Bytecode") zur Laufzeit in den Motor zu injizieren. Es ist sicher (der Kernel prüft es vorher: "Verifier"). Wenn das Programm crasht, passiert dem Auto nichts. Du kannst damit alles sehen und ändern: Jeden Netzwerk-Paket, jeden Festplatten-Zugriff. Es ist wie JavaScript für den Linux-Kernel.

Merksatz: Eine Technologie im Linux-Kernel, die es ermöglicht, benutzerdefinierte Programme sicher und effizient direkt im Kernel-Kontext auszuführen, ohne Module zu laden oder den Kernel neu zu kompilieren.


Quick-Check

  1. Nur Linux?
    Ursprünglich ja. Microsoft portiert es gerade massiv nach Windows ("eBPF on Windows"). Es wird der Standard für OS-Erweiterungen.
  2. Ist es schwer?
    Ja, extrem. Du musst verstehen, wie Computer funktionieren (Stack, Heap, Syscalls). Aber als Nutzer von Cilium merkst du davon nichts.
  3. Warum Packet Filter?
    Historischer Name. 1992 war es nur für Firewalls gedacht. Heute kann es alles (Tracing, Profiling, Security).