আমরা XDP-তে DDoS আক্রমণের বিরুদ্ধে সুরক্ষা লিখছি। পারমাণবিক অংশ

এক্সপ্রেস ডেটা পাথ (XDP) প্রযুক্তি প্যাকেটগুলি কার্নেল নেটওয়ার্ক স্ট্যাকে প্রবেশ করার আগে লিনাক্স ইন্টারফেসে এলোমেলো ট্র্যাফিক প্রক্রিয়াকরণের অনুমতি দেয়। XDP-এর প্রয়োগ - DDoS আক্রমণের বিরুদ্ধে সুরক্ষা (ক্লাউডফ্লেয়ার), জটিল ফিল্টার, পরিসংখ্যান সংগ্রহ (Netflix)। XDP প্রোগ্রামগুলি eBPF ভার্চুয়াল মেশিন দ্বারা নির্বাহ করা হয়, তাই ফিল্টার প্রকারের উপর নির্ভর করে তাদের কোড এবং উপলব্ধ কার্নেল ফাংশন উভয়ের উপর সীমাবদ্ধতা রয়েছে।

নিবন্ধটি XDP-তে অসংখ্য উপাদানের ঘাটতি পূরণ করার উদ্দেশ্যে করা হয়েছে। প্রথমত, তারা রেডিমেড কোড সরবরাহ করে যা অবিলম্বে XDP-এর বৈশিষ্ট্যগুলিকে বাইপাস করে: এটি যাচাইয়ের জন্য প্রস্তুত বা সমস্যা সৃষ্টি করতে খুব সহজ। আপনি যখন স্ক্র্যাচ থেকে আপনার কোড লেখার চেষ্টা করেন, তখন সাধারণ ত্রুটিগুলির সাথে কী করতে হবে তা আপনার কোন ধারণা নেই। দ্বিতীয়ত, VM এবং হার্ডওয়্যার ছাড়া স্থানীয়ভাবে XDP পরীক্ষা করার উপায়গুলি কভার করা হয় না, যদিও তাদের নিজস্ব ত্রুটি রয়েছে। পাঠ্যটি নেটওয়ার্কিং এবং লিনাক্সের সাথে পরিচিত প্রোগ্রামারদের জন্য যারা XDP এবং eBPF-এ আগ্রহী।

এই অংশে, আমরা বিস্তারিতভাবে বুঝব কিভাবে XDP ফিল্টার একত্রিত করা হয় এবং কীভাবে এটি পরীক্ষা করা যায়, তারপর আমরা প্যাকেট প্রক্রিয়াকরণ স্তরে সুপরিচিত SYN কুকিজ পদ্ধতির একটি সহজ সংস্করণ লিখব। আমরা এখনও একটি "সাদা তালিকা" তৈরি করব না
যাচাইকৃত ক্লায়েন্ট, কাউন্টার রাখুন এবং ফিল্টার পরিচালনা করুন - যথেষ্ট লগ।

আমরা সি-তে লিখব - এটি ফ্যাশনেবল নয়, তবে এটি ব্যবহারিক। সমস্ত কোড শেষের লিঙ্কের মাধ্যমে GitHub-এ উপলব্ধ এবং নিবন্ধে বর্ণিত পর্যায় অনুসারে কমিটগুলিতে বিভক্ত।

দাবি পরিত্যাগী। এই নিবন্ধটি চলাকালীন, আমি DDoS আক্রমণ বন্ধ করার জন্য একটি মিনি-সমাধান তৈরি করব, কারণ এটি XDP এবং আমার দক্ষতার ক্ষেত্রের জন্য একটি বাস্তবসম্মত কাজ। যাইহোক, প্রধান লক্ষ্য প্রযুক্তি বোঝা; এটি তৈরি সুরক্ষা তৈরি করার জন্য একটি নির্দেশিকা নয়। টিউটোরিয়াল কোড অপ্টিমাইজ করা হয় না এবং কিছু সূক্ষ্মতা বাদ দেয়।

XDP সংক্ষিপ্ত ওভারভিউ

ডকুমেন্টেশন এবং বিদ্যমান নিবন্ধের নকল না করার জন্য আমি শুধুমাত্র মূল পয়েন্টগুলিকে রূপরেখা দেব।

সুতরাং, ফিল্টার কোড কার্নেলে লোড করা হয়। ইনকামিং প্যাকেট ফিল্টার পাস করা হয়. ফলস্বরূপ, ফিল্টারটিকে অবশ্যই একটি সিদ্ধান্ত নিতে হবে: প্যাকেটটি কার্নেলে পাস করুন (XDP_PASS), ড্রপ প্যাকেট (XDP_DROP) অথবা ফেরত পাঠান (XDP_TX) ফিল্টার প্যাকেজ পরিবর্তন করতে পারে, এটি বিশেষ করে সত্য XDP_TX. আপনি প্রোগ্রামটি বাতিল করতে পারেন (XDP_ABORTED) এবং প্যাকেজ রিসেট করুন, কিন্তু এটি সাদৃশ্যপূর্ণ assert(0) - ডিবাগ করার জন্য।

eBPF (বর্ধিত বার্কলে প্যাকেট ফিল্টার) ভার্চুয়াল মেশিনটি ইচ্ছাকৃতভাবে সহজ করা হয়েছে যাতে কার্নেল চেক করতে পারে যে কোডটি লুপ করে না এবং অন্য লোকের মেমরির ক্ষতি করে না। ক্রমবর্ধমান সীমাবদ্ধতা এবং চেক:

• লুপ (পিছন দিকে) নিষিদ্ধ।
• ডেটার জন্য একটি স্ট্যাক আছে, কিন্তু কোন ফাংশন নেই (সমস্ত সি ফাংশন ইনলাইন করা আবশ্যক)।
• স্ট্যাক এবং প্যাকেট বাফারের বাইরে মেমরি অ্যাক্সেস নিষিদ্ধ।
• কোড আকার সীমিত, কিন্তু বাস্তবে এটি খুব গুরুত্বপূর্ণ নয়।
• শুধুমাত্র বিশেষ কার্নেল ফাংশন (eBPF সাহায্যকারী) কল করার অনুমতি দেওয়া হয়।

একটি ফিল্টার ডিজাইন এবং ইনস্টল করা এই মত দেখায়:

1. সোর্স কোড (যেমন kernel.c) অবজেক্টে কম্পাইল করা হয় (kernel.o) eBPF ভার্চুয়াল মেশিন আর্কিটেকচারের জন্য। অক্টোবর 2019 পর্যন্ত, eBPF-এর সংকলন Clang দ্বারা সমর্থিত এবং GCC 10.1-এ প্রতিশ্রুতি দেওয়া হয়েছে।
2. যদি এই অবজেক্ট কোডে কার্নেল স্ট্রাকচারে কল থাকে (উদাহরণস্বরূপ, টেবিল এবং কাউন্টার), তাদের আইডিগুলি শূন্য দ্বারা প্রতিস্থাপিত হয়, যার মানে এই ধরনের কোড চালানো যাবে না। কার্নেলে লোড করার আগে, আপনাকে কার্নেল কলের মাধ্যমে তৈরি করা নির্দিষ্ট বস্তুর আইডিগুলির সাথে এই শূন্যগুলি প্রতিস্থাপন করতে হবে (কোড লিঙ্ক করুন)। আপনি বাহ্যিক ইউটিলিটিগুলির সাথে এটি করতে পারেন, অথবা আপনি একটি প্রোগ্রাম লিখতে পারেন যা একটি নির্দিষ্ট ফিল্টার লিঙ্ক এবং লোড করবে।
3. কার্নেল লোড করা প্রোগ্রাম যাচাই করে। চক্রের অনুপস্থিতি এবং প্যাকেট এবং স্ট্যাকের সীমানা অতিক্রম করতে ব্যর্থতা পরীক্ষা করা হয়। যদি যাচাইকারী প্রমাণ করতে না পারে যে কোডটি সঠিক, প্রোগ্রামটি প্রত্যাখ্যান করা হয়েছে - আপনাকে তাকে খুশি করতে সক্ষম হতে হবে।
4. সফল যাচাইকরণের পরে, কার্নেল সিস্টেম আর্কিটেকচারের জন্য ইবিপিএফ আর্কিটেকচার অবজেক্ট কোডকে মেশিন কোডে কম্পাইল করে (মাত্র-সময়ে)।
5. প্রোগ্রামটি ইন্টারফেসের সাথে সংযুক্ত হয় এবং প্যাকেট প্রক্রিয়াকরণ শুরু করে।

যেহেতু XDP কার্নেলে চলে, তাই ট্রেস লগ এবং প্রকৃতপক্ষে, প্রোগ্রাম ফিল্টার বা তৈরি করা প্যাকেট ব্যবহার করে ডিবাগিং করা হয়। যাইহোক, eBPF নিশ্চিত করে যে ডাউনলোড করা কোডটি সিস্টেমের জন্য নিরাপদ, তাই আপনি সরাসরি আপনার স্থানীয় লিনাক্সে XDP নিয়ে পরীক্ষা করতে পারেন।

পরিবেশ প্রস্তুত করা হচ্ছে

সমাবেশ

ক্ল্যাং সরাসরি ইবিপিএফ আর্কিটেকচারের জন্য অবজেক্ট কোড তৈরি করতে পারে না, তাই প্রক্রিয়াটি দুটি ধাপ নিয়ে গঠিত:

1. LLVM বাইটকোডে C কোড কম্পাইল করুন (clang -emit-llvm).
2. বাইটকোডকে ইবিপিএফ অবজেক্ট কোডে রূপান্তর করুন (llc -march=bpf -filetype=obj).

একটি ফিল্টার লেখার সময়, সহায়ক ফাংশন এবং ম্যাক্রো সহ কয়েকটি ফাইল দরকারী হবে কার্নেল পরীক্ষা থেকে. এটি গুরুত্বপূর্ণ যে তারা কার্নেল সংস্করণের সাথে মেলে (KVER) তাদের ডাউনলোড করুন helpers/:

export KVER=v5.3.7
export BASE=https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/plain/tools/testing/selftests/bpf
wget -P helpers --content-disposition "${BASE}/bpf_helpers.h?h=${KVER}" "${BASE}/bpf_endian.h?h=${KVER}"
unset KVER BASE

আর্চ লিনাক্সের জন্য মেকফাইল (কার্নেল 5.3.7):

CLANG ?= clang
LLC ?= llc

KDIR ?= /lib/modules/$(shell uname -r)/build
ARCH ?= $(subst x86_64,x86,$(shell uname -m))

CFLAGS = 
    -Ihelpers 
    
    -I$(KDIR)/include 
    -I$(KDIR)/include/uapi 
    -I$(KDIR)/include/generated/uapi 
    -I$(KDIR)/arch/$(ARCH)/include 
    -I$(KDIR)/arch/$(ARCH)/include/generated 
    -I$(KDIR)/arch/$(ARCH)/include/uapi 
    -I$(KDIR)/arch/$(ARCH)/include/generated/uapi 
    -D__KERNEL__ 
    
    -fno-stack-protector -O2 -g

xdp_%.o: xdp_%.c Makefile
    $(CLANG) -c -emit-llvm $(CFLAGS) $< -o - | 
    $(LLC) -march=bpf -filetype=obj -o $@

.PHONY: all clean

all: xdp_filter.o

clean:
    rm -f ./*.o

KDIR কার্নেল হেডারের পথ রয়েছে, ARCH - সিস্টেম আর্কিটেকচার। পাথ এবং টুল বিতরণের মধ্যে সামান্য পরিবর্তিত হতে পারে।

ডেবিয়ান 10 (কার্নেল 4.19.67) এর জন্য পার্থক্যের উদাহরণ

# другая команда
CLANG ?= clang
LLC ?= llc-7

# другой каталог
KDIR ?= /usr/src/linux-headers-$(shell uname -r)
ARCH ?= $(subst x86_64,x86,$(shell uname -m))

# два дополнительных каталога -I
CFLAGS = 
    -Ihelpers 
    
    -I/usr/src/linux-headers-4.19.0-6-common/include 
    -I/usr/src/linux-headers-4.19.0-6-common/arch/$(ARCH)/include 
    # далее без изменений

CFLAGS অক্জিলিয়ারী হেডার সহ একটি ডিরেক্টরি এবং কার্নেল হেডার সহ বেশ কয়েকটি ডিরেক্টরি সংযুক্ত করুন। প্রতীক __KERNEL__ মানে UAPI (userspace API) হেডারগুলি কার্নেল কোডের জন্য সংজ্ঞায়িত করা হয়েছে, যেহেতু ফিল্টারটি কার্নেলে কার্যকর করা হয়।

স্ট্যাক সুরক্ষা নিষ্ক্রিয় করা যেতে পারে (-fno-stack-protector), কারণ eBPF কোড যাচাইকারী এখনও স্ট্যাক-অফ-বাউন্ড লঙ্ঘনের জন্য পরীক্ষা করে। এখনই অপ্টিমাইজেশন চালু করা মূল্যবান, কারণ eBPF বাইটকোডের আকার সীমিত।

আসুন একটি ফিল্টার দিয়ে শুরু করি যা সমস্ত প্যাকেট পাস করে এবং কিছুই করে না:

#include <uapi/linux/bpf.h>

#include <bpf_helpers.h>

SEC("prog")
int xdp_main(struct xdp_md* ctx) {
    return XDP_PASS;
}

char _license[] SEC("license") = "GPL";

টীম make সংগ্রহ করে xdp_filter.o. আমি এখন কোথায় চেষ্টা করতে পারি?

পরীক্ষা স্ট্যান্ড

স্ট্যান্ডে অবশ্যই দুটি ইন্টারফেস অন্তর্ভুক্ত থাকতে হবে: যেখানে একটি ফিল্টার থাকবে এবং যেখান থেকে প্যাকেট পাঠানো হবে। আমাদের ফিল্টারের সাথে নিয়মিত অ্যাপ্লিকেশনগুলি কীভাবে কাজ করে তা পরীক্ষা করার জন্য এগুলি অবশ্যই তাদের নিজস্ব আইপি সহ সম্পূর্ণ লিনাক্স ডিভাইস হতে হবে।

ভেথ (ভার্চুয়াল ইথারনেট) ধরণের ডিভাইসগুলি আমাদের জন্য উপযুক্ত: এগুলি একে অপরের সাথে সরাসরি "সংযুক্ত" ভার্চুয়াল নেটওয়ার্ক ইন্টারফেসের একটি জোড়া। আপনি তাদের এভাবে তৈরি করতে পারেন (এই বিভাগে সমস্ত কমান্ড ip থেকে বাহিত হয় root):

ip link add xdp-remote type veth peer name xdp-local

এটা হল xdp-remote и xdp-local - ডিভাইসের নাম। চালু xdp-local (192.0.2.1/24) একটি ফিল্টার সংযুক্ত করা হবে, সাথে xdp-remote (192.0.2.2/24) ইনকামিং ট্রাফিক পাঠানো হবে। যাইহোক, একটি সমস্যা রয়েছে: ইন্টারফেসগুলি একই মেশিনে রয়েছে এবং লিনাক্স তাদের একটিতে অন্যটির মাধ্যমে ট্র্যাফিক পাঠাবে না। আপনি জটিল নিয়ম দিয়ে এটি সমাধান করতে পারেন iptables, কিন্তু তাদের প্যাকেজ পরিবর্তন করতে হবে, যা ডিবাগিংয়ের জন্য অসুবিধাজনক। নেটওয়ার্ক নেমস্পেস (এর পরে নেটএনএস) ব্যবহার করা ভাল।

একটি নেটওয়ার্ক নেমস্পেস ইন্টারফেস, রাউটিং টেবিল এবং নেটফিল্টার নিয়মগুলির একটি সেট ধারণ করে যা অন্যান্য নেটএনসে অনুরূপ বস্তু থেকে বিচ্ছিন্ন। প্রতিটি প্রক্রিয়া একটি নেমস্পেসে চলে এবং শুধুমাত্র সেই নেটএনএসের বস্তুগুলিতে অ্যাক্সেস থাকে। ডিফল্টরূপে, সিস্টেমে সমস্ত অবজেক্টের জন্য একটি একক নেটওয়ার্ক নামস্থান রয়েছে, তাই আপনি লিনাক্সে কাজ করতে পারেন এবং নেটএনস সম্পর্কে জানেন না।

আসুন একটি নতুন নামস্থান তৈরি করি xdp-test এবং সেখানে সরান xdp-remote.

ip netns add xdp-test
ip link set dev xdp-remote netns xdp-test

তারপর প্রক্রিয়া চলছে xdp-test, "দেখবে না" xdp-local (এটি ডিফল্টরূপে netns-এ থাকবে) এবং 192.0.2.1 এ একটি প্যাকেট পাঠানোর সময় এটি এটির মধ্য দিয়ে যাবে xdp-remoteকারণ এটি 192.0.2.0/24-এ একমাত্র ইন্টারফেস এই প্রক্রিয়ায় অ্যাক্সেসযোগ্য। এটি বিপরীত দিকেও কাজ করে।

netns এর মধ্যে চলার সময়, ইন্টারফেস নিচে যায় এবং তার ঠিকানা হারায়। netns-এ ইন্টারফেস কনফিগার করতে, আপনাকে চালাতে হবে ip ... এই কমান্ডের নামস্থানে ip netns exec:

ip netns exec xdp-test 
    ip address add 192.0.2.2/24 dev xdp-remote
ip netns exec xdp-test 
    ip link set xdp-remote up

আপনি দেখতে পাচ্ছেন, এটি সেটিং থেকে আলাদা নয় xdp-local ডিফল্ট নামস্থানে:

    ip address add 192.0.2.1/24 dev xdp-local
    ip link set xdp-local up

চালালে tcpdump -tnevi xdp-local, আপনি যে প্যাকেট থেকে পাঠানো দেখতে পারেন xdp-test, এই ইন্টারফেসে বিতরণ করা হয়:

ip netns exec xdp-test   ping 192.0.2.1

একটি শেল চালু করা সুবিধাজনক xdp-test. সংগ্রহস্থলে একটি স্ক্রিপ্ট রয়েছে যা স্ট্যান্ডের সাথে কাজ স্বয়ংক্রিয় করে; উদাহরণস্বরূপ, আপনি কমান্ডের সাথে স্ট্যান্ড কনফিগার করতে পারেন sudo ./stand up এবং এটি মুছুন sudo ./stand down.

ট্রেসিং

ফিল্টারটি এইরকম ডিভাইসের সাথে যুক্ত:

ip -force link set dev xdp-local xdp object xdp_filter.o verbose

চাবি -force অন্য একটি ইতিমধ্যে লিঙ্ক করা থাকলে একটি নতুন প্রোগ্রাম লিঙ্ক করতে হবে। "কোন সংবাদই সুসংবাদ নয়" এই আদেশ সম্পর্কে নয়, উপসংহারটি যে কোনও ক্ষেত্রেই বিশাল। নির্দেশ করে verbose ঐচ্ছিক, কিন্তু এটির সাথে একটি সমাবেশ তালিকা সহ কোড যাচাইকারীর কাজের উপর একটি প্রতিবেদন উপস্থিত হয়:

Verifier analysis:

0: (b7) r0 = 2
1: (95) exit

ইন্টারফেস থেকে প্রোগ্রামটি আনলিঙ্ক করুন:

ip link set dev xdp-local xdp off

স্ক্রিপ্টে এই কমান্ড আছে sudo ./stand attach и sudo ./stand detach.

একটি ফিল্টার সংযুক্ত করে, আপনি এটি নিশ্চিত করতে পারেন ping চলতে থাকে, কিন্তু প্রোগ্রাম কি কাজ করে? এর লগ যোগ করা যাক. ফাংশন bpf_trace_printk() অনুরূপ, একই, সমতুল্য printf(), কিন্তু প্যাটার্ন ব্যতীত শুধুমাত্র তিনটি পর্যন্ত আর্গুমেন্ট এবং নির্দিষ্টকরণের একটি সীমিত তালিকা সমর্থন করে। ম্যাক্রো bpf_printk() কল সহজ করে।

   SEC("prog")
   int xdp_main(struct xdp_md* ctx) {
+      bpf_printk("got packet: %pn", ctx);
       return XDP_PASS;
   }

আউটপুট কার্নেল ট্রেস চ্যানেলে যায়, যা সক্রিয় করা প্রয়োজন:

echo -n 1 | sudo tee /sys/kernel/debug/tracing/options/trace_printk

বার্তা থ্রেড দেখুন:

cat /sys/kernel/debug/tracing/trace_pipe

এই উভয় কমান্ড একটি কল করে sudo ./stand log.

Ping এখন এই মত বার্তা ট্রিগার করা উচিত:

<...>-110930 [004] ..s1 78803.244967: 0: got packet: 00000000ac510377

আপনি যদি যাচাইকারীর আউটপুটটি ঘনিষ্ঠভাবে দেখেন তবে আপনি অদ্ভুত গণনা লক্ষ্য করবেন:

0: (bf) r3 = r1
1: (18) r1 = 0xa7025203a7465
3: (7b) *(u64 *)(r10 -8) = r1
4: (18) r1 = 0x6b63617020746f67
6: (7b) *(u64 *)(r10 -16) = r1
7: (bf) r1 = r10
8: (07) r1 += -16
9: (b7) r2 = 16
10: (85) call bpf_trace_printk#6
<...>

আসল বিষয়টি হল যে eBPF প্রোগ্রামগুলির একটি ডেটা বিভাগ নেই, তাই একটি বিন্যাস স্ট্রিং এনকোড করার একমাত্র উপায় হল VM কমান্ডের তাত্ক্ষণিক আর্গুমেন্ট:

$ python -c "import binascii; print(bytes(reversed(binascii.unhexlify('0a7025203a74656b63617020746f67'))))"
b'got packet: %pn'

এই কারণে, ডিবাগ আউটপুট ব্যাপকভাবে ফলাফল কোড bloats.

XDP প্যাকেট পাঠানো হচ্ছে

ফিল্টার পরিবর্তন করা যাক: এটি সমস্ত আগত প্যাকেট ফেরত পাঠাতে দিন। নেটওয়ার্কের দৃষ্টিকোণ থেকে এটি ভুল, যেহেতু শিরোনামগুলিতে ঠিকানাগুলি পরিবর্তন করা প্রয়োজন, তবে এখন নীতিগতভাবে কাজটি গুরুত্বপূর্ণ।

       bpf_printk("got packet: %pn", ctx);
-      return XDP_PASS;
+      return XDP_TX;
   }

চালান tcpdump উপর xdp-remote. এটি অভিন্ন আউটগোয়িং এবং ইনকামিং ICMP ইকো অনুরোধ প্রদর্শন করবে এবং ICMP ইকো উত্তর দেখানো বন্ধ করবে। কিন্তু এটা দেখায় না। এটা কাজের জন্য যে সক্রিয় আউট XDP_TX প্রোগ্রামে xdp-local প্রয়োজনীয়পেয়ার ইন্টারফেসে xdp-remote একটি প্রোগ্রামও বরাদ্দ করা হয়েছিল, এমনকি যদি এটি খালি ছিল, এবং তাকে উত্থাপিত করা হয়েছিল।

আমি এটা কিভাবে জানলাম?

কার্নেলে একটি প্যাকেজের পাথ ট্রেস করুন পারফ ইভেন্ট মেকানিজম অনুমতি দেয়, যাইহোক, একই ভার্চুয়াল মেশিন ব্যবহার করে, অর্থাৎ, eBPF এর সাথে বিচ্ছিন্ন করার জন্য eBPF ব্যবহার করা হয়।

আপনাকে অবশ্যই মন্দ থেকে ভাল করতে হবে, কারণ এটি থেকে বের করার আর কিছুই নেই।

$ sudo perf trace --call-graph dwarf -e 'xdp:*'
   0.000 ping/123455 xdp:xdp_bulk_tx:ifindex=19 action=TX sent=0 drops=1 err=-6
                                     veth_xdp_flush_bq ([veth])
                                     veth_xdp_flush_bq ([veth])
                                     veth_poll ([veth])
                                     <...>

কোড 6 কি?

$ errno 6
ENXIO 6 No such device or address

ক্রিয়া veth_xdp_flush_bq() থেকে একটি ত্রুটি কোড পায় veth_xdp_xmit(), যেখানে দ্বারা অনুসন্ধান ENXIO এবং মন্তব্য খুঁজুন।

আসুন ন্যূনতম ফিল্টারটি পুনরুদ্ধার করি (XDP_PASS) ফাইলে xdp_dummy.c, এটি মেকফাইলে যোগ করুন, এটিকে আবদ্ধ করুন xdp-remote:

ip netns exec remote 
    ip link set dev int xdp object dummy.o

এখন tcpdump কি প্রত্যাশিত দেখায়:

62:57:8e:70:44:64 > 26:0e:25:37:8f:96, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 13762, offset 0, flags [DF], proto ICMP (1), length 84)
    192.0.2.2 > 192.0.2.1: ICMP echo request, id 46966, seq 1, length 64
62:57:8e:70:44:64 > 26:0e:25:37:8f:96, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 13762, offset 0, flags [DF], proto ICMP (1), length 84)
    192.0.2.2 > 192.0.2.1: ICMP echo request, id 46966, seq 1, length 64

যদি পরিবর্তে শুধুমাত্র ARP দেখানো হয়, তাহলে আপনাকে ফিল্টারগুলি সরাতে হবে (এটি করে sudo ./stand detach), চল যাই ping, তারপর ফিল্টার সেট করুন এবং আবার চেষ্টা করুন। সমস্যা হল ফিল্টার XDP_TX ARP এবং স্ট্যাক উভয় ক্ষেত্রেই বৈধ
নামস্থান xdp-test MAC ঠিকানা 192.0.2.1 "ভুলে যেতে" পরিচালিত, এটি এই IP সমাধান করতে সক্ষম হবে না।

সমস্যা গঠন

চলুন বর্ণিত টাস্কে এগিয়ে যাই: XDP-তে একটি SYN কুকিজ মেকানিজম লিখুন।

SYN বন্যা একটি জনপ্রিয় DDoS আক্রমণ রয়ে গেছে, যার সারমর্ম নিম্নরূপ। যখন একটি সংযোগ প্রতিষ্ঠিত হয় (TCP হ্যান্ডশেক), সার্ভার একটি SYN পায়, ভবিষ্যতের সংযোগের জন্য সংস্থান বরাদ্দ করে, একটি SYNACK প্যাকেটের সাথে প্রতিক্রিয়া জানায় এবং একটি ACK এর জন্য অপেক্ষা করে। আক্রমণকারী একটি বহু-হাজার-শক্তিশালী বটনেটে প্রতিটি হোস্ট থেকে স্পুফ করা ঠিকানাগুলি থেকে প্রতি সেকেন্ডে হাজার হাজার SYN প্যাকেট পাঠায়। প্যাকেটের আগমনের সাথে সাথে সার্ভারকে সংস্থান বরাদ্দ করতে বাধ্য করা হয়, কিন্তু একটি বড় সময় শেষ হওয়ার পরে সেগুলি প্রকাশ করে; ফলস্বরূপ, মেমরি বা সীমা নিঃশেষ হয়ে যায়, নতুন সংযোগ গ্রহণ করা হয় না এবং পরিষেবাটি অনুপলব্ধ হয়।

আপনি যদি SYN প্যাকেটের উপর ভিত্তি করে সংস্থানগুলি বরাদ্দ না করেন, কিন্তু শুধুমাত্র একটি SYNACK প্যাকেটের সাথে সাড়া দেন, তাহলে সার্ভার কিভাবে বুঝবে যে ACK প্যাকেটটি পরবর্তীতে আসা একটি SYN প্যাকেটকে বোঝায় যা সংরক্ষণ করা হয়নি? সর্বোপরি, একজন আক্রমণকারীও জাল ACK তৈরি করতে পারে। SYN কুকির পয়েন্ট হল এটিকে এনকোড করা seqnum ঠিকানা, পোর্ট এবং পরিবর্তিত লবণের হ্যাশ হিসাবে সংযোগ পরামিতি। যদি এসিকে লবণ পরিবর্তন করার আগে পৌঁছাতে সক্ষম হয়, তাহলে আপনি আবার হ্যাশ গণনা করতে পারেন এবং এর সাথে তুলনা করতে পারেন acknum. ফরজ acknum আক্রমণকারী পারে না, যেহেতু লবণের মধ্যে গোপনীয়তা রয়েছে এবং সীমিত চ্যানেলের কারণে এটি বাছাই করার সময় পাবে না।

SYN কুকি দীর্ঘদিন ধরে লিনাক্স কার্নেলে প্রয়োগ করা হয়েছে এবং এমনকি SYN গুলি খুব দ্রুত এবং একত্রে এসে পৌঁছলে স্বয়ংক্রিয়ভাবে সক্ষম হতে পারে।

TCP হ্যান্ডশেক উপর শিক্ষামূলক প্রোগ্রাম

TCP বাইটের একটি স্ট্রীম হিসাবে ডেটা ট্রান্সমিশন প্রদান করে, উদাহরণস্বরূপ, HTTP অনুরোধগুলি TCP এর মাধ্যমে প্রেরণ করা হয়। প্রবাহ প্যাকেটে টুকরো টুকরো করে প্রেরণ করা হয়। সমস্ত TCP প্যাকেটে লজিক্যাল ফ্ল্যাগ এবং 32-বিট সিকোয়েন্স নম্বর রয়েছে:

• পতাকার সংমিশ্রণ একটি নির্দিষ্ট প্যাকেজের ভূমিকা নির্ধারণ করে। SYN পতাকা নির্দেশ করে যে এটি সংযোগে প্রেরকের প্রথম প্যাকেট। ACK পতাকা মানে প্রেরক বাইট পর্যন্ত সমস্ত সংযোগ ডেটা পেয়েছে acknum. একটি প্যাকেটে বেশ কয়েকটি পতাকা থাকতে পারে এবং তাদের সংমিশ্রণ দ্বারা বলা হয়, উদাহরণস্বরূপ, একটি SYNACK প্যাকেট।

• সিকোয়েন্স নম্বর (seqnum) এই প্যাকেটে প্রেরিত প্রথম বাইটের জন্য ডেটা স্ট্রীমে অফসেট নির্দিষ্ট করে। উদাহরণস্বরূপ, যদি প্রথম প্যাকেটে X বাইট ডেটার এই সংখ্যাটি ছিল N, নতুন ডেটা সহ পরবর্তী প্যাকেটে এটি হবে N+X৷ সংযোগের শুরুতে, প্রতিটি পক্ষ এলোমেলোভাবে এই সংখ্যাটি বেছে নেয়।

• স্বীকৃতি নম্বর (অ্যাকনাম) - সেকনামের মতো একই অফসেট, তবে এটি প্রেরণ করা বাইটের সংখ্যা নির্ধারণ করে না, তবে প্রাপকের কাছ থেকে প্রথম বাইটের সংখ্যা, যা প্রেরক দেখেননি।

সংযোগের শুরুতে, পক্ষগুলিকে অবশ্যই একমত হতে হবে seqnum и acknum. ক্লায়েন্ট তার সাথে একটি SYN প্যাকেট পাঠায় seqnum = X. সার্ভার একটি SYNACK প্যাকেটের সাথে প্রতিক্রিয়া জানায়, যেখানে এটি তার রেকর্ড করে seqnum = Y এবং প্রকাশ করে acknum = X + 1. ক্লায়েন্ট একটি ACK প্যাকেট সহ SYNACK-এ প্রতিক্রিয়া জানায়, যেখানে seqnum = X + 1, acknum = Y + 1. এর পরে, প্রকৃত ডেটা স্থানান্তর শুরু হয়।

যদি পিয়ার প্যাকেটের প্রাপ্তি স্বীকার না করে, TCP একটি সময় শেষ হওয়ার পরে এটি পুনরায় পাঠায়।

কেন SYN কুকিজ সবসময় ব্যবহার করা হয় না?

প্রথমত, SYNACK বা ACK হারিয়ে গেলে, আপনাকে এটি আবার পাঠানোর জন্য অপেক্ষা করতে হবে - সংযোগ সেটআপটি ধীর হয়ে যাবে। দ্বিতীয়ত, SYN প্যাকেজে - এবং শুধুমাত্র এটিতে! - বেশ কয়েকটি বিকল্প প্রেরণ করা হয় যা সংযোগের পরবর্তী অপারেশনকে প্রভাবিত করে। ইনকামিং SYN প্যাকেটগুলি মনে না রেখে, সার্ভার এইভাবে এই বিকল্পগুলিকে উপেক্ষা করে; ক্লায়েন্ট পরবর্তী প্যাকেটে সেগুলি পাঠাবে না। এক্ষেত্রে টিসিপি কাজ করতে পারে, তবে অন্তত প্রাথমিক পর্যায়ে সংযোগের মান কমে যাবে।

একটি প্যাকেজ দৃষ্টিকোণ থেকে, একটি XDP প্রোগ্রাম নিম্নলিখিতগুলি করতে হবে:

• একটি কুকির সাথে SYNACK-এর সাথে SYN-এর প্রতিক্রিয়া;
• আরএসটি (সংযোগ বিচ্ছিন্ন) দিয়ে ACK-কে সাড়া দিন;
• অবশিষ্ট প্যাকেট বাদ দিন।

প্যাকেজ পার্সিং সহ অ্যালগরিদমের সিউডোকোড:

Если это не Ethernet,
    пропустить пакет.
Если это не IPv4,
    пропустить пакет.
Если адрес в таблице проверенных,               (*)
        уменьшить счетчик оставшихся проверок,
        пропустить пакет.
Если это не TCP,
    сбросить пакет.     (**)
Если это SYN,
    ответить SYN-ACK с cookie.
Если это ACK,
    если в acknum лежит не cookie,
        сбросить пакет.
    Занести в таблицу адрес с N оставшихся проверок.    (*)
    Ответить RST.   (**)
В остальных случаях сбросить пакет.

এক (*) যে পয়েন্টগুলি আপনাকে সিস্টেমের অবস্থা পরিচালনা করতে হবে সেগুলি চিহ্নিত করা হয়েছে - প্রথম পর্যায়ে আপনি সিকনাম হিসাবে একটি SYN কুকি তৈরির সাথে একটি TCP হ্যান্ডশেক প্রয়োগ করে সেগুলি ছাড়া করতে পারেন৷

হাতেনাতে (**), আমাদের একটি টেবিল না থাকাকালীন, আমরা প্যাকেটটি এড়িয়ে যাব।

TCP হ্যান্ডশেক বাস্তবায়ন

প্যাকেজ পার্সিং এবং কোড যাচাই

আমাদের নেটওয়ার্ক হেডার স্ট্রাকচারের প্রয়োজন হবে: ইথারনেট (uapi/linux/if_ether.h), IPv4 (uapi/linux/ip.h) এবং TCP (uapi/linux/tcp.h) এর সাথে সম্পর্কিত ত্রুটির কারণে আমি পরবর্তীটি সংযোগ করতে পারিনি atomic64_t, আমাকে কোডে প্রয়োজনীয় সংজ্ঞা অনুলিপি করতে হয়েছিল।

পঠনযোগ্যতার জন্য সি-তে হাইলাইট করা সমস্ত ফাংশন কলের পয়েন্টে ইনলাইন করা আবশ্যক, যেহেতু কার্নেলের ইবিপিএফ যাচাইকারী ব্যাকট্র্যাকিং নিষিদ্ধ করে, অর্থাৎ, লুপ এবং ফাংশন কল।

#define INTERNAL static __attribute__((always_inline))

ম্যাক্রো LOG() রিলিজ বিল্ডে মুদ্রণ নিষ্ক্রিয় করে।

প্রোগ্রাম ফাংশন একটি পরিবাহক. প্রত্যেকে একটি প্যাকেট পায় যেখানে সংশ্লিষ্ট লেভেল হেডার হাইলাইট করা হয়, উদাহরণস্বরূপ, process_ether() এটা পূর্ণ হবে আশা ether. ক্ষেত্র বিশ্লেষণের ফলাফলের উপর ভিত্তি করে, ফাংশনটি প্যাকেটটিকে উচ্চ স্তরে পাস করতে পারে। ফাংশনের ফলাফল হল XDP অ্যাকশন। আপাতত, SYN এবং ACK হ্যান্ডলাররা সমস্ত প্যাকেট পাস করে।

struct Packet {
    struct xdp_md* ctx;

    struct ethhdr* ether;
    struct iphdr* ip;
    struct tcphdr* tcp;
};

INTERNAL int process_tcp_syn(struct Packet* packet) { return XDP_PASS; }
INTERNAL int process_tcp_ack(struct Packet* packet) { return XDP_PASS; }
INTERNAL int process_tcp(struct Packet* packet) { ... }
INTERNAL int process_ip(struct Packet* packet) { ... }

INTERNAL int
process_ether(struct Packet* packet) {
    struct ethhdr* ether = packet->ether;

    LOG("Ether(proto=0x%x)", bpf_ntohs(ether->h_proto));

    if (ether->h_proto != bpf_ntohs(ETH_P_IP)) {
        return XDP_PASS;
    }

    // B
    struct iphdr* ip = (struct iphdr*)(ether + 1);
    if ((void*)(ip + 1) > (void*)packet->ctx->data_end) {
        return XDP_DROP; /* malformed packet */
    }

    packet->ip = ip;
    return process_ip(packet);
}

SEC("prog")
int xdp_main(struct xdp_md* ctx) {
    struct Packet packet;
    packet.ctx = ctx;

    // A
    struct ethhdr* ether = (struct ethhdr*)(void*)ctx->data;
    if ((void*)(ether + 1) > (void*)ctx->data_end) {
        return XDP_PASS;
    }

    packet.ether = ether;
    return process_ether(&packet);
}

আমি A এবং B চিহ্নিত চেকের প্রতি আপনার দৃষ্টি আকর্ষণ করছি। আপনি A দিয়ে মন্তব্য করলে, প্রোগ্রামটি তৈরি হবে, কিন্তু লোড করার সময় একটি যাচাইকরণ ত্রুটি থাকবে:

Verifier analysis:

<...>
11: (7b) *(u64 *)(r10 -48) = r1
12: (71) r3 = *(u8 *)(r7 +13)
invalid access to packet, off=13 size=1, R7(id=0,off=0,r=0)
R7 offset is outside of the packet
processed 11 insns (limit 1000000) max_states_per_insn 0 total_states 0 peak_states 0 mark_read 0

Error fetching program/map!

কী স্ট্রিং invalid access to packet, off=13 size=1, R7(id=0,off=0,r=0): এক্সিকিউশন পাথ আছে যখন বাফারের শুরু থেকে তেরতম বাইট প্যাকেটের বাইরে থাকে। আমরা কোন লাইনের কথা বলছি তা তালিকা থেকে বোঝা কঠিন, তবে একটি নির্দেশনা নম্বর (12) এবং একটি বিচ্ছিন্নকারী সোর্স কোডের লাইন দেখাচ্ছে:

llvm-objdump -S xdp_filter.o | less

এই ক্ষেত্রে এটি লাইন নির্দেশ করে

LOG("Ether(proto=0x%x)", bpf_ntohs(ether->h_proto));

যা সমস্যাটি স্পষ্ট করে তোলে ether. এটা সবসময় এই মত হবে.

SYN কে উত্তর দিন

এই পর্যায়ে লক্ষ্য হল একটি নির্দিষ্ট সহ একটি সঠিক SYNACK প্যাকেট তৈরি করা seqnum, যা ভবিষ্যতে SYN কুকি দ্বারা প্রতিস্থাপিত হবে৷ সব পরিবর্তন ঘটবে process_tcp_syn() এবং আশেপাশের এলাকা।

প্যাকেজ যাচাইকরণ

অদ্ভুতভাবে যথেষ্ট, এখানে সবচেয়ে উল্লেখযোগ্য লাইন, বা বরং, এটির ভাষ্য:

/* Required to verify checksum calculation */
const void* data_end = (const void*)ctx->data_end;

কোডের প্রথম সংস্করণ লেখার সময়, 5.1 কার্নেল ব্যবহার করা হয়েছিল, যার যাচাইকারীর মধ্যে পার্থক্য ছিল data_end и (const void*)ctx->data_end. লেখার সময়, কার্নেল 5.3.1-এ এই সমস্যাটি ছিল না। এটা সম্ভব যে কম্পাইলার একটি ক্ষেত্র থেকে ভিন্নভাবে একটি স্থানীয় পরিবর্তনশীল অ্যাক্সেস করছিল। গল্পের নৈতিকতা: যখন অনেক বাসা বাঁধে তখন কোডটি সরলীকরণ করা সাহায্য করতে পারে।

পরেরটি যাচাইকারীর গৌরবের জন্য রুটিন দৈর্ঘ্য পরীক্ষা; ও MAX_CSUM_BYTES থেকে কম।

const u32 ip_len = ip->ihl * 4;
if ((void*)ip + ip_len > data_end) {
    return XDP_DROP; /* malformed packet */
}
if (ip_len > MAX_CSUM_BYTES) {
    return XDP_ABORTED; /* implementation limitation */
}

const u32 tcp_len = tcp->doff * 4;
if ((void*)tcp + tcp_len > (void*)ctx->data_end) {
    return XDP_DROP; /* malformed packet */
}
if (tcp_len > MAX_CSUM_BYTES) {
    return XDP_ABORTED; /* implementation limitation */
}

প্যাকেজ উন্মোচন

পূরণ করো seqnum и acknum, ACK সেট করুন (SYN ইতিমধ্যে সেট করা আছে):

const u32 cookie = 42;
tcp->ack_seq = bpf_htonl(bpf_ntohl(tcp->seq) + 1);
tcp->seq = bpf_htonl(cookie);
tcp->ack = 1;

TCP পোর্ট, IP ঠিকানা এবং MAC ঠিকানা অদলবদল করুন। এক্সডিপি প্রোগ্রাম থেকে স্ট্যান্ডার্ড লাইব্রেরি অ্যাক্সেসযোগ্য নয়, তাই memcpy() — একটি ম্যাক্রো যা ঝনঝন অভ্যন্তরীণকে লুকিয়ে রাখে।

const u16 temp_port = tcp->source;
tcp->source = tcp->dest;
tcp->dest = temp_port;

const u32 temp_ip = ip->saddr;
ip->saddr = ip->daddr;
ip->daddr = temp_ip;

struct ethhdr temp_ether = *ether;
memcpy(ether->h_dest, temp_ether.h_source, ETH_ALEN);
memcpy(ether->h_source, temp_ether.h_dest, ETH_ALEN);

চেকসাম পুনঃগণনা

IPv4 এবং TCP চেকসামগুলির জন্য শিরোনামগুলিতে সমস্ত 16-বিট শব্দ যোগ করা প্রয়োজন, এবং শিরোনামগুলির আকার তাদের মধ্যে লেখা হয়, অর্থাৎ কম্পাইলের সময় অজানা৷ এটি একটি সমস্যা কারণ যাচাইকারী সাধারণ লুপটিকে সীমানা ভেরিয়েবলে এড়িয়ে যাবে না। কিন্তু হেডারের আকার সীমিত: প্রতিটি 64 বাইট পর্যন্ত। আপনি একটি নির্দিষ্ট সংখ্যক পুনরাবৃত্তি সহ একটি লুপ তৈরি করতে পারেন, যা তাড়াতাড়ি শেষ হতে পারে।

আমি নোট যে আছে RFC 1624 প্যাকেজের নির্দিষ্ট শব্দ পরিবর্তন করা হলে কিভাবে চেকসাম আংশিকভাবে পুনরায় গণনা করা যায় সে সম্পর্কে। যাইহোক, পদ্ধতিটি সর্বজনীন নয়, এবং বাস্তবায়ন বজায় রাখা আরও কঠিন হবে।

চেকসাম গণনা ফাংশন:

#define MAX_CSUM_WORDS 32
#define MAX_CSUM_BYTES (MAX_CSUM_WORDS * 2)

INTERNAL u32
sum16(const void* data, u32 size, const void* data_end) {
    u32 s = 0;
#pragma unroll
    for (u32 i = 0; i < MAX_CSUM_WORDS; i++) {
        if (2*i >= size) {
            return s; /* normal exit */
        }
        if (data + 2*i + 1 + 1 > data_end) {
            return 0; /* should be unreachable */
        }
        s += ((const u16*)data)[i];
    }
    return s;
}

যদিও size কলিং কোড দ্বারা যাচাই করা হয়েছে, দ্বিতীয় প্রস্থান শর্তটি প্রয়োজনীয় যাতে যাচাইকারী লুপটির সম্পূর্ণতা প্রমাণ করতে পারে।

32-বিট শব্দের জন্য, একটি সহজ সংস্করণ প্রয়োগ করা হয়েছে:

INTERNAL u32
sum16_32(u32 v) {
    return (v >> 16) + (v & 0xffff);
}

প্রকৃতপক্ষে চেকসামগুলি পুনরায় গণনা করা এবং প্যাকেটটি ফেরত পাঠানো:

ip->check = 0;
ip->check = carry(sum16(ip, ip_len, data_end));

u32 tcp_csum = 0;
tcp_csum += sum16_32(ip->saddr);
tcp_csum += sum16_32(ip->daddr);
tcp_csum += 0x0600;
tcp_csum += tcp_len << 8;
tcp->check = 0;
tcp_csum += sum16(tcp, tcp_len, data_end);
tcp->check = carry(tcp_csum);

return XDP_TX;

ক্রিয়া carry() RFC 32 অনুযায়ী, 16-বিট শব্দের 791-বিট যোগফল থেকে একটি চেকসাম তৈরি করে।

TCP হ্যান্ডশেক যাচাইকরণ

ফিল্টার সঠিকভাবে এর সাথে একটি সংযোগ স্থাপন করে netcat, চূড়ান্ত ACK অনুপস্থিত, যেটিতে লিনাক্স একটি RST প্যাকেটের সাথে প্রতিক্রিয়া জানায়, যেহেতু নেটওয়ার্ক স্ট্যাক SYN পায়নি - এটি SYNACK তে রূপান্তরিত হয়েছিল এবং ফেরত পাঠানো হয়েছিল - এবং OS দৃষ্টিকোণ থেকে, একটি প্যাকেট এসেছে যা খোলার সাথে সম্পর্কিত ছিল না সংযোগ

$ sudo ip netns exec xdp-test   nc -nv 192.0.2.1 6666
192.0.2.1 6666: Connection reset by peer

পূর্ণাঙ্গ অ্যাপ্লিকেশনের সাথে পরীক্ষা করা এবং পর্যবেক্ষণ করা গুরুত্বপূর্ণ tcpdump উপর xdp-remote কারণ, উদাহরণস্বরূপ, hping3 ভুল চেকসামগুলিতে সাড়া দেয় না।

SYN কুকি

XDP দৃষ্টিকোণ থেকে, যাচাইকরণ নিজেই তুচ্ছ। গণনা অ্যালগরিদম আদিম এবং সম্ভবত একটি পরিশীলিত আক্রমণকারীর জন্য ঝুঁকিপূর্ণ। লিনাক্স কার্নেল, উদাহরণস্বরূপ, ক্রিপ্টোগ্রাফিক সিপহ্যাশ ব্যবহার করে, তবে XDP-এর জন্য এর বাস্তবায়ন স্পষ্টভাবে এই নিবন্ধের সুযোগের বাইরে।

বাহ্যিক যোগাযোগের সাথে সম্পর্কিত নতুন TODO-র জন্য প্রবর্তিত:

• XDP প্রোগ্রাম সংরক্ষণ করতে পারে না cookie_seed (লবণের গোপন অংশ) একটি গ্লোবাল ভেরিয়েবলে, আপনার কার্নেলে স্টোরেজ প্রয়োজন, যার মান পর্যায়ক্রমে একটি নির্ভরযোগ্য জেনারেটর থেকে আপডেট করা হবে।

• যদি SYN কুকি ACK প্যাকেটের সাথে মিলে যায়, তাহলে আপনাকে একটি বার্তা প্রিন্ট করার প্রয়োজন নেই, তবে এটি থেকে প্যাকেট পাস করা চালিয়ে যাওয়ার জন্য যাচাইকৃত ক্লায়েন্টের IP মনে রাখবেন।

বৈধ ক্লায়েন্ট যাচাইকরণ:

$ sudoip netns exec xdp-test   nc -nv 192.0.2.1 6666
192.0.2.1 6666: Connection reset by peer

লগগুলি দেখায় যে চেক পাস হয়েছে (flags=0x2 - এটি SYN, flags=0x10 ACK হয়):

Ether(proto=0x800)
  IP(src=0x20e6e11a dst=0x20e6e11e proto=6)
    TCP(sport=50836 dport=6666 flags=0x2)
Ether(proto=0x800)
  IP(src=0xfe2cb11a dst=0xfe2cb11e proto=6)
    TCP(sport=50836 dport=6666 flags=0x10)
      cookie matches for client 20200c0

যদিও যাচাইকৃত আইপিগুলির কোনও তালিকা নেই, সেখানে SYN বন্যা থেকে কোনও সুরক্ষা থাকবে না, তবে নিম্নলিখিত কমান্ড দ্বারা চালু করা একটি ACK বন্যার প্রতিক্রিয়া এখানে রয়েছে:

sudo ip netns exec xdp-test   hping3 --flood -A -s 1111 -p 2222 192.0.2.1

লগ এন্ট্রি:

Ether(proto=0x800)
  IP(src=0x15bd11a dst=0x15bd11e proto=6)
    TCP(sport=3236 dport=2222 flags=0x10)
      cookie mismatch

উপসংহার

কখনও কখনও সাধারণভাবে eBPF এবং বিশেষ করে XDP একটি ডেভেলপমেন্ট প্ল্যাটফর্মের চেয়ে একটি উন্নত প্রশাসকের টুল হিসাবে বেশি উপস্থাপিত হয়। প্রকৃতপক্ষে, XDP হল কার্নেল দ্বারা প্যাকেটের প্রক্রিয়াকরণে হস্তক্ষেপ করার একটি টুল, এবং কার্নেল স্ট্যাকের বিকল্প নয়, যেমন DPDK এবং অন্যান্য কার্নেল বাইপাস বিকল্প। অন্যদিকে, XDP আপনাকে বেশ জটিল যুক্তি প্রয়োগ করতে দেয়, যা, ট্রাফিক প্রক্রিয়াকরণে বাধা ছাড়াই আপডেট করা সহজ। যাচাইকারী বড় সমস্যা তৈরি করে না; ব্যক্তিগতভাবে, আমি ইউজারস্পেস কোডের অংশগুলির জন্য এটি প্রত্যাখ্যান করব না।

দ্বিতীয় অংশে, বিষয়টি আকর্ষণীয় হলে, আমরা যাচাইকৃত ক্লায়েন্ট এবং সংযোগ বিচ্ছিন্ন করার টেবিলটি সম্পূর্ণ করব, কাউন্টারগুলি প্রয়োগ করব এবং ফিল্টার পরিচালনা করার জন্য একটি ইউজারস্পেস ইউটিলিটি লিখব।

রেফারেন্স:

• GitHub-এ সম্পূর্ণ কোড
• bpftrace চিট শীট
• BPF এবং XDP রেফারেন্স গাইড
• XDP টিউটোরিয়াল
• PoC: Rust থেকে eBPF-এ কম্পাইল করা

উত্স: www.habr.com