go conntracer bpf

go-conntracer-bpf 是一個 Go 函式庫，用於追蹤 BPF kprobe 上的網路連線 (TCP/UDP) 事件（connect、accept、sendto、recvfrom），靈感來自 weaveworks/tcptracer-bpf。 go-conntracer-bpf 是在 libbpf 之上實現的，libbpf 是包含 Linux 核心的 BPF 的代表性 C 函式庫。

• 透過聚合核心中的連接事件來進行低開銷追蹤。
• 支援 BPF CO-RE（一次編譯 – 隨處運行）

• libbpf 原始碼
• 鏗鏘/LLVM >= 9

• Linux 核心版本 >= 5.6（由於批次操作到 bpf 映射）
• 使用 BTF 類型資訊建立 Linux 核心。請參閱 https://github.com/libbpf/libbpf#bpf-co-re-compile-once--run-everywhere。

• libelf 和 zlib 庫

go-conntracer-bpf 利用了 Linux 核心的一些最新功能。

• 核心版本 4.18 中的 BPF 類型格式 (BTF)。
• 核心版本 5.6 中的批次 API 到 BPF 映射（BPF_MAP_UPDATE_BATCH、BPF_MAP_LOOKUP_AND_DELETE_BATCH）。
• 核心版本 5.8 中的環形緩衝區（只是核心中非聚合的一種風格）。

• 戈多克

conntop 是一個用來顯示連線事件的 CLI 工具。

 $ make DOCKER=1

• 優紀/肖克