eBPF

更多：• 声称恢复 GPU 挖矿性能的工具实际上是恶意软件 • 红帽扩展 eBPF 用于输入设备的 HID 子系统

更多：• 苹果公司认为对 Epic 的胜利还不够 • 沃尔玛把内核功能也“摆上了货架”

更多：• 黑客退还 6 亿美元加密货币，声称是出于好玩 • Linux 基金会旗下成立了 eBPF 基金会

更多：• 微软将 Linux 工具 eBPF 引入 Windows 10 • 微软将威胁和漏洞管理能力引入 Linux

在最新的 Linux 内核（>=4.4）中使用 eBPF，你可以将任何内核函数调用转换为一个带有任意数据的用户空间事件。这通过 bcc 来做很容易。这个探针是用 C 语言写的，而数据是由 Python 来处理的。

在 BPF 出现之前，如果你想去做包过滤，你必须拷贝所有的包到用户空间，然后才能去过滤它们

我收集了非常多的关于 BPF 的阅读材料：介绍、文档，也有教程或者示例。这里有很多的材料可以去阅读

有大量的 Linux 跟踪器可供你选择。由于它们中的每个都有一个官方的（或者非官方的）的吉祥物，我们有足够多的选择给孩子们展示。

在 Linux 中出现的一种新技术能够为系统管理员和开发者提供大量用于性能分析和故障排除的新工具和仪表盘。它被称为增强的伯克利数据包过滤器（eBPF，或 BPF），虽然这些改进并不是由伯克利开发的，而且它们不仅仅是处理数据包，更多的是过滤。