默安逐日实验室:XDP的应用实践

原创 已于 2024-07-05 16:08:22 修改 · 1.8k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2024-07-05 16:06:27 首次发布

1. 网络数据包是如何进入进计算机的

众所周知,网络数据包通常需要在TCP/IP协议栈中进行处理,但网络数据包并不直接进入TCP/IP协议栈;相反,他们直接进入网络接口。因此,在数据包进入 TCP/IP 堆栈之前,它们已经到达计算机内部。到目前为止,大多数应用程序都是在 TCP/IP 堆栈之后处理的。

image-20240118150012600

2. 什么是XDP

XDP,全称eXpress Data Path,是Linux内核提供的一个高可用性和可编程性的网络数据包处理框架,XDP允许在网络数据包到达Linux网络栈之前,在网络驱动程序级别对数据包进行处理。 XDP 使内核有能力在数据包到达网络层时快速处理数据包,它有高性能、高灵活度、低开销等优点。

3. 开始一个简单的XDP项目

挂载XDP程序请谨慎,一条错误的xdp规则是极有可能导致服务器失联的!

以下是一个很简单的XDP示例程序

#include <linux/bpf.h>

SEC("xdp")
//XDP 处理逻辑
int xdp_main(struct xdp_md *ctx)
{
    static int count = 1;
    count++;
    if (count%2)
    {
        return XDP_DROP;
    }
    else
    {
        return XDP_PASS;
    }
}

char __license[] __section("license") = "GPL";

工作时,当数据包进入接口时,计数将加1。当计数为偶数时,数据包被丢弃。

我这里采用了clang来编译XDP程序,不过clang有一定的版本限制,需要10.0以上,同样对于内核版本来说xdp需要4.15以上。

编译命令

clang -O2 -g -Wall -target bpf -c main.c -o xdp.o

当命令执行时,它会生成一个名为 xdp.o 的文件。

image-20240119104600652

当所有准备工作完成后,在网络接口上挂载xdp.o。

ip link set dev ens33 xdp obj xdp.o

如果您不需要此xdp程序,可以将其卸载。

ip link set dev ens33 xdp off

当这个XDP程序处于运行状态时,如果去ping该主机,每两组数据包中,就会有一组无响应,就像如下这样。image-20240119111654161

4. 逐步升级XDP应用功能

4.1 Level 1 使用XDP记录源地址IP

由于XDP是内核应用,而将源地址IP记录到本地又是一个用户态行为,那么我们就需要设法让内核态跟用户态进行交互,在这里我们使用了自带的bpf系统当中的MAP来进行数据交换。Map的本质是结构,它允许用户在内核空间和用户空间之间存储和共享数据。

4.1.1 XDP
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>
#include <linux/if_ether.h>
#include <linux/ip.h>

#define MAX_ENTRIES 1024

// 定义一个xdp_map结构,其中要包含map的类型、kv的数据类型以及map的最大条数
struct {
    __uint(type, BPF_MAP_TYPE_ARRAY);
    __type(key, __u32);
    __type(value, __u32);
    __uint(max_entries, MAX_ENTRIES);
} xdp_map SEC(".maps");

struct ip_event {
    __u32 src_ip;
};

SEC("xdp")
int xdp_main(struct xdp_md *ctx) {
    void *data_end = (void *)(long)ctx->data_end;
    void *data = (void *)(long)ctx->data;
    struct ethhdr *eth = data;
    struct iphdr *ip;
    // 对一些畸形包以及非ipv4的包放行
    if (eth + 1 > data_end) {
        return XDP_PASS;
    }
    if (eth->h_proto != __constant_htons(ETH_P_IP)) {
        return XDP_PASS;
    }

    ip = data + sizeof(*eth);
    if (ip + 1 > data_end) {
        return XDP_PASS;
    }
    struct ip_event evt = {
        .src_ip = ip->saddr,
    };
    __u32 key = 0; 
    __u32 value = evt.src_ip;
    bpf_map_update_elem(&xdp_map, &key, &value, BPF_ANY);
    return XDP_PASS;
}

char _license[] SEC("license") = "GPL";

在上述代码当中使用了bpf_map_update_elem接口,这个接口是bpf系统提供用来更新映射Map的。

4.1.2 用户态
package main

import (
	"fmt"
	"log"
	"net"
	"time"

	"github.com/cilium/ebpf"
	"github.com/cilium/ebpf/link"
	"github.com/cilium/ebpf/rlimit"
)

var (
	XDP_PATH = "xdp.o"
	IF       = "ens33"
	XDP_Func = "xdp_main"
	XDP_Map  = "xdp_map"
)

func main() {
   
   
	if err := rlimit.RemoveMemlock(); err != nil {
   
   
		log.Fatalf("关闭内存锁失败: %v", err)
	}
	// 加载xdp程序规则
	spec, err := ebpf.LoadCollectionSpec(XDP_PATH)
	if err != nil {
   
   
		log.Fatalf("XDP 程序加载失败: %v", err)
	}
	coll, err := ebpf.NewCollection(spec)
	if err != nil {
   
   
		log.Fatalf("创建新的程序集失败: %v", err)
	}
	defer coll.Close()
	// 在当前的程序集当中寻找名为 xdp_map 的bpfmap对象
	cmdMap := coll.DetachMap(XDP_Map)
	if cmdMap == nil {
   
   
		log.Fatalf("在%s当中未找到%s对象", XDP_PATH, XDP_Map)
	}
	// 将网卡名称转换为网卡index
	ifIndex, err := getInterfaceIndex(IF)
	if err != nil {
   
   
		log.Fatalf("获取%s索引失败: %v", IF, err)
	}
	// 寻找
	prog := coll.Programs[XDP_Func]
	if prog == nil {
   
   
		log.Fatalf("未找到%s方法",XDP_Func)
	}
	link, err := link.AttachXDP(link.XDPOptions{
   
   
		Program:   prog,
		Interface: ifIndex,
	})
	defer link.Close()
	// 读取ma
最低0.47元/天 解锁文章
XDP/BPF Github教程
Ray的博客
09-28 5678
参考:xdp-tutorial basic01 主要介绍了如何编写简单的xdp程序以及通过libbpf库或者iproute2将xdp程序加载到内核并将内核代码挂载到指定的网络接口上。 Simple XDP code: SEC("xdp") int xdp_prog_simple(struct xdp_md *ctx) { return XDP_PASS; } section本身的作用就是来自汇编中的声明,汇编每一段开头都有不同的声明,表示接下来这一段的内容是什么。如下图所示,BP.
XDP类型的BPF程序
魏言华的博客
10-11 1435
经过上一节的内容,bpf程序和map已经加载到内核当中了。什么时候bpf程序才能发挥它的作用呢? 这就需要bpf的应用系统把其挂载到适当的钩子上,当钩子所在点的路径被执行,钩子被触发,BPF程序得以执行。 目前应用bpf的子系统分为两大类: tracing:kprobe、tracepoint、perf_event filter:sk_filter、sched_cls、sched_act、xdp、cg_skb 接下来分析XDP类型的bpf程序的绑定和触发过程 1.Loading via iprou..
xdp:软件包xdp允许使用Go编程语言中的XDP套接字
02-05
xdp 软件包github.com/asavie/xdp允许使用Go编程语言中的。 有关用法示例,请参阅或目录。 性能 例子/ sendudp 在Linux内核5.1.20, (因此没有本地XDP支持)千兆NIC上运行的认UDP有效负载大小为1400字节的情况下,sendudp.go的运行约为980 Mb / s,因此实际上是线速。 示例/发送查询 TL; DR:在相同的环境中,使用普通的UDP套接字发送预生成的DNS查询的约为30 MiB / s,而使用示例程序发送的DNS查询的约为77 MiB / s。 将具有Linux内核5.0.17的Intel Core i7-7700 C
xdp测试例子
u010643777的专栏
02-07 1751
xdp,ebf测试
xdp 入门
weixin_38184628的博客
02-28 5333
xdp 全称 eXpress Data Path,是 linux ebpf 中的一个功能。ebpf 在内核中预留了一些插入点,用户可以在这些插入点插入自己的处理逻辑,当数据路过插入点时可以做一些预期的处理,具体实现方式如下:① 用户编写数据处理代码,也就是对于路过这个插入点的数据想做什么处理② 将代码编译③ 将编译好的目标文件装到插入点装之后,数据路过插入点时便会被装的代码处理。插入点的处理逻辑就像一些路口的收费站,不同身份的车辆通过收费站的时候,可能需要做不同的事情。
eBPF深度实战:XDP程序实现实时TCP反射攻击流量过滤.pdf
06-10
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
【网络操作系统】基于eBPF的快速可编程数据路径技术:XDP在内核层实现高性能包处理与全集成
最新发布
12-03
建议结合Linux内核源码、eBPF编程实践与AF_XDP套接字技术进行深入学习,关注XDP与现有网络栈的协同机制及性能调优方法,同时参考文中提到的真实案例(如Cloudflare DDoS防护、Facebook Katran负载均衡)以增强对应用...
16、深入探索eBPF网络编程:XDP与TC的强大功能
gitlab7runner的博客
09-05 98
本文深入探讨了eBPF(扩展伯克利包过滤器)在网络编程中的应用,重点介绍了XDP和TC子系统的功能与使用场景。通过详细的代码示例,展示了XDP如何在数据包到达内核栈之前进行快速处理,以及TC如何实现对进出双向流量的精细控制。文章涵盖了从数据包解析、过滤、修改到转发的多种用例,并分析了eBPF在性能优化和网络功能实现方面的优势,最后展望了其在容器、云计算等领域的未来发展方向。
xpress-dns:由eBPF支持的实验性XDP DNS服务器
03-22
Xpress DNS-实验XDP DNS服务器 关于 Xpress DNS是用BPF编写的实验性DNS服务器,用于高吞吐量,低延迟的DNS响应。 它使用在Linux网络路径的早期处理数据包。 提供了一个用户空间应用程序,用于将DNS记录添加到BPF映射中,该映射由XDP模块从内核中读取。 不匹配的DNS请求将传递到Linux网络堆栈。 用例 Xpress DNS可以用作对静态DNS记录的常见DNS请求的高性能DNS代理。 通过在Linux网络堆栈处理数据包之前响应DNS请求,可以减轻系统和用户空间中DNS服务器的负载。 特点与局限性 目前支持A记录 仅支持基于UDP的纯DNS(端口53) 基本的EDNS实施 目前仅响应单个查询 没有递归查找 要求 需要5.8或更高版本的内核,因为此程序使用bpf_xdp_adjust_tail调用来扩展数据包大小。 参见 ,合并于5.8。 iprout
网络编程之XDP技术应用
fpcc的专栏
06-10 1827
在上文中介绍了XDP技术,XDP技术的基本原理已经明白,但有一个问题,一个技术如何落地,如何在实际中应用?这就需要有一个承载其的具体的形式。举一个例子,网络编程一般使用Socket方式,那么能不能够在这种方式里使用XDP技术呢?答案是肯定的。 Linux在内核中提供了AF_XDP套接字编程,这就意味着,大部分的编程方式仍然可以以原来的套接字编程为主。这样的好处显而易见,对开发者和维护者来说,都是相对要容易理解和支持。AF_XDP类似于AF_NET(TCP/IP等)等一样,是一个协议族,大家有没有记得在TCP
XDP调试接口设计参考.pdf
04-13
Debug Port Design GUID . XDP接口调试,设计。一些参数。
xdp初体验
ych的专栏
08-09 2406
简介 XDP是利用ebpf提供的全新内核网络性能提升方案,主要优势包括: 它不需要任何专门的硬件 它不需要内核绕过 它不会取代 TCP/IP 堆栈 它与 TCP/IP 堆栈以及 BPF 的所有优点协同工作 在没有引入XDP之前,原来是的内核网络数据包传输路径是这样的: NIC > driver 驱动> tc流控 ==> netfilter ==> IP/TCP协议栈 ==> socket 启用XDP后,网络包传输路径是这样的: ①NIC > ②driver 驱动&
XDP程序
weixin_43400806的博客
09-17 573
什么是XDP? 是BPF程序的一种(BPF程序:可用于检测和控制系统的网络流量,对网络接口的数据包进行过滤) XDP程序 当一个网络数据包到达系统内核的时候,XDP是内核中早期执行的程序。 优点:在数据包处理早期执行,对数据包有更好的控制 局限性:但是,由于是早期执行的程序,数据包刚刚接收并没有进行过多的处理,所系数据包的显示信息是有限的 XDP程序处理数据包的方式 1.如果XDP程序返回值——XDP_PASS:接收该数据包,传递给内核下一个系统 2.XDP返回值——XDP_DROP:内核丢弃该包 3.XD
高性能网络框架——XDP
Fireplusplus的博客
07-14 1917
为了提升服务器处理网络流量的性能,涌现了一些技术,XDP就是其中的一种。XDP 是一种 Linux 下的基于 eBPF 实现的内核旁路技术,是一个位于内核协议栈之前的数据包处理器,并拥有将数据包绕过内核协议栈重定向至应用层的能力,因此具有很高的性能,可用于DDoS防御、防火墙、负载均衡等领域。
逐日实验室:免杀研究
moresec的博客
06-04 2009
​ 免杀(Bypass AV, Anti-Virus Evasion)是指恶意软件通过各种手段规避杀毒软件和全检测系统的识别和拦截,从而在目标系统中成功执行。这种技术不仅用于恶意软件的传播,也被信息全研究人员用来测试和提升全防护系统的能力。根据有无源码,免杀可以分为以下两种情况:​ 一般直接对二进制可执行文件进行无源码免杀技术难度较高,免杀效果也不好。于是可以通过将编译好的二进制可执行文件转化为一段shellcode,然后编写加载器执行这段shellcode,从而实现无源码免杀向有源码免杀的转化。根据
AF_XDP socket 测试
u010643777的专栏
02-26 1891
linux xdp例子测试
Xdp简介以及gtpu隧道简单示例
weixin_38667434的博客
10-25 3759
       网络开发有很多种方式/工具,细细想想,罗列下来应该主要可分为下面几类。 硬件类        专用集成电路:以交换芯片为代表的固定处理逻辑的Asic(Application Specific Integrated Circuit)        可编程硬件:如FPGA,NP;还有比较新的支持openflow的broadcom OF-DPA,支持P4的barefoot Tof
XDP (eXpress Data Path):在操作系统内核中实现快速、可编程包处理
hao_wujing的专栏
12-27 2098
近些年业界流行通过内核旁路(kernel bypass)的方式实现可编程的包处理过程实现方式是 将网络硬件完全交由某个专门的用户空间应用(userspace application) 接管,从而避免内核和用户态上下文切换的昂贵性能开销。内核收包时,硬中断(Interrupt)和软中断(SoftIRQ)相关的逻辑,见:(译) Linux 网络栈监控和调优:接收数据(2016)。译注。但是,操作系统被旁路(绕过)之后,它的。
XDP入门--bpftool使用方法简介
meihualing的专栏
05-31 3932
XDP, eBPF, bpftool, eBPF编程与调试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值