„Microsoft“ pristatė neseniai per postą „eBPF“ posistemės diegimas „Windows“ kuris leidžia paleisti savavališkus tvarkykles, kurios veikia operacinės sistemos branduolio lygiu.
eGMP teikia įmontuotą baitų kodo vertėją branduolyje, kad būtų sukurtos vartotojams skirtos tinklo tvarkyklės, prieigos kontrolė ir sistemos stebėjimas. eBPF buvo įtrauktas į Linux branduolį nuo versijų 3.18 ir leidžia apdoroti gaunamus / siunčiamus tinklo paketus, persiuntimo paketus, valdyti pralaidumą, perimti sistemos skambučius, valdyti prieigą ir sekti.
Kompiliuojant JIT, baitų kodas yra paverčiamas mašinų instrukcijomis ir paleidžiamas kartu su sukompiliuotu kodu. EBPF, skirta „Windows“, yra atvirojo kodo programa pagal MIT licenciją.
Šiandien mes džiaugiamės galėdami pranešti apie naują „Microsoft“ atviro kodo projektą, kad eBPF veiktų „Windows 10“ ir „Windows Server 2016“ ir naujesnėse versijose. Projektas „ebpf-for-Windows“ siekia, kad kūrėjai galėtų naudoti žinomas eBPF įrankių grandines ir programų programavimo sąsajas (API) kartu su esamomis „Windows“ versijomis. Remiantis kitų darbu, šis projektas apima keletą esamų atvirojo kodo eBPF projektų ir prideda „klijų“, kad jie veiktų „Windows“.
„eBPF“, skirtas „Windows“ gali būti naudojamas su esamais eBPF įrankiais ir pateikia bendrą API, kuri naudojama „eBPF“ programoms „Linux“.
Visų pirma projektas leidžia sukompiliuoti C parašytą kodą į baitų kodą eBPF naudojant standartinį „Clang“ pagrindu sudarytą eBPF kompiliatorių ir paleiskite „eBPF“ tvarkykles, jau sukurtas „Linux“, ant „Windows“ branduolio, kuris suteikia specialų suderinamumo sluoksnį ir palaiko standartinę „Libbpf“ API suderinamumą su programomis, kurios sąveikauja su „eBPF“ programomis.
Tai apima vidurinius sluoksnius, kurie teikia panašius į „Linux“ susiejimus XDP („eXpress Data Path“) ir lizdų susiejimus, kurie apibendrina prieigą prie „Windows“ tinklo kamino ir tinklo tvarkyklių. Planais siekiama suteikti visišką šaltinio lygio palaikymą bendriesiems „Linux eBPF“ tvarkyklėms.
Pagrindinis „eBPF for Windows“ diegimo skirtumas yra alternatyvaus baitų kodo tikrintuvo naudojimas, kurį iš pradžių pasiūlė „VMware“ darbuotojai ir tyrėjai iš Kanados ir Izraelio universitetų.
Tikrintojas pradedamas atskiru izoliuotu procesu vartotojo erdvėje ir naudojamas prieš vykdant BPF programas klaidoms aptikti ir galimai kenkėjiškai veiklai blokuoti.
Norėdami patvirtinti, „eBPF for Windows“ naudoja abstrakčios interpretacijos statinės analizės metodą, ką, Palyginti su „Linux“ eBPF tikrintuvu, jis rodo mažesnį klaidingai teigiamą rodiklį, palaiko kilpos analizę ir užtikrina gerą mastelį. Metodas atsižvelgia į daugelį tipiškų veiklos modelių, gautų analizuojant esamas eBPF programas.
„eBPF“ yra gerai žinoma, tačiau revoliucinga technologija, suteikianti programuojamumą, išplėtimą ir judrumą. eBPF buvo naudojamas tokiems naudojimo atvejams kaip paslaugų atsisakymo apsauga ir stebimumas.
Laikui bėgant, eBPF sukūrė didelę įrankių, produktų ir patirties ekosistemą. Nors parama „eBPF“ pirmą kartą buvo įdiegta „Linux“ branduolyje, vis labiau domimasi leidimu naudoti eBPF kitose operacinėse sistemose, be to, be branduolio išplėsti demonus ir vartotojo režimo paslaugas.
Po patikrinimo baitų kodas perduodamas branduolio lygio vertėjui, arba jis perduodamas per JIT kompiliatorių, po kurio paleidžiamas gautas mašinos kodas su branduolio teisėmis. Norint izoliuoti eBPF tvarkykles branduolio lygiu, naudojamas HVCI („HyperVisor Enhanced Code Integrity“) mechanizmas, kuris naudoja virtualizacijos įrankius branduolio procesams apsaugoti ir užtikrina vykdomojo kodo vientisumą skaitmeniniu parašu.
Vienas iš HVCI apribojimų yra galimybė patikrinti tik interpretuojamas eBPF programas ir nesugebėjimas jų naudoti kartu su JIT (galite pasirinkti: papildomas našumas ar apsauga).
Pagaliau jei norite sužinoti daugiau apie tai, galite pasikonsultuoti šią nuorodą.