#DevOps movement co-founder Kris Buytaert explains why “Everything is a Freaking #DNS Problem” and what to check to fix yours: https://www.youtube.com/watch?v=q-jZJxf50_0

Join Kris at #CfgMgmtCamp on Feb. 2nd after @fosdem https://cfgmgmtcamp.org/ghent2026/

#observability #Linux #Coroot #DevOps #SRE #monitoring #eBPF #Linux #tech #AI #softwarelibre #opensource #DNS #FOSDEM

If you have a lot of ebpf programs and you have any sort of monitoring that looks at /proc/kallsyms regularly, you might want to have my patch applied: https://lore.kernel.org/bpf/20260129-ivan-bpf-ksym-cache-v1-1-ca503070dcc0@cloudflare.com/T/#u

Upstream kernel does a silly thing with quadratic pointer chasing under RCU, which is not great.

Testing the patch in production on v6.12 series (with ~10k bpf ksyms):

* On AMD EPYC 9684X (Zen4): ~870ms -> ~100ms
* On Ampere Altra Max M128-30: ~4650ms -> ~70ms

#kernel #ebpf

eBPF в Linux: когда писать код в ядре — неплохая идея

eBPF давно перестал быть узкоспециализированной игрушкой для kernel-энтузиастов и исследователей внутренностей Linux. Сегодня с ним так или иначе сталкиваются не только SRE, но вообще все, кто разрабатывает системы, близкие к сети, производительности или безопасности: от авторов сетевых плагинов (CNI) и прокси, до разработчиков кастомных агентских решений, observability-инструментов и low-level инфраструктурных компонентов. Даже если вы никогда не писали eBPF-код руками, есть хороший шанс, что он уже работает в вашей системе — тихо, незаметно и с довольно широкими полномочиями. Чаще всего eBPF проявляется через удобные CLI, библиотеки и дашборды: установили агент, включили, и внезапно система знает о происходящем больше, чем strace, tcpdump и половина метрик вместе взятых. Но за этим комфортом скрывается нетривиальный механизм исполнения пользовательского кода прямо внутри ядра Linux — с жёсткими правилами валидации, ограниченной моделью исполнения и целым набором архитектурных компромиссов, о которых обычно не принято говорить в маркетинговых описаниях.

https://habr.com/ru/companies/gnivc/articles/990402/

#ebpf #linux_kernel #network #linux

My little #eBPF and @haproxy project is growing.

Now it has advanced features to label traffic it statically detected for ML training.

This way I can manually label traffic as good or bad and the #ML picks it up on the next training run.

#AI

Решаем архитектурную проблему nginx с HTTP/3: опыт Angie и магия eBPF

Для пользователя может показаться, что переход с HTTP/2 на HTTP/3 — это просто замена TCP на UDP в конфиге. Но для серверного ПО с многопроцессной архитектурой этот шаг превращается в настоящую «головную боль». Классическая схема с accept() , на которой годами строилась работа с TCP‑соединениями, в мире QUIC попросту не существует. Пакеты летят в UDP‑порт, и ядро ОС больше не знает, какому именно рабочему процессу их отдать. В оригинальном nginx это привело к тому, что поддержка HTTP/3 уже долгое время остается «экспериментальной» и ограниченной: она страдает от проблем с обрывами сессий при миграции клиентов и деградации сервиса при обновлении конфигурации. Для многих это стало стоп‑фактором для внедрения протокола в реальный продакшен. В этой статье мы расскажем, как в Angie 1.11 нам удалось устранить эти фундаментальные недостатки. Мы не просто добавили поддержку протокола, а пересмотрели механику взаимодействия с ядром. Путь от простых хешей до создания полноценного аналога accept() для QUIC с помощью BPF‑программ позволил нам заявить: реализация HTTP/3 в Angie закончена, лишена «детских болезней» nginx и полностью готова к эксплуатации в высоконагруженных средах. Добро пожаловать под капот современного транспорта данных.

https://habr.com/ru/articles/989748/

#http3 #nginx #quic #сетевое_программирование #ebpf #bpf #angie #h3 #многопроцессность #udp

[BLOG] eBPF CO-RE - Portable Tools Setup & Testing #Linux #eBPF https://cylab.be/blog/478/ebpf-co-re-portable-tools-setup-testing

A huge thank you to our #opensource community for landing Coroot in the top 30 most popular observability project on Github (out of 3,300+ entries!)

Love #Coroot and want to help share it with a world? Add your ⭐️ to the galaxy: https://github.com/coroot/coroot

#linux #ebpf #observability #softwarelibre #devops #sre #tech

🚀 Phát hành InfraLens v1.0.0 – công cụ quan sát “Zero Instrumentation”. Dùng eBPF, hỗ trợ node Kubernetes và máy Linux, tự động phát hiện giao thức (Postgres, Redis, HTTP) và hiển thị luồng traffic giữa VM và K8s mà không cần Istio. Tài liệu AI‑generated cho dịch vụ. Rất mong phản hồi từ cộng đồng hạ tầng hỗn hợp! #InfraLens #Observability #eBPF #Kubernetes #Linux #HybridInfra #OpenSource #TheoDõi #CôngCụ

https://github.com/Herenn/Infralens

#eBPF is awesome... as long as you stay on x86_64.

Built a real-time File I/O heatmap on Linux using eBPF and Java 25. It hooks into vfs_read and vfs_write, aggregates data in-kernel, and visualizes hot files live in a terminal UI.

https://ozkanpakdil.github.io/posts/my_collections/2026/2026-01-21-ebpf-java-heatmap/

#eBPF #Linux #Observability #Java

[BLOG] Offensive eBPF - From Input Events to a Basic bpftrace Keylogger #Linux #OffensiveSecurity #eBPF https://cylab.be/blog/476/offensive-ebpf-from-input-events-to-a-basic-bpftrace-keylogger

Just released v1.0.1 of Caetra: Linux Physical Security based on eBPF.

🐛 Fix bug related with bcc v0.35.0 (supports up to Linux 6.14), adding missing struct "bpf_task_work" to support kernel 6.18.5

https://github.com/carvilsi/caetra

#eBPF #bcc #physicalSecurity

My colleague @mtardy wrote a blog post covering state pruning points in the #eBPF verifier: https://mtardy.com/posts/prune-points/.

State pruning is an optimization to the eBPF verifier to help it scale to larger programs. Pruning points are instructions in the program where this optimization is triggered.

Having some fun with #eBPF and @haproxy lately.

https://ebpf.party inspired me to look into eBPF synflood detection and from there on it escalated to detect more patterns etc :D.

For L7 detection SPOE is used. Eventually I will Opensource my little project.

RE: https://mastodon.social/@h4ckernews/115905398811730524

I know what I will do this evening: test psc !

#ebpf #container

RE: https://infosec.exchange/@alexandreborges/115906084679720718

Interesting tool built with the cilium lib.

"Features

• The Phantom Protocol: Critical services (SSH, databases, admin panels) are completely invisible to network scans. Access requires Single Packet Authorization (SPA).
• The Mirage: Randomized fake services on non-existent ports confuse port scanners and reconnaissance tools.
• The Portal: Suspicious traffic is transparently redirected to honeypots, capturing attacker behavior."

#ebpf #cilium #linux

Phantom Grid:

Phantom Grid is an enterprise-grade, kernel-level active defense system that transforms Linux servers into a controlled, deceptive attack surface.

https://github.com/haidang-infosec/phantom-grid

#kernel #linux #honeypot #informationsecurity #cybersecurity #defense #ebpf

Phantom Grid:

Phantom Grid is an enterprise-grade, kernel-level active defense system that transforms Linux servers into a controlled, deceptive attack surface.

https://github.com/haidang-infosec/phantom-grid

#kernel #linux #honeypot #informationsecurity #cybersecurity #defense #ebpf

Oh, look! It's yet another #GitHub project trying to reinvent the 'ps' command with a shiny #eBPF badge and some container mumbo jumbo 🚀🤖. Because clearly, what the world needed was yet another way to list processes, but this time with a trendy twist! 🙄🔧
https://github.com/loresuso/psc #pscommand #containerinnovation #processlisting #HackerNews #ngated