go conntracer bpf

go-conntracer-bpf 是一个 Go 库，用于跟踪 BPF kprobe 上的网络连接 (TCP/UDP) 事件（connect、accept、sendto、recvfrom），灵感来自 weaveworks/tcptracer-bpf。 go-conntracer-bpf 是在 libbpf 之上实现的，libbpf 是包含 Linux 内核的 BPF 的代表性 C 库。

• 通过聚合内核中的连接事件来进行低开销跟踪。
• 支持 BPF CO-RE（一次编译 – 随处运行）

• libbpf 源代码
• 铿锵/LLVM >= 9

• Linux 内核版本 >= 5.6（由于批量操作到 bpf 映射）
• 使用 BTF 类型信息构建 Linux 内核。请参阅 https://github.com/libbpf/libbpf#bpf-co-re-compile-once--run-everywhere。

• libelf 和 zlib 库

go-conntracer-bpf 利用了 Linux 内核的一些最新功能。

• 内核版本 4.18 中的 BPF 类型格式 (BTF)。
• 内核版本 5.6 中的批处理 API 到 BPF 映射（BPF_MAP_UPDATE_BATCH、BPF_MAP_LOOKUP_AND_DELETE_BATCH）。
• 内核版本 5.8 中的环形缓冲区（只是内核中非聚合的一种风格）。

• 戈多克

conntop 是一个用于显示连接事件的 CLI 工具。

 $ make DOCKER=1

• 优纪/肖克