Companaidh Cloudflare pròiseact fosgailte , anns a bheil anailisiche pacaid lìonra coltach ri tcpdump ga leasachadh, air a thogail air bunait an fho-shiostam (Slighe Dàta eXpress). Tha còd a’ phròiseict sgrìobhte ann an Go agus fo chead BSD. Tha am pròiseact cuideachd leabharlann airson luchd-làimhseachaidh trafaic eBPF a cheangal bho thagraidhean Go.
Tha an goireas xdpcap co-chòrdail ri abairtean sìoltachaidh tcpdump/libpcap agus leigidh e leat meudan trafaic gu math nas motha a phròiseasadh air an aon bhathar-cruaidh. Faodar Xdpcap a chleachdadh cuideachd airson dì-bhugachadh ann an àrainneachdan far nach eil tcpdump cunbhalach iomchaidh, leithid sìoladh, dìon DoS, agus siostaman cothromachaidh luchdan a bhios a’ cleachdadh fo-shiostam Linux kernel XDP, a bhios a’ giullachd phasganan mus tèid an giullachd leis an stac lìonraidh kernel Linux (tcpdump). chan eil e a’ faicinn pacaidean air an leigeil sìos leis an neach-làimhseachaidh XDP).
Tha coileanadh àrd air a choileanadh tro bhith a’ cleachdadh fo-shiostaman eBPF agus XDP. Tha eBPF na eadar-theangair bytecode a chaidh a thogail a-steach don kernel Linux a leigeas leat luchd-làimhseachaidh àrd-choileanadh a chruthachadh de phasganan a-steach / a-mach le co-dhùnaidhean mu bhith gan cur air adhart no gan toirt air falbh. A’ cleachdadh inneal-cruinneachaidh JIT, tha bytecode eBPF air eadar-theangachadh air an itealan gu stiùireadh inneal agus air a chur gu bàs le coileanadh còd dùthchasach. Bidh fo-shiostam XDP (eXpress Data Path) a’ cur ri eBPF leis a’ chomas air prògraman BPF a ruith aig ìre draibhear lìonra, le taic airson ruigsinneachd dìreach air bufair pacaid DMA agus obair aig an ìre mus tèid am bufair skbuff a riarachadh leis a’ chruach lìonra.
Coltach ri tcpdump, bidh an goireas xdpcap an-toiseach ag eadar-theangachadh riaghailtean sìolaidh trafaic àrd-ìre gu riochdachadh clasaigeach BPF (cBPF) a ’cleachdadh an leabharlann libpcap àbhaisteach, agus an uairsin gan tionndadh gu cruth cleachdaidhean eBPF a’ cleachdadh inneal-cruinneachaidh. , a' cleachdadh leasachaidhean LLVM/Clang. Aig an toradh, thèid fiosrachadh trafaic a shàbhaladh anns a’ chruth pcap àbhaisteach, a leigeas leat cnap trafaic ullachadh ann an xdpcap a chleachdadh airson sgrùdadh às deidh sin ann an tcpdump agus sgrùdairean trafaic eile a tha ann mar-thà. Mar eisimpleir, gus fiosrachadh trafaic DNS a ghlacadh, an àite an àithne “tcpdump ip agus udp port 53” a chleachdadh, faodaidh tu “xdpcap /path/to/hook capture.pcap’ ip and udp port 53′” a ruith agus an uairsin grèim a chleachdadh .pcap, me leis an àithne "tcpdump -r" no ann an Wireshark.
Source: fosgailtenet.ru