Компания Cloudflare опубликовала xdpcap, анализатор трафика на основе подсистемы XDP

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 29 Apr 2019.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,577
    Likes Received:
    3,507
    Reputations:
    693
    Компания Cloudflare представила открытый проект xdpcap, в рамках которого развивается похожий на tcpdump анализатор сетевых пакетов, построенный на основе подсистемы XDP (eXpress Data Path). Код проекта написан на языке Go и распространяется под лицензией BSD. Проектом также подготовлена библиотека для привязки eBPF-обработчиков трафика из приложений на языке Go.

    Утилита xdpcap совместима с выражениями фильтрации tcpdump/libpcap и позволяет обрабатывать на том же оборудовании существенно большие объёмы трафика. Xdpcap также может применяться для отладки в условиях, в которых обычный tcpdump неприменим, например, когда применяются системы фильтрации, защиты от DoS-атак и балансировки нагрузки, использующие подсистему ядра Linux XDP, обрабатывающую пакеты на стадии до их обработки сетевым стеком ядра Linux (tcpdump не видит пакеты, отброшенные обработчиком XDP).

    Высокая производительность достигается благодаря применению подсистем eBPF и XDP. eBPF представляет собой встроенный в ядро Linux интерпретатор байткода, позволяющий создавать высокопроизводительные обработчики входящих/исходящих пакетов с принятием решений об их перенаправлении или отбрасывании. При помощи JIT-компилятора байткод eBPF на лету транслируется в машинные инструкции и выполняется с производительностью нативного кода. Подсистема XDP (eXpress Data Path) дополняет eBPF возможностью запускать BPF-программы на уровне сетевого драйвера, с поддержкой прямого доступа к DMA-буферу пакетов и работой на стадии до выделения буфера skbuff сетевым стеком.

    Как и tcpdump утилита xdpcap вначале транслирует высокоуровневые правила фильтрации трафика в классическое представление BPF (cBPF) при помощи штатной библиотеки libpcap, после чего преобразует их в форму подпрограмм eBPF, используя компилятор cbpfc, использующий наработки LLVM/Clang. На выходе сведения о трафике сохраняются в стандартном формате pcap, что позволяет использовать подготовленный в xdpcap дамп трафика для последующего изучения в tcpdump и других существующих анализаторах трафика. Например, для захвата сведений о трафике DNS вместо команды "tcpdump ip and udp port 53" можно запустить "xdpcap /path/to/hook capture.pcap 'ip and udp port 53'", после чего использовать файл capture.pcap, например, с командой "tcpdump -r" или в Wireshark.

     
    CyberTro1n and seostock like this.
  2. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,285
    Likes Received:
    9,536
    Reputations:
    338
    Прям Роскомнадзору на заметку :)
    Они там любят с tcpdump поиграться ...
     
    _________________________
    CyberTro1n and Suicide like this.
  3. Игорь

    Игорь Member

    Joined:
    5 Sep 2006
    Messages:
    33
    Likes Received:
    8
    Reputations:
    0
    Интересный пул реквест сейчас ожидает, случай, когда пакет может придти без защиты. Возможно поможет исследовать блокировки.
     
Loading...