ছোটদের জন্য BPF, অংশ শূন্য: ক্লাসিক BPF

বার্কলে প্যাকেট ফিল্টার (বিপিএফ) হল একটি লিনাক্স কার্নেল প্রযুক্তি যা বেশ কয়েক বছর ধরে ইংরেজি ভাষার প্রযুক্তি প্রকাশনার প্রথম পাতায় রয়েছে। সম্মেলনগুলি BPF-এর ব্যবহার এবং বিকাশের প্রতিবেদনে পূর্ণ। ডেভিড মিলার, লিনাক্স নেটওয়ার্ক সাবসিস্টেম রক্ষণাবেক্ষণকারী, লিনাক্স প্লাম্বারস 2018 এ তার বক্তৃতা কল করেছেন "এই আলোচনা XDP সম্পর্কে নয়" (XDP BPF-এর জন্য একটি ব্যবহারের ক্ষেত্রে)। ব্রেন্ডন গ্রেগ এনটাইটেল টকস দেন লিনাক্স বিপিএফ সুপার পাওয়ার. টোকে হোইল্যান্ড-জর্গেনসেন হাসেযে কার্নেলটি এখন একটি মাইক্রোকারনেল। টমাস গ্রাফ এই ধারণাটি প্রচার করেন BPF কার্নেলের জন্য জাভাস্ক্রিপ্ট.

Habré-এ BPF-এর এখনও কোনও পদ্ধতিগত বর্ণনা নেই, এবং সেইজন্য প্রবন্ধগুলির একটি সিরিজে আমি প্রযুক্তির ইতিহাস সম্পর্কে কথা বলার চেষ্টা করব, স্থাপত্য এবং বিকাশের সরঞ্জামগুলি বর্ণনা করব এবং BPF ব্যবহার করার প্রয়োগ ও অনুশীলনের ক্ষেত্রগুলির রূপরেখা দেব। এই নিবন্ধটি, শূন্য, সিরিজে, ক্লাসিক BPF এর ইতিহাস এবং স্থাপত্যকে বলে, এবং এর অপারেটিং নীতিগুলির গোপনীয়তাও প্রকাশ করে। tcpdump, seccomp, strace, এবং আরো অনেক কিছু.

BPF এর বিকাশ লিনাক্স নেটওয়ার্কিং সম্প্রদায় দ্বারা নিয়ন্ত্রিত হয়, BPF এর প্রধান বিদ্যমান অ্যাপ্লিকেশনগুলি নেটওয়ার্কের সাথে সম্পর্কিত এবং তাই অনুমতি সহ @ইউকারিওট, আমি সিরিজটিকে "ছোটদের জন্য BPF" বলেছি, মহান সিরিজের সম্মানে "ছোটদের জন্য নেটওয়ার্ক".

BPF এর ইতিহাসে একটি সংক্ষিপ্ত কোর্স (c)

আধুনিক BPF প্রযুক্তি হল একই নামের পুরানো প্রযুক্তির একটি উন্নত এবং সম্প্রসারিত সংস্করণ, এখন বিভ্রান্তি এড়াতে ক্লাসিক BPF বলা হয়। ক্লাসিক BPF এর উপর ভিত্তি করে একটি সুপরিচিত ইউটিলিটি তৈরি করা হয়েছিল tcpdump, পদ্ধতি seccomp, সেইসাথে কম পরিচিত মডিউল xt_bpf থেকে iptables এবং ক্লাসিফায়ার cls_bpf. আধুনিক লিনাক্সে, ক্লাসিক বিপিএফ প্রোগ্রামগুলি স্বয়ংক্রিয়ভাবে নতুন ফর্মে অনুবাদ করা হয়, তবে, ব্যবহারকারীর দৃষ্টিকোণ থেকে, এপিআই রয়ে গেছে এবং ক্লাসিক বিপিএফ-এর জন্য নতুন ব্যবহার, যেমনটি আমরা এই নিবন্ধে দেখব, এখনও পাওয়া যাচ্ছে। এই কারণে, এবং লিনাক্সে ধ্রুপদী BPF-এর বিকাশের ইতিহাস অনুসরণ করার কারণে, এটি কীভাবে এবং কেন এটির আধুনিক আকারে বিকশিত হয়েছিল তা আরও পরিষ্কার হয়ে যাবে, আমি শাস্ত্রীয় BPF সম্পর্কে একটি নিবন্ধ দিয়ে শুরু করার সিদ্ধান্ত নিয়েছি।

গত শতাব্দীর আশির দশকের শেষের দিকে, বিখ্যাত লরেন্স বার্কলে ল্যাবরেটরির প্রকৌশলীরা গত শতাব্দীর আশির দশকের শেষের দিকে আধুনিক হার্ডওয়্যারের নেটওয়ার্ক প্যাকেটগুলিকে কীভাবে সঠিকভাবে ফিল্টার করা যায় সেই প্রশ্নে আগ্রহী হয়ে ওঠেন। ফিল্টারিংয়ের প্রাথমিক ধারণা, মূলত সিএসপিএফ (সিএমইউ/স্ট্যানফোর্ড প্যাকেট ফিল্টার) প্রযুক্তিতে প্রয়োগ করা হয়েছিল, যত তাড়াতাড়ি সম্ভব অপ্রয়োজনীয় প্যাকেটগুলি ফিল্টার করা ছিল, যেমন কার্নেল স্পেসে, যেহেতু এটি ব্যবহারকারীর স্পেসে অপ্রয়োজনীয় ডেটা অনুলিপি করা এড়ায়। কার্নেল স্পেসে ব্যবহারকারী কোড চালানোর জন্য রানটাইম নিরাপত্তা প্রদান করতে, একটি স্যান্ডবক্সযুক্ত ভার্চুয়াল মেশিন ব্যবহার করা হয়েছিল।

যাইহোক, বিদ্যমান ফিল্টারগুলির জন্য ভার্চুয়াল মেশিনগুলি স্ট্যাক-ভিত্তিক মেশিনে চালানোর জন্য ডিজাইন করা হয়েছিল এবং নতুন RISC মেশিনে ততটা দক্ষতার সাথে চালানো হয়নি। ফলস্বরূপ, বার্কলে ল্যাবসের প্রকৌশলীদের প্রচেষ্টার মাধ্যমে, একটি নতুন বিপিএফ (বার্কলে প্যাকেট ফিল্টার) প্রযুক্তি তৈরি করা হয়েছিল, যার ভার্চুয়াল মেশিন আর্কিটেকচারটি মটোরোলা 6502 প্রসেসরের উপর ভিত্তি করে ডিজাইন করা হয়েছিল - যেমন সুপরিচিত পণ্যগুলির ওয়ার্কহরস। অ্যাপল দ্বিতীয় বা এনইএস. নতুন ভার্চুয়াল মেশিন বিদ্যমান সমাধানের তুলনায় ফিল্টার কর্মক্ষমতা দশগুণ বাড়িয়েছে।

বিপিএফ মেশিন আর্কিটেকচার

আমরা একটি কাজের উপায়ে স্থাপত্যের সাথে পরিচিত হব, উদাহরণগুলি বিশ্লেষণ করে। যাইহোক, শুরুতে, আসুন বলি যে মেশিনটিতে ব্যবহারকারীর কাছে অ্যাক্সেসযোগ্য দুটি 32-বিট রেজিস্টার ছিল, একটি সঞ্চয়কারী A এবং ইনডেক্স রেজিস্টার X, 64 বাইট মেমরি (16 শব্দ), লেখার জন্য এবং পরবর্তী পড়ার জন্য উপলব্ধ, এবং এই বস্তুগুলির সাথে কাজ করার জন্য কমান্ডের একটি ছোট সিস্টেম। শর্তসাপেক্ষ অভিব্যক্তি বাস্তবায়নের জন্য জাম্প নির্দেশাবলী প্রোগ্রামগুলিতেও উপলব্ধ ছিল, কিন্তু প্রোগ্রামের সময়মতো সমাপ্তির গ্যারান্টি দেওয়ার জন্য, জাম্পগুলি কেবলমাত্র এগিয়ে দেওয়া যেতে পারে, অর্থাৎ, বিশেষত, লুপ তৈরি করা নিষিদ্ধ ছিল।

মেশিনটি শুরু করার জন্য সাধারণ স্কিমটি নিম্নরূপ। ব্যবহারকারী BPF আর্কিটেকচারের জন্য একটি প্রোগ্রাম তৈরি করে এবং ব্যবহার করে কিছু কার্নেল মেকানিজম (যেমন একটি সিস্টেম কল), প্রোগ্রামটিকে লোড করে এবং সংযোগ করে কিছু কার্নেলের ইভেন্ট জেনারেটরে (উদাহরণস্বরূপ, একটি ইভেন্ট হল নেটওয়ার্ক কার্ডে পরবর্তী প্যাকেটের আগমন)। একটি ঘটনা ঘটলে, কার্নেল প্রোগ্রামটি চালায় (উদাহরণস্বরূপ, একটি দোভাষীতে), এবং মেশিনের মেমরি এর সাথে মিলে যায় কিছু কার্নেল মেমরি অঞ্চল (উদাহরণস্বরূপ, একটি ইনকামিং প্যাকেটের ডেটা)।

উপরের উদাহরণগুলি দেখা শুরু করার জন্য আমাদের জন্য যথেষ্ট হবে: আমরা প্রয়োজন অনুসারে সিস্টেম এবং কমান্ড বিন্যাসের সাথে পরিচিত হব। আপনি যদি অবিলম্বে একটি ভার্চুয়াল মেশিনের কমান্ড সিস্টেম অধ্যয়ন করতে চান এবং এর সমস্ত ক্ষমতা সম্পর্কে জানতে চান তবে আপনি মূল নিবন্ধটি পড়তে পারেন বিএসডি প্যাকেট ফিল্টার এবং/অথবা ফাইলের প্রথমার্ধ ডকুমেন্টেশন/networking/filter.txt কার্নেল ডকুমেন্টেশন থেকে। উপরন্তু, আপনি উপস্থাপনা অধ্যয়ন করতে পারেন libpcap: প্যাকেট ক্যাপচারের জন্য একটি আর্কিটেকচার এবং অপ্টিমাইজেশন পদ্ধতি, যেখানে ম্যাককান, বিপিএফ-এর অন্যতম লেখক, সৃষ্টির ইতিহাস সম্পর্কে কথা বলেছেন libpcap.

আমরা লিনাক্সে ক্লাসিক বিপিএফ ব্যবহারের সমস্ত উল্লেখযোগ্য উদাহরণ বিবেচনা করতে এগিয়ে যাই: tcpdump (libpcap), seccomp, xt_bpf, cls_bpf.

tcpdump

বিপিএফের বিকাশ প্যাকেট ফিল্টারিংয়ের জন্য ফ্রন্টএন্ডের বিকাশের সাথে সমান্তরালভাবে সম্পাদিত হয়েছিল - একটি সুপরিচিত ইউটিলিটি tcpdump. এবং, যেহেতু এটি অনেক অপারেটিং সিস্টেমে উপলব্ধ ক্লাসিক BPF ব্যবহারের প্রাচীনতম এবং সবচেয়ে বিখ্যাত উদাহরণ, তাই আমরা এটি দিয়ে প্রযুক্তির অধ্যয়ন শুরু করব।

(আমি লিনাক্সে এই নিবন্ধে সমস্ত উদাহরণ চালিয়েছি 5.6.0-rc6. ভাল পঠনযোগ্যতার জন্য কিছু কমান্ডের আউটপুট সম্পাদনা করা হয়েছে।)

উদাহরণ: IPv6 প্যাকেট পর্যবেক্ষণ করা

আসুন কল্পনা করি যে আমরা একটি ইন্টারফেসে সমস্ত IPv6 প্যাকেট দেখতে চাই eth0. এটি করার জন্য আমরা প্রোগ্রামটি চালাতে পারি tcpdump একটি সাধারণ ফিল্টার সহ ip6:

$ sudo tcpdump -i eth0 ip6

এইভাবে tcpdump ফিল্টার কম্পাইল করে ip6 BPF আর্কিটেকচার বাইটকোডে এবং এটি কার্নেলে পাঠান (বিভাগে বিস্তারিত দেখুন Tcpdump: লোড হচ্ছে) লোড করা ফিল্টারটি ইন্টারফেসের মধ্য দিয়ে যাওয়া প্রতিটি প্যাকেটের জন্য চালানো হবে eth0. যদি ফিল্টার একটি অ-শূন্য মান প্রদান করে n, তারপর পর্যন্ত n প্যাকেটের বাইট ইউজার স্পেসে কপি করা হবে এবং আমরা এটি আউটপুটে দেখতে পাব tcpdump.

দেখা যাচ্ছে যে কার্নেলে কোন বাইটকোড পাঠানো হয়েছে তা আমরা সহজেই খুঁজে বের করতে পারি tcpdump সাহায্যে tcpdump, যদি আমরা এটি অপশন দিয়ে চালাই -d:

$ sudo tcpdump -i eth0 -d ip6
(000) ldh      [12]
(001) jeq      #0x86dd          jt 2    jf 3
(002) ret      #262144
(003) ret      #0

শূন্য লাইনে আমরা কমান্ড চালাই ldh [12], যার অর্থ হল “লোড ইন রেজিস্টার A অর্ধেক শব্দ (16 বিট) ঠিকানা 12" এ অবস্থিত এবং একমাত্র প্রশ্ন হল আমরা কোন ধরনের মেমরিকে সম্বোধন করছি? উত্তর হল যে এ x শুরু (x+1)বিশ্লেষিত নেটওয়ার্ক প্যাকেটের তম বাইট। আমরা ইথারনেট ইন্টারফেস থেকে প্যাকেট পড়ি eth0এবং এই মানেযে প্যাকেটটি দেখতে এইরকম (সরলতার জন্য, আমরা অনুমান করি যে প্যাকেটে কোনও VLAN ট্যাগ নেই):

       6              6          2
|Destination MAC|Source MAC|Ether Type|...|

তাই কমান্ড কার্যকর করার পর ldh [12] রেজিস্টারে A একটি ক্ষেত্র হবে Ether Type — এই ইথারনেট ফ্রেমে প্রেরিত প্যাকেটের ধরন। লাইন 1 এ আমরা রেজিস্টারের বিষয়বস্তুর তুলনা করি A (প্যাকেজের ধরন) গ 0x86ddএবং এই এবং আছে আমরা যে প্রকারে আগ্রহী তা হল IPv6। লাইন 1-এ, তুলনা কমান্ড ছাড়াও, আরও দুটি কলাম রয়েছে - jt 2 и jf 3 — তুলনা সফল হলে যে চিহ্নগুলিতে আপনাকে যেতে হবে (A == 0x86dd) এবং অসফল। সুতরাং, একটি সফল ক্ষেত্রে (IPv6) আমরা লাইন 2 এ যাই, এবং একটি অসফল ক্ষেত্রে - লাইন 3 এ। লাইন 3 এ প্রোগ্রামটি কোড 0 দিয়ে শেষ হয় (প্যাকেটটি অনুলিপি করবেন না), লাইন 2-এ প্রোগ্রামটি কোডের সাথে শেষ হয়। 262144 (আমাকে সর্বাধিক 256 কিলোবাইট প্যাকেজ অনুলিপি করুন)।

একটি আরও জটিল উদাহরণ: আমরা গন্তব্য পোর্ট দ্বারা TCP প্যাকেটগুলি দেখি

একটি ফিল্টার দেখতে কেমন তা গন্তব্য পোর্ট 666 সহ সমস্ত TCP প্যাকেট কপি করে। আমরা IPv4 কেসটি বিবেচনা করব, যেহেতু IPv6 কেসটি সহজ। এই উদাহরণ অধ্যয়ন করার পরে, আপনি একটি ব্যায়াম হিসাবে IPv6 ফিল্টার নিজেকে অন্বেষণ করতে পারেন (ip6 and tcp dst port 666) এবং সাধারণ ক্ষেত্রের জন্য একটি ফিল্টার (tcp dst port 666) সুতরাং, আমরা যে ফিল্টারটিতে আগ্রহী তা এইরকম দেখাচ্ছে:

$ sudo tcpdump -i eth0 -d ip and tcp dst port 666
(000) ldh      [12]
(001) jeq      #0x800           jt 2    jf 10
(002) ldb      [23]
(003) jeq      #0x6             jt 4    jf 10
(004) ldh      [20]
(005) jset     #0x1fff          jt 10   jf 6
(006) ldxb     4*([14]&0xf)
(007) ldh      [x + 16]
(008) jeq      #0x29a           jt 9    jf 10
(009) ret      #262144
(010) ret      #0

আমরা ইতিমধ্যে জানি লাইন 0 এবং 1 কি করে। লাইন 2-এ আমরা ইতিমধ্যেই পরীক্ষা করেছি যে এটি একটি IPv4 প্যাকেট (ইথার প্রকার = 0x800) এবং রেজিস্টারে লোড করুন A প্যাকেটের 24 তম বাইট। আমাদের প্যাকেজ মত দেখাচ্ছে

       14            8      1     1
|ethernet header|ip fields|ttl|protocol|...|

যার মানে আমরা রেজিস্টারে লোড করি A আইপি হেডারের প্রোটোকল ক্ষেত্র, যা যৌক্তিক, কারণ আমরা শুধুমাত্র TCP প্যাকেট কপি করতে চাই। আমরা প্রোটোকলের সাথে তুলনা করি 0x6 (IPPROTO_TCP) লাইন 3 এ।

লাইন 4 এবং 5 এ আমরা ঠিকানা 20 এ অবস্থিত হাফওয়ার্ড লোড করি এবং কমান্ডটি ব্যবহার করি jset তিনটির মধ্যে একটি সেট করা আছে কিনা তা পরীক্ষা করুন পতাকা - জারি করা মাস্ক পরা jset তিনটি সবচেয়ে গুরুত্বপূর্ণ বিট সাফ করা হয়। তিনটি বিটের মধ্যে দুটি আমাদের বলে যে প্যাকেটটি একটি খণ্ডিত আইপি প্যাকেটের অংশ কিনা এবং যদি তাই হয় তবে এটি শেষ খণ্ড কিনা। তৃতীয় বিট সংরক্ষিত এবং শূন্য হতে হবে। আমরা অসম্পূর্ণ বা ভাঙা প্যাকেট চেক করতে চাই না, তাই আমরা তিনটি বিট চেক করি।

লাইন 6 এই তালিকার সবচেয়ে আকর্ষণীয়. অভিব্যক্তি ldxb 4*([14]&0xf) মানে আমরা রেজিস্টারে লোড করি X প্যাকেটের পঞ্চদশ বাইটের সর্বনিম্ন তাৎপর্যপূর্ণ চারটি বিটকে 4 দ্বারা গুণ করা হয়। পঞ্চদশ বাইটের সর্বনিম্ন উল্লেখযোগ্য চারটি বিট হল ক্ষেত্র ইন্টারনেট হেডারের দৈর্ঘ্য IPv4 হেডার, যা শব্দের মধ্যে হেডারের দৈর্ঘ্য সংরক্ষণ করে, তাই আপনাকে 4 দ্বারা গুণ করতে হবে। মজার বিষয় হল, অভিব্যক্তি 4*([14]&0xf) একটি বিশেষ অ্যাড্রেসিং স্কিমের জন্য একটি উপাধি যা শুধুমাত্র এই ফর্মে এবং শুধুমাত্র একটি রেজিস্টারের জন্য ব্যবহার করা যেতে পারে X, অর্থাৎ আমরাও বলতে পারি না ldb 4*([14]&0xf) অথবা ldxb 5*([14]&0xf) (আমরা শুধুমাত্র একটি ভিন্ন অফসেট নির্দিষ্ট করতে পারি, উদাহরণস্বরূপ, ldxb 4*([16]&0xf)) এটা স্পষ্ট যে এই অ্যাড্রেসিং স্কিমটি গ্রহণ করার জন্য অবিকল BPF-তে যোগ করা হয়েছিল X (ইনডেক্স রেজিস্টার) IPv4 হেডার দৈর্ঘ্য।

তাই লাইন 7 এ আমরা অর্ধেক শব্দ লোড করার চেষ্টা করি (X+16). মনে রাখবেন যে 14 বাইট ইথারনেট হেডার দ্বারা দখল করা হয়, এবং X IPv4 হেডারের দৈর্ঘ্য রয়েছে, আমরা বুঝতে পারি যে A TCP গন্তব্য পোর্ট লোড করা হয়েছে:

       14           X           2             2
|ethernet header|ip header|source port|destination port|

অবশেষে, 8 লাইনে আমরা পছন্দসই মানের সাথে গন্তব্য পোর্টের তুলনা করি এবং 9 বা 10 লাইনে আমরা ফলাফলটি ফেরত দিই - প্যাকেটটি অনুলিপি করা হোক বা না হোক।

Tcpdump: লোড হচ্ছে

পূর্ববর্তী উদাহরণগুলিতে, আমরা প্যাকেট ফিল্টারিংয়ের জন্য কার্নেলে বিপিএফ বাইটকোড কীভাবে লোড করি সে সম্পর্কে আমরা বিশেষভাবে বিস্তারিতভাবে আলোচনা করিনি। সাধারণভাবে বলতে, tcpdump অনেক সিস্টেমে পোর্ট করা হয়েছে এবং ফিল্টার দিয়ে কাজ করার জন্য tcpdump লাইব্রেরি ব্যবহার করে libpcap. সংক্ষেপে, ব্যবহার করে একটি ইন্টারফেসে একটি ফিল্টার স্থাপন করা libpcap, আপনাকে নিম্নলিখিতগুলি করতে হবে:

• একটি টাইপ বর্ণনাকারী তৈরি করুন pcap_t ইন্টারফেস নাম থেকে: pcap_create,
• ইন্টারফেস সক্রিয় করুন: pcap_activate,
• কম্পাইল ফিল্টার: pcap_compile,
• ফিল্টার সংযোগ করুন: pcap_setfilter.

কিভাবে ফাংশন দেখতে pcap_setfilter লিনাক্সে প্রয়োগ করা হয়েছে, আমরা ব্যবহার করি strace (কিছু লাইন মুছে ফেলা হয়েছে):

$ sudo strace -f -e trace=%network tcpdump -p -i eth0 ip
socket(AF_PACKET, SOCK_RAW, 768)        = 3
bind(3, {sa_family=AF_PACKET, sll_protocol=htons(ETH_P_ALL), sll_ifindex=if_nametoindex("eth0"), sll_hatype=ARPHRD_NETROM, sll_pkttype=PACKET_HOST, sll_halen=0}, 20) = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, {len=4, filter=0xb00bb00bb00b}, 16) = 0
...

আউটপুটের প্রথম দুই লাইনে আমরা তৈরি করি কাঁচা সকেট সমস্ত ইথারনেট ফ্রেম পড়তে এবং ইন্টারফেসের সাথে এটি আবদ্ধ করতে eth0। থেকে আমাদের প্রথম উদাহরণ আমরা জানি যে ফিল্টার ip চারটি BPF নির্দেশাবলী থাকবে, এবং তৃতীয় লাইনে আমরা বিকল্পটি কীভাবে ব্যবহার করব তা দেখতে পাই SO_ATTACH_FILTER সিস্টেম কল setsockopt আমরা 4 দৈর্ঘ্যের একটি ফিল্টার লোড এবং সংযোগ করি। এটি আমাদের ফিল্টার।

এটি লক্ষণীয় যে ক্লাসিক BPF-এ, একটি ফিল্টার লোড করা এবং সংযোগ করা সর্বদা একটি পারমাণবিক অপারেশন হিসাবে ঘটে এবং BPF-এর নতুন সংস্করণে, প্রোগ্রামটি লোড করা এবং ইভেন্ট জেনারেটরের সাথে বাঁধাই করা সময়মত আলাদা করা হয়।

গোপন সত্য

আউটপুটের একটি সামান্য আরো সম্পূর্ণ সংস্করণ এই মত দেখায়:

$ sudo strace -f -e trace=%network tcpdump -p -i eth0 ip
socket(AF_PACKET, SOCK_RAW, 768)        = 3
bind(3, {sa_family=AF_PACKET, sll_protocol=htons(ETH_P_ALL), sll_ifindex=if_nametoindex("eth0"), sll_hatype=ARPHRD_NETROM, sll_pkttype=PACKET_HOST, sll_halen=0}, 20) = 0
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, {len=1, filter=0xbeefbeefbeef}, 16) = 0
recvfrom(3, 0x7ffcad394257, 1, MSG_TRUNC, NULL, NULL) = -1 EAGAIN (Resource temporarily unavailable)
setsockopt(3, SOL_SOCKET, SO_ATTACH_FILTER, {len=4, filter=0xb00bb00bb00b}, 16) = 0
...

উপরে উল্লিখিত হিসাবে, আমরা 5 লাইনের সকেটে আমাদের ফিল্টারটি লোড করি এবং সংযুক্ত করি, কিন্তু 3 এবং 4 লাইনে কী ঘটে? দেখা যাচ্ছে যে এই libpcap আমাদের যত্ন নেয় - যাতে আমাদের ফিল্টারের আউটপুটে এমন প্যাকেটগুলি অন্তর্ভুক্ত না হয় যা এটিকে সন্তুষ্ট করে না, লাইব্রেরি সংযোগ করে ডামি ফিল্টার ret #0 (সমস্ত প্যাকেট ড্রপ করুন), সকেটটিকে নন-ব্লকিং মোডে স্যুইচ করে এবং আগের ফিল্টার থেকে থাকা সমস্ত প্যাকেট বিয়োগ করার চেষ্টা করে।

মোট, ক্লাসিক BPF ব্যবহার করে লিনাক্সে প্যাকেজগুলি ফিল্টার করতে, আপনার একটি কাঠামোর আকারে একটি ফিল্টার থাকতে হবে struct sock_fprog এবং একটি খোলা সকেট, যার পরে ফিল্টারটি একটি সিস্টেম কল ব্যবহার করে সকেটের সাথে সংযুক্ত করা যেতে পারে setsockopt.

মজার বিষয় হল, ফিল্টারটি শুধুমাত্র কাঁচা নয়, যেকোনো সকেটের সাথে সংযুক্ত করা যেতে পারে। এখানে উদাহরণ একটি প্রোগ্রাম যা সমস্ত ইনকামিং UDP ডেটাগ্রাম থেকে প্রথম দুটি বাইট ব্যতীত সবগুলিকে কেটে দেয়৷ (আমি কোডে মন্তব্য যোগ করেছি যাতে নিবন্ধটি বিশৃঙ্খল না হয়।)

ব্যবহার সম্পর্কে আরো বিস্তারিত setsockopt ফিল্টার সংযোগের জন্য, দেখুন সকেট(7), কিন্তু আপনার নিজের ফিল্টার লেখা সম্পর্কে struct sock_fprog সাহায্য ছাড়া tcpdump আমরা বিভাগে কথা বলব আমাদের নিজের হাতে BPF প্রোগ্রামিং.

ক্লাসিক BPF এবং XNUMX শতকের

BPF 1997 সালে লিনাক্সে অন্তর্ভুক্ত করা হয়েছিল এবং দীর্ঘ সময়ের জন্য একটি কাজের ঘোড়া হিসেবে রয়ে গেছে libpcap কোনো বিশেষ পরিবর্তন ছাড়াই (লিনাক্স-নির্দিষ্ট পরিবর্তন, অবশ্যই, মনে হচ্ছিল, কিন্তু তারা বৈশ্বিক চিত্র পরিবর্তন করেনি)। BPF বিকশিত হবে এমন প্রথম গুরুতর লক্ষণ 2011 সালে এসেছিল, যখন এরিক ডুমাজেট প্রস্তাব করেছিলেন তালি, যা কার্নেলে জাস্ট ইন টাইম কম্পাইলার যোগ করে - BPF বাইটকোডকে নেটিভ-এ রূপান্তর করার জন্য একটি অনুবাদক x86_64 কোড।

JIT কম্পাইলার পরিবর্তনের শৃঙ্খলে প্রথম ছিল: 2012 সালে হাজির ফিল্টার লেখার ক্ষমতা সেকম্পম্প, BPF ব্যবহার করে, জানুয়ারী 2013 ছিল যোগ করা হয়েছে মডিউল xt_bpf, যা আপনাকে নিয়ম লিখতে দেয় iptables BPF এর সহায়তায় এবং 2013 সালের অক্টোবরে ছিল যোগ করা হয়েছে এছাড়াও একটি মডিউল cls_bpf, যা আপনাকে BPF ব্যবহার করে ট্রাফিক ক্লাসিফায়ার লিখতে দেয়।

আমরা শীঘ্রই এই সমস্ত উদাহরণগুলি আরও বিশদে দেখব, তবে প্রথমে এটি আমাদের জন্য উপযোগী হবে যে কীভাবে বিপিএফের জন্য নির্বিচারে প্রোগ্রামগুলি লিখতে এবং সংকলন করতে হয়, যেহেতু লাইব্রেরি দ্বারা প্রদত্ত ক্ষমতাগুলি libpcap সীমিত (সরল উদাহরণ: ফিল্টার তৈরি libpcap শুধুমাত্র দুটি মান ফেরত দিতে পারে - 0 বা 0x40000) বা সাধারণত, seccomp এর ক্ষেত্রে প্রযোজ্য নয়।

আমাদের নিজের হাতে BPF প্রোগ্রামিং

আসুন BPF নির্দেশাবলীর বাইনারি বিন্যাসের সাথে পরিচিত হই, এটি খুব সহজ:

   16    8    8     32
| code | jt | jf |  k  |

প্রতিটি নির্দেশ 64 বিট দখল করে, যার মধ্যে প্রথম 16 বিট নির্দেশনা কোড, তারপরে দুটি আট-বিট ইন্ডেন্ট রয়েছে, jt и jf, এবং আর্গুমেন্টের জন্য 32 বিট K, যার উদ্দেশ্য কমান্ড থেকে কমান্ড পরিবর্তিত হয়। উদাহরণস্বরূপ, কমান্ড ret, যা প্রোগ্রাম বন্ধ করে কোড আছে 6, এবং রিটার্ন মান ধ্রুবক থেকে নেওয়া হয় K. সি-তে, একটি একক BPF নির্দেশ একটি কাঠামো হিসাবে উপস্থাপিত হয়

struct sock_filter {
        __u16   code;
        __u8    jt;
        __u8    jf;
        __u32   k;
}

এবং পুরো প্রোগ্রামটি একটি কাঠামোর আকারে

struct sock_fprog {
        unsigned short len;
        struct sock_filter *filter;
}

সুতরাং, আমরা ইতিমধ্যে প্রোগ্রাম লিখতে পারি (উদাহরণস্বরূপ, আমরা নির্দেশনা কোডগুলি জানি [1]) এই ফিল্টার মত হবে কি ip6 থেকে আমাদের প্রথম উদাহরণ:

struct sock_filter code[] = {
        { 0x28, 0, 0, 0x0000000c },
        { 0x15, 0, 1, 0x000086dd },
        { 0x06, 0, 0, 0x00040000 },
        { 0x06, 0, 0, 0x00000000 },
};
struct sock_fprog prog = {
        .len = ARRAY_SIZE(code),
        .filter = code,
};

কার্যক্রম prog আমরা একটি কলে আইনত ব্যবহার করতে পারি

setsockopt(sk, SOL_SOCKET, SO_ATTACH_FILTER, &prog, sizeof(prog))

মেশিন কোড আকারে প্রোগ্রাম লেখা খুব সুবিধাজনক নয়, কিন্তু কখনও কখনও এটি প্রয়োজনীয় (উদাহরণস্বরূপ, ডিবাগিং, ইউনিট পরীক্ষা তৈরি করা, Habré নিবন্ধ লেখা ইত্যাদি)। সুবিধার জন্য, ফাইলে <linux/filter.h> সহায়ক ম্যাক্রোগুলিকে সংজ্ঞায়িত করা হয়েছে - উপরের মতো একই উদাহরণ হিসাবে পুনরায় লেখা যেতে পারে

struct sock_filter code[] = {
        BPF_STMT(BPF_LD|BPF_H|BPF_ABS, 12),
        BPF_JUMP(BPF_JMP|BPF_JEQ|BPF_K, ETH_P_IPV6, 0, 1),
        BPF_STMT(BPF_RET|BPF_K, 0x00040000),
        BPF_STMT(BPF_RET|BPF_K, 0),
}

যাইহোক, এই বিকল্পটি খুব সুবিধাজনক নয়। লিনাক্স কার্নেল প্রোগ্রামাররা এটিই যুক্তিযুক্ত এবং তাই ডিরেক্টরিতে tools/bpf কার্নেল আপনি ক্লাসিক BPF এর সাথে কাজ করার জন্য একটি অ্যাসেম্বলার এবং ডিবাগার খুঁজে পেতে পারেন।

সমাবেশ ভাষা ডিবাগ আউটপুট অনুরূপ tcpdump, কিন্তু উপরন্তু আমরা প্রতীকী লেবেল নির্দিষ্ট করতে পারি। উদাহরণস্বরূপ, এখানে একটি প্রোগ্রাম যা TCP/IPv4 ব্যতীত সমস্ত প্যাকেট ড্রপ করে:

$ cat /tmp/tcp-over-ipv4.bpf
ldh [12]
jne #0x800, drop
ldb [23]
jneq #6, drop
ret #-1
drop: ret #0

ডিফল্টরূপে, অ্যাসেম্বলার ফরম্যাটে কোড তৈরি করে <количество инструкций>,<code1> <jt1> <jf1> <k1>,..., TCP এর সাথে আমাদের উদাহরণের জন্য এটি হবে

$ tools/bpf/bpf_asm /tmp/tcp-over-ipv4.bpf
6,40 0 0 12,21 0 3 2048,48 0 0 23,21 0 1 6,6 0 0 4294967295,6 0 0 0,

সি প্রোগ্রামারদের সুবিধার জন্য, একটি ভিন্ন আউটপুট বিন্যাস ব্যবহার করা যেতে পারে:

$ tools/bpf/bpf_asm -c /tmp/tcp-over-ipv4.bpf
{ 0x28,  0,  0, 0x0000000c },
{ 0x15,  0,  3, 0x00000800 },
{ 0x30,  0,  0, 0x00000017 },
{ 0x15,  0,  1, 0x00000006 },
{ 0x06,  0,  0, 0xffffffff },
{ 0x06,  0,  0, 0000000000 },

এই টেক্সট টাইপ গঠন সংজ্ঞা অনুলিপি করা যেতে পারে struct sock_filter, যেমনটি আমরা এই বিভাগের শুরুতে করেছি।

লিনাক্স এবং নেটস্নিফ-এনজি এক্সটেনশন

স্ট্যান্ডার্ড বিপিএফ ছাড়াও লিনাক্স এবং tools/bpf/bpf_asm সমর্থন এবং অ-মানক সেট. মূলত, নির্দেশাবলী একটি কাঠামোর ক্ষেত্রগুলি অ্যাক্সেস করতে ব্যবহৃত হয় struct sk_buff, যা কার্নেলে একটি নেটওয়ার্ক প্যাকেট বর্ণনা করে। যাইহোক, এছাড়াও অন্যান্য ধরনের সাহায্যকারী নির্দেশাবলী আছে, উদাহরণস্বরূপ ldw cpu রেজিস্টারে লোড হবে A একটি কার্নেল ফাংশন চালানোর ফলাফল raw_smp_processor_id(). (BPF-এর নতুন সংস্করণে, এই অ-মানক এক্সটেনশনগুলি মেমরি, স্ট্রাকচার এবং ইভেন্টগুলি তৈরি করার জন্য কার্নেল সাহায্যকারীর একটি সেট সহ প্রোগ্রাম সরবরাহ করার জন্য প্রসারিত করা হয়েছে।) এখানে একটি ফিল্টারের একটি আকর্ষণীয় উদাহরণ রয়েছে যেখানে আমরা শুধুমাত্র কপি করি। এক্সটেনশন ব্যবহার করে ইউজার স্পেসে প্যাকেট হেডার poff, পেলোড অফসেট:

ld poff
ret a

BPF এক্সটেনশন ব্যবহার করা যাবে না tcpdump, কিন্তু ইউটিলিটি প্যাকেজের সাথে পরিচিত হওয়ার জন্য এটি একটি ভাল কারণ netsniff-ng, যা, অন্যান্য জিনিসের মধ্যে, একটি উন্নত প্রোগ্রাম রয়েছে netsniff-ng, যা, BPF ব্যবহার করে ফিল্টারিং ছাড়াও, একটি কার্যকর ট্রাফিক জেনারেটরও রয়েছে এবং এর চেয়ে আরও উন্নত tools/bpf/bpf_asm, একজন বিপিএফ অ্যাসেম্বলারকে ডাকা হয়েছে bpfc. প্যাকেজটিতে বেশ বিস্তারিত ডকুমেন্টেশন রয়েছে, নিবন্ধের শেষে লিঙ্কগুলিও দেখুন।

সেকম্পম্প

সুতরাং, আমরা ইতিমধ্যেই জানি কিভাবে নির্বিচারে জটিলতার BPF প্রোগ্রাম লিখতে হয় এবং নতুন উদাহরণগুলি দেখার জন্য প্রস্তুত, যার মধ্যে প্রথমটি হল seccomp প্রযুক্তি, যা BPF ফিল্টার ব্যবহার করে উপলব্ধ সিস্টেম কল আর্গুমেন্টের সেট এবং সেট পরিচালনা করতে দেয়। একটি প্রদত্ত প্রক্রিয়া এবং তার বংশধর।

seccomp-এর প্রথম সংস্করণটি 2005 সালে কার্নেলে যোগ করা হয়েছিল এবং এটি খুব জনপ্রিয় ছিল না, কারণ এটি শুধুমাত্র একটি বিকল্প প্রদান করেছিল - একটি প্রক্রিয়ার জন্য উপলব্ধ সিস্টেম কলগুলির সেটকে নিম্নলিখিতগুলির মধ্যে সীমাবদ্ধ করতে: read, write, exit и sigreturn, এবং নিয়ম লঙ্ঘনকারী প্রক্রিয়া ব্যবহার করে হত্যা করা হয়েছিল SIGKILL. যাইহোক, 2012 সালে, seccomp BPF ফিল্টার ব্যবহার করার ক্ষমতা যোগ করেছে, যা আপনাকে অনুমোদিত সিস্টেম কলগুলির একটি সেট সংজ্ঞায়িত করতে এবং এমনকি তাদের আর্গুমেন্টগুলি পরীক্ষা করতে দেয়। (মজার বিষয় হল, ক্রোম এই কার্যকারিতার প্রথম ব্যবহারকারীদের মধ্যে একজন ছিল, এবং ক্রোম লোকেরা বর্তমানে BPF-এর একটি নতুন সংস্করণের উপর ভিত্তি করে একটি KRSI প্রক্রিয়া তৈরি করছে এবং লিনাক্স নিরাপত্তা মডিউলগুলিকে কাস্টমাইজ করার অনুমতি দিচ্ছে।) অতিরিক্ত ডকুমেন্টেশনের লিঙ্কগুলি শেষে পাওয়া যাবে নিবন্ধের

মনে রাখবেন যে সেকমপ ব্যবহার করার বিষয়ে হাবে ইতিমধ্যে নিবন্ধ রয়েছে, হয়ত কেউ নিম্নলিখিত উপবিভাগগুলি পড়ার আগে (বা পরিবর্তে) সেগুলি পড়তে চাইবে। প্রবন্ধে ধারক এবং নিরাপত্তা: seccomp Seccomp ব্যবহারের উদাহরণ প্রদান করে, 2007 সংস্করণ এবং BPF ব্যবহার করে সংস্করণ উভয়ই (libseccomp ব্যবহার করে ফিল্টার তৈরি করা হয়), ডকারের সাথে seccomp-এর সংযোগ সম্পর্কে কথা বলে এবং অনেক দরকারী লিঙ্কও প্রদান করে। প্রবন্ধে সিস্টেমড দিয়ে ডেমনগুলিকে বিচ্ছিন্ন করা বা "এর জন্য আপনার ডকারের প্রয়োজন নেই!" এটি কভার করে, বিশেষ করে, কিভাবে সিস্টেমড চলমান ডেমনগুলির জন্য সিস্টেম কলের কালো তালিকা বা সাদা তালিকা যোগ করা যায়।

পরবর্তীতে আমরা দেখব কিভাবে ফিল্টার লিখতে হয় এবং লোড করতে হয় seccomp বেয়ার সি এবং লাইব্রেরি ব্যবহার করে libseccomp এবং প্রতিটি বিকল্পের সুবিধা এবং অসুবিধাগুলি কী এবং অবশেষে, আসুন দেখি কিভাবে সেকমপ প্রোগ্রামটি ব্যবহার করে strace.

seccomp-এর জন্য ফিল্টার লেখা এবং লোড করা

আমরা ইতিমধ্যেই জানি কিভাবে BPF প্রোগ্রাম লিখতে হয়, তাই আসুন প্রথমে seccomp প্রোগ্রামিং ইন্টারফেসটি দেখি। আপনি প্রক্রিয়া স্তরে একটি ফিল্টার সেট করতে পারেন, এবং সমস্ত শিশু প্রক্রিয়া বিধিনিষেধের উত্তরাধিকারী হবে। এটি একটি সিস্টেম কল ব্যবহার করে করা হয় seccomp(2):

seccomp(SECCOMP_SET_MODE_FILTER, flags, &filter)

যেখানে &filter - এটি আমাদের কাছে ইতিমধ্যে পরিচিত একটি কাঠামোর একটি নির্দেশক struct sock_fprog, অর্থাৎ বিপিএফ প্রোগ্রাম।

কিভাবে seccomp এর জন্য প্রোগ্রাম সকেটের জন্য প্রোগ্রাম থেকে আলাদা? প্রেরিত প্রসঙ্গ। সকেটের ক্ষেত্রে, আমাদের প্যাকেট সম্বলিত একটি মেমরি এলাকা দেওয়া হয়েছিল, এবং seccomp-এর ক্ষেত্রে আমাদের একটি কাঠামো দেওয়া হয়েছিল

struct seccomp_data {
    int   nr;
    __u32 arch;
    __u64 instruction_pointer;
    __u64 args[6];
};

এটা হল nr চালু করা সিস্টেম কলের নম্বর হল, arch - বর্তমান আর্কিটেকচার (নিচে এই সম্পর্কে আরও), args - ছয়টি পর্যন্ত সিস্টেম কল আর্গুমেন্ট, এবং instruction_pointer ব্যবহারকারী স্থান নির্দেশের একটি নির্দেশক যা সিস্টেম কল করেছে। এইভাবে, উদাহরণস্বরূপ, রেজিস্টারে সিস্টেম কল নম্বর লোড করতে A আমাদের বলতে হবে

ldw [0]

seccomp প্রোগ্রামগুলির জন্য অন্যান্য বৈশিষ্ট্য রয়েছে, উদাহরণস্বরূপ, প্রসঙ্গটি শুধুমাত্র 32-বিট প্রান্তিককরণের মাধ্যমে অ্যাক্সেস করা যেতে পারে এবং আপনি অর্ধেক শব্দ বা একটি বাইট লোড করতে পারবেন না - যখন একটি ফিল্টার লোড করার চেষ্টা করছেন ldh [0] সিস্টেম কল seccomp ফিরে আসবে EINVAL. ফাংশন লোড করা ফিল্টার চেক করে seccomp_check_filter() কার্নেল (মজার ব্যাপার হল, মূল কমিটটিতে যেটি seccomp কার্যকারিতা যুক্ত করেছে, তারা এই ফাংশনে নির্দেশনা ব্যবহার করার অনুমতি যোগ করতে ভুলে গেছে mod (বিভাগ অবশিষ্ট) এবং এখন এটির সংযোজনের পর থেকে seccomp BPF প্রোগ্রামের জন্য অনুপলব্ধ ভেঙ্গে যাবে ABI।)

মূলত, seccomp প্রোগ্রাম লিখতে এবং পড়ার জন্য আমরা ইতিমধ্যেই সবকিছু জানি। সাধারণত প্রোগ্রাম লজিক সিস্টেম কলগুলির একটি সাদা বা কালো তালিকা হিসাবে সাজানো হয়, উদাহরণস্বরূপ প্রোগ্রাম

ld [0]
jeq #304, bad
jeq #176, bad
jeq #239, bad
jeq #279, bad
good: ret #0x7fff0000 /* SECCOMP_RET_ALLOW */
bad: ret #0

304, 176, 239, 279 নম্বরযুক্ত চারটি সিস্টেম কলের একটি কালো তালিকা পরীক্ষা করে। এই সিস্টেম কলগুলি কী? আমরা নিশ্চিতভাবে বলতে পারি না, যেহেতু আমরা জানি না কোন আর্কিটেকচারের জন্য প্রোগ্রামটি লেখা হয়েছিল। অতএব, seccomp লেখক প্রদান একটি আর্কিটেকচার চেক দিয়ে সমস্ত প্রোগ্রাম শুরু করুন (বর্তমান আর্কিটেকচারটি একটি ক্ষেত্র হিসাবে প্রসঙ্গে নির্দেশিত হয় arch কাঠামো struct seccomp_data) আর্কিটেকচার চেক করা হলে, উদাহরণের শুরুটা এরকম দেখাবে:

ld [4]
jne #0xc000003e, bad_arch ; SCMP_ARCH_X86_64

এবং তারপর আমাদের সিস্টেম কল নম্বর নির্দিষ্ট মান পাবেন।

আমরা seccomp ব্যবহারের জন্য ফিল্টার লিখি এবং লোড করি libseccomp

নেটিভ কোডে বা BPF অ্যাসেম্বলিতে ফিল্টারগুলি লেখার ফলে আপনি ফলাফলের উপর সম্পূর্ণ নিয়ন্ত্রণ রাখতে পারবেন, কিন্তু একই সময়ে, কখনও কখনও পোর্টেবল এবং/অথবা পঠনযোগ্য কোড থাকা বাঞ্ছনীয়। লাইব্রেরি আমাদের এই বিষয়ে সাহায্য করবে libseccomp, যা কালো বা সাদা ফিল্টার লেখার জন্য একটি আদর্শ ইন্টারফেস প্রদান করে।

আসুন, উদাহরণস্বরূপ, এমন একটি প্রোগ্রাম লিখি যা ব্যবহারকারীর পছন্দের একটি বাইনারি ফাইল চালায়, এর আগে সিস্টেম কলগুলির একটি কালো তালিকা ইনস্টল করা আছে উপরের নিবন্ধটি (প্রোগ্রামটি বৃহত্তর পাঠযোগ্যতার জন্য সরলীকৃত করা হয়েছে, সম্পূর্ণ সংস্করণটি পাওয়া যাবে এখানে):

#include <seccomp.h>
#include <unistd.h>
#include <err.h>

static int sys_numbers[] = {
        __NR_mount,
        __NR_umount2,
       // ... еще 40 системных вызовов ...
        __NR_vmsplice,
        __NR_perf_event_open,
};

int main(int argc, char **argv)
{
        scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_ALLOW);

        for (size_t i = 0; i < sizeof(sys_numbers)/sizeof(sys_numbers[0]); i++)
                seccomp_rule_add(ctx, SCMP_ACT_TRAP, sys_numbers[i], 0);

        seccomp_load(ctx);

        execvp(argv[1], &argv[1]);
        err(1, "execlp: %s", argv[1]);
}

প্রথমে আমরা একটি অ্যারে সংজ্ঞায়িত করি sys_numbers ব্লক করার জন্য 40+ সিস্টেম কল নম্বর। তারপর, প্রসঙ্গ শুরু করুন ctx এবং লাইব্রেরীকে বলুন আমরা কি অনুমতি দিতে চাই (SCMP_ACT_ALLOW) ডিফল্টরূপে সমস্ত সিস্টেম কল (এটি কালো তালিকা তৈরি করা সহজ)। তারপর, একে একে, আমরা কালো তালিকা থেকে সমস্ত সিস্টেম কল যুক্ত করি। তালিকা থেকে একটি সিস্টেম কলের প্রতিক্রিয়া হিসাবে, আমরা অনুরোধ করি SCMP_ACT_TRAP, এই ক্ষেত্রে seccomp প্রক্রিয়াটিতে একটি সংকেত পাঠাবে SIGSYS কোন সিস্টেম কল নিয়ম লঙ্ঘন করেছে তার বর্ণনা সহ। অবশেষে, আমরা কার্নেলে প্রোগ্রামটি ব্যবহার করে লোড করি seccomp_load, যা প্রোগ্রামটি কম্পাইল করবে এবং একটি সিস্টেম কল ব্যবহার করে প্রক্রিয়াটির সাথে সংযুক্ত করবে seccomp(2).

সফল সংকলনের জন্য, প্রোগ্রামটিকে অবশ্যই লাইব্রেরির সাথে সংযুক্ত করতে হবে libseccompউদাহরণস্বরূপ,

cc -std=c17 -Wall -Wextra -c -o seccomp_lib.o seccomp_lib.c
cc -o seccomp_lib seccomp_lib.o -lseccomp

একটি সফল উৎক্ষেপণের উদাহরণ:

$ ./seccomp_lib echo ok
ok

একটি ব্লক করা সিস্টেম কলের উদাহরণ:

$ sudo ./seccomp_lib mount -t bpf bpf /tmp
Bad system call

ব্যবহার straceবিস্তারিত জানার জন্য:

$ sudo strace -e seccomp ./seccomp_lib mount -t bpf bpf /tmp
seccomp(SECCOMP_SET_MODE_FILTER, 0, {len=50, filter=0x55d8e78428e0}) = 0
--- SIGSYS {si_signo=SIGSYS, si_code=SYS_SECCOMP, si_call_addr=0xboobdeadbeef, si_syscall=__NR_mount, si_arch=AUDIT_ARCH_X86_64} ---
+++ killed by SIGSYS (core dumped) +++
Bad system call

কিভাবে আমরা জানতে পারি যে একটি অবৈধ সিস্টেম কল ব্যবহারের কারণে প্রোগ্রামটি বন্ধ হয়ে গেছে mount(2).

সুতরাং, আমরা লাইব্রেরি ব্যবহার করে একটি ফিল্টার লিখেছি libseccomp, চার লাইনে অ-তুচ্ছ কোড ফিটিং। উপরের উদাহরণে, যদি প্রচুর সংখ্যক সিস্টেম কল থাকে, তাহলে কার্যকর করার সময় লক্ষণীয়ভাবে হ্রাস করা যেতে পারে, যেহেতু চেকটি তুলনার একটি তালিকা মাত্র। অপ্টিমাইজেশনের জন্য, libseccomp সম্প্রতি ছিল প্যাচ অন্তর্ভুক্ত, যা ফিল্টার অ্যাট্রিবিউটের জন্য সমর্থন যোগ করে SCMP_FLTATR_CTL_OPTIMIZE. এই বৈশিষ্ট্যটি 2 এ সেট করা ফিল্টারটিকে একটি বাইনারি অনুসন্ধান প্রোগ্রামে রূপান্তরিত করবে।

বাইনারি সার্চ ফিল্টার কিভাবে কাজ করে তা আপনি যদি দেখতে চান তাহলে দেখে নিন সহজ স্ক্রিপ্ট, যা সিস্টেম কল নম্বর ডায়াল করে BPF অ্যাসেম্বলারে এই ধরনের প্রোগ্রাম তৈরি করে, উদাহরণস্বরূপ:

$ echo 1 3 6 8 13 | ./generate_bin_search_bpf.py
ld [0]
jeq #6, bad
jgt #6, check8
jeq #1, bad
jeq #3, bad
ret #0x7fff0000
check8:
jeq #8, bad
jeq #13, bad
ret #0x7fff0000
bad: ret #0

আপনি উল্লেখযোগ্যভাবে দ্রুত কিছু লিখতে সক্ষম হবেন না, যেহেতু BPF প্রোগ্রামগুলি ইন্ডেন্টেশন জাম্প করতে পারে না (আমরা করতে পারি না, উদাহরণস্বরূপ, jmp A বা jmp [label+X]) এবং তাই সমস্ত রূপান্তর স্থির।

seccomp এবং strace

উপযোগিতা সবাই জানে strace লিনাক্সে প্রক্রিয়াগুলির আচরণ অধ্যয়নের জন্য একটি অপরিহার্য হাতিয়ার। তবে অনেকেই এর কথাও শুনেছেন কর্মক্ষমতা সমস্যা এই ইউটিলিটি ব্যবহার করার সময়। ব্যাপারটি হলো strace ব্যবহার করে বাস্তবায়িত হয় ptrace(2), এবং এই পদ্ধতিতে আমরা নির্দিষ্ট করতে পারি না যে সিস্টেম কলের কোন সেটে আমাদের প্রক্রিয়াটি বন্ধ করতে হবে, যেমন, কমান্ডগুলি

$ time strace du /usr/share/ >/dev/null 2>&1

real    0m3.081s
user    0m0.531s
sys     0m2.073s

и

$ time strace -e open du /usr/share/ >/dev/null 2>&1

real    0m2.404s
user    0m0.193s
sys     0m1.800s

প্রায় একই সময়ে প্রক্রিয়া করা হয়, যদিও দ্বিতীয় ক্ষেত্রে আমরা শুধুমাত্র একটি সিস্টেম কল ট্রেস করতে চাই।

নতুন বিকল্প --seccomp-bpf, যোগ করো strace সংস্করণ 5.3, আপনাকে প্রক্রিয়াটিকে অনেকবার গতি বাড়ানোর অনুমতি দেয় এবং একটি সিস্টেম কলের ট্রেসের অধীনে স্টার্টআপের সময়টি ইতিমধ্যেই একটি নিয়মিত স্টার্টআপের সময়ের সাথে তুলনীয়:

$ time strace --seccomp-bpf -e open du /usr/share/ >/dev/null 2>&1

real    0m0.148s
user    0m0.017s
sys     0m0.131s

$ time du /usr/share/ >/dev/null 2>&1

real    0m0.140s
user    0m0.024s
sys     0m0.116s

(এখানে, অবশ্যই, একটি সামান্য প্রতারণা আছে যে আমরা এই কমান্ডের প্রধান সিস্টেম কল ট্রেস করছি না। আমরা যদি ট্রেসিং করতাম, উদাহরণস্বরূপ, newfsstatতারপর strace ব্রেক হবে ঠিক যেমন কঠিন ছাড়া --seccomp-bpf.)

কিভাবে এই বিকল্প কাজ করে? তাহাকে ব্যতিত strace প্রক্রিয়ার সাথে সংযোগ করে এবং এটি ব্যবহার শুরু করে PTRACE_SYSCALL. যখন একটি পরিচালিত প্রক্রিয়া একটি (যেকোনো) সিস্টেম কল ইস্যু করে, তখন নিয়ন্ত্রণ স্থানান্তরিত হয় strace, যা সিস্টেম কলের আর্গুমেন্ট দেখে এবং এটি ব্যবহার করে চালায় PTRACE_SYSCALL. কিছু সময়ের পরে, প্রক্রিয়াটি সিস্টেম কলটি সম্পূর্ণ করে এবং এটি থেকে প্রস্থান করার সময়, নিয়ন্ত্রণ আবার স্থানান্তরিত হয় strace, যা রিটার্ন মানগুলি দেখে এবং ব্যবহার করে প্রক্রিয়া শুরু করে PTRACE_SYSCALL, এবং তাই।

seccomp এর সাথে, যাইহোক, এই প্রক্রিয়াটি ঠিক আমাদের পছন্দ মতো অপ্টিমাইজ করা যেতে পারে। যথা, আমরা শুধুমাত্র সিস্টেম কল দেখতে চাই X, তাহলে আমরা এর জন্য একটি BPF ফিল্টার লিখতে পারি X একটি মান প্রদান করে SECCOMP_RET_TRACE, এবং কলগুলির জন্য যা আমাদের আগ্রহের নয় - SECCOMP_RET_ALLOW:

ld [0]
jneq #X, ignore
trace: ret #0x7ff00000
ignore: ret #0x7fff0000

এই ক্ষেত্রে strace প্রাথমিকভাবে প্রক্রিয়াটি শুরু করে PTRACE_CONT, আমাদের ফিল্টার প্রতিটি সিস্টেম কলের জন্য প্রক্রিয়া করা হয়, যদি সিস্টেম কল না হয় X, তারপর প্রক্রিয়া চলতে থাকে, কিন্তু যদি এই X, তারপর seccomp নিয়ন্ত্রণ স্থানান্তর করবে straceযা আর্গুমেন্ট দেখবে এবং প্রক্রিয়া শুরু করবে PTRACE_SYSCALL (যেহেতু seccomp এর সিস্টেম কল থেকে প্রস্থান করার সময় একটি প্রোগ্রাম চালানোর ক্ষমতা নেই)। যখন সিস্টেম কল রিটার্ন হয়, strace ব্যবহার করে প্রক্রিয়া পুনরায় আরম্ভ করবে PTRACE_CONT এবং seccomp থেকে নতুন বার্তার জন্য অপেক্ষা করবে।

বিকল্প ব্যবহার করার সময় --seccomp-bpf দুটি সীমাবদ্ধতা আছে। প্রথমত, ইতিমধ্যে বিদ্যমান প্রক্রিয়ায় যোগদান করা সম্ভব হবে না (বিকল্প -p প্রোগ্রাম strace), যেহেতু এটি seccomp দ্বারা সমর্থিত নয়। দ্বিতীয়ত, কোন সম্ভাবনা নেই না চাইল্ড প্রসেসগুলি দেখুন, যেহেতু সেকমপ ফিল্টারগুলি এটি নিষ্ক্রিয় করার ক্ষমতা ছাড়াই সমস্ত চাইল্ড প্রসেস দ্বারা উত্তরাধিকারসূত্রে প্রাপ্ত হয়।

ঠিক কিভাবে একটু বিস্তারিত strace সাথে কাজ করে seccomp থেকে পাওয়া যাবে সাম্প্রতিক রিপোর্ট. আমাদের জন্য, সবচেয়ে আকর্ষণীয় তথ্য হল যে ক্লাসিক BPF সেকমপ দ্বারা উপস্থাপিত হয় আজও ব্যবহৃত হয়।

xt_bpf

এখন নেটওয়ার্কের জগতে ফিরে যাওয়া যাক।

পটভূমি: অনেক আগে, 2007 সালে, মূল ছিল যোগ করা হয়েছে মডিউল xt_u32 নেটফিল্টারের জন্য। এটি আরও প্রাচীন ট্রাফিক ক্লাসিফায়ারের সাথে সাদৃশ্য দ্বারা লেখা হয়েছিল cls_u32 এবং আপনাকে নিম্নলিখিত সহজ ক্রিয়াকলাপগুলি ব্যবহার করে iptables-এর জন্য নির্বিচারে বাইনারি নিয়ম লিখতে অনুমতি দেয়: একটি প্যাকেজ থেকে 32 বিট লোড করুন এবং তাদের উপর পাটিগণিত ক্রিয়াকলাপগুলির একটি সেট সঞ্চালন করুন। উদাহরণ স্বরূপ,

sudo iptables -A INPUT -m u32 --u32 "6&0xFF=1" -j LOG --log-prefix "seen-by-xt_u32"

আইপি হেডারের 32 বিট লোড করে, প্যাডিং 6 থেকে শুরু করে এবং তাদের উপর একটি মাস্ক প্রয়োগ করে 0xFF (লো বাইট নিন)। এই মাঠ protocol আইপি হেডার এবং আমরা এটি 1 (ICMP) এর সাথে তুলনা করি। আপনি একটি নিয়মে অনেকগুলি চেক একত্রিত করতে পারেন এবং আপনি অপারেটরকেও চালাতে পারেন @ - X বাইট ডানদিকে সরান। উদাহরণস্বরূপ, নিয়ম

iptables -m u32 --u32 "6&0xFF=0x6 && 0>>22&0x3C@4=0x29"

TCP সিকোয়েন্স নম্বর সমান না হলে চেক করে 0x29. আমি আরও বিশদে যাব না, যেহেতু এটি ইতিমধ্যে স্পষ্ট যে হাতে এই জাতীয় নিয়মগুলি লেখা খুব সুবিধাজনক নয়। প্রবন্ধে BPF - ভুলে যাওয়া বাইটকোড, ব্যবহার এবং নিয়ম তৈরির উদাহরণ সহ বেশ কয়েকটি লিঙ্ক রয়েছে xt_u32. এই নিবন্ধের শেষে লিঙ্কগুলিও দেখুন।

2013 সাল থেকে মডিউলের পরিবর্তে মডিউল xt_u32 আপনি একটি BPF ভিত্তিক মডিউল ব্যবহার করতে পারেন xt_bpf. যে কেউ এই পর্যন্ত পড়েছেন তাদের ইতিমধ্যেই এর অপারেশনের নীতি সম্পর্কে পরিষ্কার হওয়া উচিত: iptables নিয়ম হিসাবে BPF বাইটকোড চালান। আপনি একটি নতুন নিয়ম তৈরি করতে পারেন, উদাহরণস্বরূপ, এইরকম:

iptables -A INPUT -m bpf --bytecode <байткод> -j LOG

এখানে <байткод> - এটি অ্যাসেম্বলার আউটপুট ফরম্যাটে কোড bpf_asm ডিফল্টরূপে, উদাহরণস্বরূপ,

$ cat /tmp/test.bpf
ldb [9]
jneq #17, ignore
ret #1
ignore: ret #0

$ bpf_asm /tmp/test.bpf
4,48 0 0 9,21 0 1 17,6 0 0 1,6 0 0 0,

# iptables -A INPUT -m bpf --bytecode "$(bpf_asm /tmp/test.bpf)" -j LOG

এই উদাহরণে আমরা সমস্ত UDP প্যাকেট ফিল্টার করছি। একটি মডিউলে একটি BPF প্রোগ্রামের প্রসঙ্গ xt_bpf, অবশ্যই, iptables এর ক্ষেত্রে, IPv4 হেডারের শুরুতে প্যাকেট ডেটা নির্দেশ করে। BPF প্রোগ্রাম থেকে রিটার্ন মান বুলিয়ানযেখানে false মানে প্যাকেট মেলেনি।

এটা স্পষ্ট যে মডিউল xt_bpf উপরের উদাহরণের চেয়ে আরও জটিল ফিল্টার সমর্থন করে। আসুন ক্লাউডফেয়ার থেকে বাস্তব উদাহরণ দেখি। সম্প্রতি পর্যন্ত তারা মডিউল ব্যবহার করে xt_bpf DDoS আক্রমণ থেকে রক্ষা করতে। প্রবন্ধে BPF টুল প্রবর্তন তারা ব্যাখ্যা করে কিভাবে (এবং কেন) তারা BPF ফিল্টার তৈরি করে এবং এই ধরনের ফিল্টার তৈরির জন্য ইউটিলিটিগুলির একটি সেটের লিঙ্ক প্রকাশ করে। উদাহরণস্বরূপ, ইউটিলিটি ব্যবহার করে bpfgen আপনি একটি BPF প্রোগ্রাম তৈরি করতে পারেন যা একটি নামের জন্য একটি DNS কোয়েরির সাথে মেলে habr.com:

$ ./bpfgen --assembly dns -- habr.com
ldx 4*([0]&0xf)
ld #20
add x
tax

lb_0:
    ld [x + 0]
    jneq #0x04686162, lb_1
    ld [x + 4]
    jneq #0x7203636f, lb_1
    ldh [x + 8]
    jneq #0x6d00, lb_1
    ret #65535

lb_1:
    ret #0

প্রোগ্রামে আমরা প্রথমে রেজিস্টারে লোড করি X লাইন ঠিকানা শুরু x04habrx03comx00 একটি UDP ডেটাগ্রামের ভিতরে এবং তারপর অনুরোধটি পরীক্ষা করুন: 0x04686162 <-> "x04hab" এবং তাই অন

একটু পরে, ক্লাউডফেয়ার p0f -> BPF কম্পাইলার কোড প্রকাশ করেছে। প্রবন্ধে p0f BPF কম্পাইলার উপস্থাপন করা হচ্ছে তারা p0f কী এবং কীভাবে p0f স্বাক্ষরকে BPF-তে রূপান্তর করা যায় সে সম্পর্কে কথা বলে:

$ ./bpfgen p0f -- 4:64:0:0:*,0::ack+:0
39,0 0 0 0,48 0 0 8,37 35 0 64,37 0 34 29,48 0 0 0,
84 0 0 15,21 0 31 5,48 0 0 9,21 0 29 6,40 0 0 6,
...

বর্তমানে আর ক্লাউডফেয়ার ব্যবহার করছে না xt_bpf, যেহেতু তারা XDP-তে চলে গেছে - BPF এর নতুন সংস্করণ ব্যবহার করার বিকল্পগুলির মধ্যে একটি, দেখুন। L4Drop: XDP DDoS প্রশমন.

cls_bpf

কার্নেলে ক্লাসিক BPF ব্যবহার করার শেষ উদাহরণ হল ক্লাসিফায়ার cls_bpf লিনাক্সে ট্রাফিক কন্ট্রোল সাবসিস্টেমের জন্য, ২০১৩ সালের শেষের দিকে লিনাক্সে যোগ করা হয়েছে এবং ধারণাগতভাবে প্রাচীনকে প্রতিস্থাপন করা হয়েছে cls_u32.

যাইহোক, আমরা এখন কাজের বর্ণনা করব না cls_bpf, যেহেতু ক্লাসিক BPF সম্পর্কে জ্ঞানের দৃষ্টিকোণ থেকে এটি আমাদের কিছুই দেবে না - আমরা ইতিমধ্যে সমস্ত কার্যকারিতার সাথে পরিচিত হয়েছি। উপরন্তু, বর্ধিত BPF সম্পর্কে কথা বলা পরবর্তী নিবন্ধগুলিতে, আমরা একাধিকবার এই শ্রেণিবদ্ধকারীর সাথে দেখা করব।

ক্লাসিক BPF ব্যবহার সম্পর্কে কথা না বলার আরেকটি কারণ গ cls_bpf সমস্যা হল, এক্সটেন্ডেড বিপিএফের তুলনায়, এই ক্ষেত্রে প্রযোজ্যতার সুযোগ আমূল সংকুচিত: ক্লাসিক্যাল প্রোগ্রামগুলি প্যাকেজের বিষয়বস্তু পরিবর্তন করতে পারে না এবং কলগুলির মধ্যে অবস্থা সংরক্ষণ করতে পারে না।

তাই সময় এসেছে ক্লাসিক বিপিএফকে বিদায় জানানোর এবং ভবিষ্যতের দিকে তাকানোর।

ক্লাসিক BPF বিদায়

নব্বই দশকের গোড়ার দিকে বিকশিত BPF প্রযুক্তি কীভাবে এক শতাব্দীর এক চতুর্থাংশ সফলভাবে বেঁচে ছিল এবং শেষ অবধি নতুন অ্যাপ্লিকেশন পাওয়া গেছে তা আমরা দেখেছি। যাইহোক, স্ট্যাক মেশিন থেকে RISC-তে রূপান্তরের অনুরূপ, যা ক্লাসিক BPF-এর বিকাশের জন্য একটি প্রেরণা হিসাবে কাজ করেছিল, 32-এর দশকে 64-বিট থেকে XNUMX-বিট মেশিনে একটি রূপান্তর হয়েছিল এবং ক্লাসিক BPF অপ্রচলিত হতে শুরু করেছিল। উপরন্তু, ক্লাসিক BPF-এর ক্ষমতা খুব সীমিত, এবং পুরানো আর্কিটেকচার ছাড়াও - BPF প্রোগ্রামগুলিতে কল করার মধ্যে রাজ্য সংরক্ষণ করার ক্ষমতা আমাদের নেই, সরাসরি ব্যবহারকারীর ইন্টারঅ্যাকশনের কোনো সম্ভাবনা নেই, ইন্টারঅ্যাক্ট করার কোনো সম্ভাবনা নেই কার্নেলের সাথে, সীমিত সংখ্যক কাঠামোর ক্ষেত্র পড়া ছাড়া sk_buff এবং সহজতম সহায়ক ফাংশন চালু করে, আপনি প্যাকেটের বিষয়বস্তু পরিবর্তন করতে এবং তাদের পুনর্নির্দেশ করতে পারবেন না।

প্রকৃতপক্ষে, বর্তমানে লিনাক্সে ক্লাসিক BPF-এর যা অবশিষ্ট আছে তা হল API ইন্টারফেস, এবং কার্নেলের ভিতরে সমস্ত ক্লাসিক প্রোগ্রাম, তা সকেট ফিল্টার বা seccomp ফিল্টার, স্বয়ংক্রিয়ভাবে একটি নতুন ফর্ম্যাটে, এক্সটেন্ডেড বিপিএফ-এ অনুবাদ করা হয়। (আমরা পরবর্তী নিবন্ধে ঠিক কিভাবে এটি ঘটে সে সম্পর্কে কথা বলব।)

একটি নতুন আর্কিটেকচারে রূপান্তর শুরু হয়েছিল 2013 সালে, যখন আলেক্সি স্টারভয়েটভ একটি BPF আপডেট স্কিম প্রস্তাব করেছিলেন। 2014 সালে সংশ্লিষ্ট প্যাচ প্রদর্শিত হতে শুরু করে মূলে যতদূর আমি বুঝতে পারি, প্রাথমিক পরিকল্পনাটি ছিল 64-বিট মেশিনে আরও দক্ষতার সাথে চালানোর জন্য আর্কিটেকচার এবং JIT কম্পাইলারকে অপ্টিমাইজ করা, কিন্তু পরিবর্তে এই অপ্টিমাইজেশনগুলি লিনাক্স বিকাশের একটি নতুন অধ্যায়ের সূচনা করেছে।

এই সিরিজের আরও নিবন্ধগুলি নতুন প্রযুক্তির স্থাপত্য এবং অ্যাপ্লিকেশনগুলিকে কভার করবে, যা প্রথমে অভ্যন্তরীণ BPF, তারপর বর্ধিত BPF এবং এখন কেবল BPF নামে পরিচিত।

রেফারেন্স

1. স্টিভেন ম্যাকক্যান এবং ভ্যান জ্যাকবসন, "দ্য বিএসডি প্যাকেট ফিল্টার: ইউজার-লেভেল প্যাকেট ক্যাপচারের জন্য একটি নতুন আর্কিটেকচার", https://www.tcpdump.org/papers/bpf-usenix93.pdf
2. স্টিভেন ম্যাকক্যান, "libpcap: প্যাকেট ক্যাপচারের জন্য একটি আর্কিটেকচার এবং অপ্টিমাইজেশন পদ্ধতি", https://sharkfestus.wireshark.org/sharkfest.11/presentations/McCanne-Sharkfest'11_Keynote_Address.pdf
3. tcpdump, libpcap: https://www.tcpdump.org/
4. IPtable U32 ম্যাচ টিউটোরিয়াল.
5. BPF - ভুলে যাওয়া বাইটকোড: https://blog.cloudflare.com/bpf-the-forgotten-bytecode/
6. BPF টুল উপস্থাপন করা হচ্ছে: https://blog.cloudflare.com/introducing-the-bpf-tools/
7. bpf_cls: http://man7.org/linux/man-pages/man8/tc-bpf.8.html
8. একটি seccomp ওভারভিউ: https://lwn.net/Articles/656307/
9. https://github.com/torvalds/linux/blob/master/Documentation/userspace-api/seccomp_filter.rst
10. habr: ধারক এবং নিরাপত্তা: seccomp
11. habr: সিস্টেমড দিয়ে ডেমনগুলিকে বিচ্ছিন্ন করা বা "এর জন্য আপনার ডকারের প্রয়োজন নেই!"
12. পল চেইগনন, "স্ট্রেস --সেকমপ-বিপিএফ: আ লুক আন্ডার দ্য হুড", https://fosdem.org/2020/schedule/event/debugging_strace_bpf/
13. netsniff-ng: http://netsniff-ng.org/

উত্স: www.habr.com