写在前面

为什么要先了解eBPF程序类型？

从帮助函数中，我们可能基于内核的eBPF开放API，对eBPF的能力有一个比较细致的认识，但是这并不能让我们从全局，或者更概括的认识eBPF。eBPF程序类型能够更宏观的告诉我们，eBPF能做哪些事情（除网络相关）。

一，eBPF程序类型

内核中不同事件会触发不同类型的eBPF程序，那么eBPF程序类型决定了它可以监控哪些内核事件类型。

1.1 内核支持的ebpf程序类型

/bionic/libc/kernel/uapi/linux/bpf.h

enum bpf_prog_type {BPF_PROG_TYPE_UNSPEC,//未定义或无效的程序类型BPF_PROG_TYPE_SOCKET_FILTER,//该类型的eBPF程序可用于输入输出网络包的过滤BPF_PROG_TYPE_KPROBE,//该类型的eBPF程序可以通过kprobe机制，动态注入到内核函数当中。eBPF程序类型中没有设置uprobe是因为uprobes和kprobes原理相同，kprobe类型的eBPF程序也可以使用uprobes。BPF_PROG_TYPE_SCHED_CLS,//用于网络流量控制分类器。BPF_PROG_TYPE_SCHED_ACT,//用于网络流量控制执行器。BPF_PROG_TYPE_TRACEPOINT,//用作决定某个tracepoint是否应该触发。内核采用插桩的方法抓取log。插桩就是tracepoint。他是Linux内核预先定义的静态探测点。它分布于内核的哥哥子系统当中。每个tracepoint都有一个name，一个enable开关，一系列桩函数，注册桩函数的函数。桩函数类似于printk，不过桩函数并不会把信息打印到console，而是输出到内核的ringbuffer&#x