Cuideachta Cloudflare tionscadal oscailte , ina bhfuil anailíseoir paicéad líonra cosúil le tcpdump á fhorbairt, bunaithe ar an bhfochóras (Conair Sonraí eXpress). Tá cód an tionscadail scríofa in Téigh agus faoi cheadúnas BSD. An tionscadal freisin leabharlann le haghaidh láimhseálaithe tráchta ceangailteacha eBPF ó fheidhmchláir Go.
Tá an áirgiúlacht xdpcap comhoiriúnach le slonn scagtha tcpdump/libpcap agus ligeann sé duit méideanna tráchta i bhfad níos mó a phróiseáil ar na crua-earraí céanna. Is féidir Xdpcap a úsáid freisin le haghaidh dífhabhtaithe i dtimpeallachtaí nach bhfuil tcpdump rialta infheidhme, mar scagadh, cosaint DoS, agus córais cothromaithe ualaigh a úsáideann fochóras XDP eithne Linux, a phróiseálann paicéid sula ndéanann cruach líonraithe eithne Linux iad a phróiseáil (tcpdump Ní fheiceann an láimhseálaí XDP paicéid a thit).
Baintear ardfheidhmíocht amach trí úsáid a bhaint as fochórais eBPF agus XDP. Is ateangaire bytecode é eBPF atá ionsuite in eithne Linux a ligeann duit láimhseálaithe ardfheidhmíochta paicéid isteach/amach a chruthú le cinntí maidir le cur ar aghaidh nó iad a chaitheamh amach. Ag baint úsáide as tiomsaitheoir JIT, aistrítear bytecode eBPF ar an eitilt go treoracha meaisín agus déantar é a fheidhmiú le feidhmiú an chóid dhúchais. Comhlánaíonn fochóras XDP (Conair Sonraí eXpress) eBPF leis an gcumas cláir BPF a reáchtáil ag leibhéal an tiománaí líonra, le tacaíocht do rochtain dhíreach ar mhaolán paicéad DMA agus oibriú ag an gcéim sula leithdháileann an stack líonra an maolán skbuff.
Cosúil le tcpdump, aistríonn an fóntais xdpcap rialacha scagtha tráchta ardleibhéil ar dtús i léiriú clasaiceach BPF (cBPF) ag baint úsáide as an leabharlann libpcap caighdeánach, agus ansin iad a thiontú i bhfoirm gnáthaimh eBPF ag baint úsáide as tiomsaitheoir. , ag baint úsáide as forbairtí LLVM/Clang. Ag an aschur, sábhálfar faisnéis tráchta sa bhformáid chaighdeánach pcap, rud a ligeann duit dumpáil tráchta a ullmhaítear i xdpcap a úsáid le haghaidh staidéar ina dhiaidh sin i tcpdump agus anailíseoirí tráchta eile atá ann cheana féin. Mar shampla, chun faisnéis tráchta DNS a ghabháil, in ionad an t-ordú "tcpdump ip agus udp port 53" a úsáid, d'fhéadfá "xdpcap /path/to/hook capture.pcap 'ip and udp port 53′" a rith agus ansin gabháil a úsáid .pcap, m.sh. leis an ordú "tcpdump -r" nó i Wireshark.
Foinse: oscailtenet.ru