Cloudflare публикува xdpcap, анализатор на трафик, базиран на подсистемата XDP

Компания Cloudflare представени отворен проект xdpcap, в рамките на който се разработва анализатор на мрежови пакети, подобен на tcpdump, изграден на базата на подсистемата XDP (път на данни eXpress). Кодът на проекта е написан на Go и разпространява се от под BSD лиценз. Проектът също подготвени библиотека за обвързване на eBPF манипулатори на трафик от Go приложения.

Помощната програма xdpcap е съвместима с tcpdump/libpcap филтриращи изрази и ви позволява да обработвате значително по-големи обеми трафик на същия хардуер. Xdpcap може да се използва и за отстраняване на грешки в среди, където обикновеният tcpdump не е приложим, като филтриране, DoS защита и системи за балансиране на натоварването, които използват подсистемата XDP на ядрото на Linux, която обработва пакети, преди да бъдат обработени от мрежовия стек на ядрото на Linux (tcpdump не вижда пакети, изпуснати от XDP манипулатора).

Високата производителност се постига чрез използването на подсистеми eBPF и XDP. eBPF е интерпретатор на байт код, вграден в ядрото на Linux, който ви позволява да създавате високопроизводителни манипулатори на входящи/изходящи пакети с решения за тяхното препращане или отхвърляне. Използвайки JIT компилатор, байт кодът на eBPF се превежда в движение в машинни инструкции и се изпълнява с производителността на собствен код. Подсистемата XDP (eXpress Data Path) допълва eBPF с възможността да изпълнява BPF програми на ниво мрежов драйвер, с поддръжка за директен достъп до DMA пакетния буфер и работа на етапа преди буферът skbuff да бъде разпределен от мрежовия стек.

Подобно на tcpdump, помощната програма xdpcap първо превежда правилата за филтриране на трафик от високо ниво в класическо BPF представяне (cBPF), използвайки стандартната библиотека libpcap, и след това ги преобразува във формата на eBPF рутинни процедури, използвайки компилатор cbpfc, използвайки разработките на LLVM/Clang. На изхода информацията за трафика се записва в стандартния формат pcap, което ви позволява да използвате дъмп на трафика, подготвен в xdpcap, за последващо проучване в tcpdump и други съществуващи анализатори на трафика. Например, за да заснемете информация за трафика на DNS, вместо да използвате командата "tcpdump ip и udp порт 53", можете да стартирате "xdpcap /path/to/hook capture.pcap 'ip и udp порт 53′" и след това да използвате улавяне .pcap файл, например с командата "tcpdump -r" или в Wireshark.

Източник: opennet.ru