BPF（Berkeley Packet Filter ） 

1992 伯克利实验室的一篇论文  The BSD Packet Filter: A New Architecture for User-level Packet Capture
这篇论文描述了，BPF 是如何更加高效灵活地从操作系统内核中抓取网络数据包的

Wireshark 和 tcmdump 依赖libpcap库，libpcap库使用 BPF 技术
linux kernle从2.1版本开始支持BPF功能，
在 BPF 实现的基础上，Linux 在 2014 年内核 3.18 版本上实现了 eBPF
eBPF 是 BPF 的增强 
eBPF extended Berkeley Packet Filter

对虚拟机做了增强，扩展了寄存器和指令集的定义，提高了虚拟机的性能，可以处理更加复杂的程序
增加了 eBPF maps，这是一种存储类型，可以保存状态信息，从一个 BPF 事件的处理函数传递给另一个，或者保存一些统计信息，从内核态传递给用户态程序。
eBPF在内核中支持JIT即时编译，机器指令和寄存器可以一一对应
增加了Verifier验证器，以保证在内核中执行的字节码是安全的

eBPF 主要应用领域 
安全，网络，负载均衡，故障分析，追踪等

云原生领域，Cilium 使用 eBPF 实现了无 kube-proxy 的容器网络
利用eBPF解决iptables带来的性能问题


网络领域，内核态网络包的快速处理和转发，XDP eXpress Data Path

安全领域，通过LSM（Linux Security Module）的 hook 点
eBPF 可以对 Linux 内核做安全监控和访问控制，可参考KRSI（Kernel Runtime Security Instrumentation）的文档


 wireshark 抓包  
 tcpdump使用简介