go conntracer bpf

go-conntracer-bpf é uma biblioteca para Go para rastrear eventos de conexão de rede (TCP/UDP) (conectar, aceitar, enviar para, recvfrom) no BPF kprobe inspirado em weaveworks/tcptracer-bpf. go-conntracer-bpf é implementado sobre libbpf, que é uma biblioteca C representativa para o kernel Linux incluído no BPF.

• Rastreamento de baixa sobrecarga agregando eventos de conexão no kernel.
• Habilitado para BPF CO-RE (Compile Once – Run Everywhere)

• código fonte libbpf
• Clang/LLVM >= 9

• Versão do kernel Linux >= 5.6 (devido a operações em lote para mapas BPF)
• Kernel Linux a ser construído com informações de tipo BTF. Consulte https://github.com/libbpf/libbpf#bpf-co-re-compile-once--run-everywhere.

• bibliotecas libelf e zlib

go-conntracer-bpf faz uso de alguns recursos mais recentes do kernel Linux.

• Formato de tipo BPF (BTF) na versão 4.18 do kernel.
• API em lote para mapa BPF (BPF_MAP_UPDATE_BATCH, BPF_MAP_LOOKUP_AND_DELETE_BATCH) no kernel versão 5.6.
• Ring Buffer no kernel versão 5.8 (apenas uma versão de não agregação no kernel).

• Deus

conntop é uma ferramenta CLI para mostrar eventos de conexão.

 $ make DOCKER=1

• yuuki/facão