Del BPF clásico a eBPF: Una Revolución en la Observabilidad y Control del Kernel de Linux

by

¿Te imaginas poder ver y modificar lo que ocurre en el núcleo de Linux sin reiniciar el sistema? Con eBPF, esto ya es una realidad.

1. Introducción: ¿Qué es BPF y por qué evolucionó a eBPF?

El Berkeley Packet Filter (BPF) se hizo famoso por filtrar paquetes de red de manera eficiente, siendo la base de herramientas como tcpdump. Sin embargo, los desarrolladores de Linux se dieron cuenta de que la idea de “programar un pequeño trozo de lógica dentro del kernel” tenía un potencial mucho mayor. Así nació eBPF (extended BPF), que permite observar, modificar y controlar casi cualquier aspecto del sistema operativo sin necesidad de recompilar o reiniciar el kernel.

2. Del BPF clásico a eBPF: Un cambio de paradigma

BPF clásico: El filtrado de paquetes

  • Funcionalidad: Diseñado originalmente para “mirar” los paquetes de red.
  • Ejemplo: Tcpdump utiliza BPF para filtrar solo aquellos paquetes que cumplen ciertas condiciones (por ejemplo, puerto 80) y descartar el resto.

eBPF: Más allá del filtrado, hacia el control total

  • Expansión del concepto: eBPF permite engancharse a diferentes puntos del kernel, no solo a la red.
  • Ventaja: Permite ejecutar lógica compleja (como contar eventos, medir tiempos o incluso modificar datos) en tiempo real, sin necesidad de reiniciar el sistema.

3. Enganches (hooks) en el kernel: ¿Cómo y dónde intervenir?

Los “hooks” son puntos estratégicos en el sistema donde el kernel permite ejecutar programas eBPF cuando ocurre un evento específico. Algunos ejemplos:

Syscalls: Observando llamadas al sistema

Cada vez que una aplicación en “modo usuario” realiza una llamada al sistema (syscall) como open(), execve(), read() o write(), se puede enganchar un programa eBPF para registrar o modificar el comportamiento.
Ejemplo: Contar cuántas veces se abre un archivo específico.

XDP: Interviniendo en la red desde la tarjeta

XDP (eXpress Data Path) permite interceptar paquetes in situ, en la propia tarjeta de red o muy cerca de ella.
Aplicación: Rechazar o modificar paquetes en casos de ataques DDoS, ahorrando recursos del sistema.

Kprobes y Uprobes: Observa funciones internas y de usuario

  • Kprobes/kretprobes: Permiten engancharse a funciones internas del kernel, ya sea antes de su ejecución o justo al finalizar.
  • Uprobes: Funcionan de forma similar, pero se aplican a funciones de aplicaciones en espacio de usuario.

Para una explicación más detallada de estos subsistemas y puntos de enganche, revisa nuestro post completo: Subsistemas del Kernel y Puntos de Enganche en Linux.

4. Programas eBPF: Lógica avanzada dentro del kernel

Con el BPF clásico, el programa era básicamente un filtro simple. Con eBPF:

  • Complejidad: Puedes programar lógica compleja (sumas, restas, comparaciones) y utilizar estructuras de datos como mapas para almacenar contadores o estadísticas.
  • Seguridad: Un verificador integrado se encarga de que el programa no realice operaciones peligrosas, garantizando la estabilidad del sistema.

5. Ejemplo práctico: Medición del tiempo de una syscall con bpftrace

Utilizando la herramienta bpftrace, es posible escribir scripts sencillos para engancharse a eventos del kernel. Por ejemplo, para medir el tiempo que tarda la syscall openat, se puede usar:

sudo bpftrace -e '
tracepoint:syscalls:sys_enter_openat
{
  @opens[comm] = count();
}
'

Explicación:

  • tracepoint:syscalls:sys_enter_openat: Engancha el evento de entrada a la syscall openat.
  • @opens[comm] = count();: Crea un mapa donde la clave es el nombre del proceso (comm) y el valor es un contador de llamadas.

El resultado es un listado en tiempo real que muestra cuántas veces cada proceso ha llamado a openat, algo que era imposible lograr con el BPF clásico.

6. Beneficios clave y conclusiones

Beneficios de eBPF:

  • Sin reinicios: Los programas se cargan y descargan en caliente, lo que significa cero caídas en producción.
  • Seguridad integrada: El verificador del kernel impide que código malicioso o con errores provoque problemas mayores.
  • Rendimiento: Al ejecutarse directamente en el kernel, el overhead es mínimo, ideal para tareas de alta frecuencia.
  • Flexibilidad: No se limita a la red; se extiende a tracing, debugging, seguridad y mucho más.

Conclusión:
eBPF no es solo una mejora del filtrado de red; es una verdadera plataforma que transforma la manera de administrar y observar el kernel de Linux. Con eBPF, administradores, desarrolladores y expertos en seguridad cuentan con una herramienta poderosa para diagnosticar, optimizar y proteger sistemas en tiempo real.

Leave a Comment

Blog técnico sin humo. Hecho con ayuda de la IA, café en un roof de Gran Vía y dignidad. © 2025 Alexander Zelada – @ellobotgit