1.1.1 起源与演进

文档摘要

1.1.1 起源与演进在 Linux 内核的浩瀚代码海洋中，有一种机制，它不修改内核源码、不重启系统、不引入模块依赖，却能在网络包抵达协议栈之前截获它，在系统调用返回用户空间前注入可观测逻辑，在进程创建瞬间捕获其完整上下文——它不是神话，不是补丁，不是 hack；它是 eBPF，是内核运行时的“可编程胶水”，更是现代云原生可观测性、安全策略与网络数据平面的底层引擎。但今天，我们不谈它能做什么。我们要亲手拆开它的第一行字节码，回溯到那个连结构体都尚未被重命名的年代：从 BPF 到 eBPF 的跃迁，不是一次功能叠加，而是一场内核执行模型的范式革命。这场革命的每一步，都刻在的宏定义里，写在的控制流图分析中，也藏在里那几行看似平凡的调用背后。