Cloudflare פרסמה את xdpcap, מנתח תנועה המבוסס על תת-המערכת XDP

חברת Cloudflare מוצג פרוייקט פתוח xdpcap, שבתוכו מפתחים מנתח מנות רשת בדומה ל-tcpdump, בנוי על בסיס תת-המערכת XDP (נתיב נתונים של אקספרס). קוד הפרויקט כתוב ב- Go ו מופץ על ידי תחת רישיון BSD. גם הפרויקט מוּכָן ספרייה לקשירת מטפלי תעבורה eBPF מיישומי Go.

כלי השירות xdpcap תואם לביטויי סינון tcpdump/libpcap ומאפשר לך לעבד נפחי תעבורה גדולים משמעותית באותה חומרה. Xdpcap יכול לשמש גם לניפוי באגים בסביבות שבהן tcpdump רגיל אינו ישים, כגון סינון, הגנת DoS ומערכות איזון עומסים המשתמשות בתת-מערכת Linux kernel XDP, המעבדת מנות לפני שהן מעובדות על ידי מחסנית הרשת של ליבת לינוקס (tcpdump אינו רואה מנות שנפלו על ידי המטפל XDP).

ביצועים גבוהים מושגים באמצעות שימוש בתתי מערכות eBPF ו-XDP. eBPF הוא מתורגמן בתים מובנה בליבת לינוקס המאפשר לך ליצור מטפלים בעלי ביצועים גבוהים של מנות נכנסות/יוצאות עם החלטות לגבי העברה או השלכה. באמצעות מהדר JIT, eBPF bytecode מתורגם תוך כדי תנועה להוראות מכונה ומבוצע עם ביצועים של קוד מקורי. תת-מערכת ה-XDP (eXpress Data Path) משלימה את eBPF עם היכולת להריץ תוכניות BPF ברמת מנהל ההתקן של הרשת, עם תמיכה בגישה ישירה למאגר מנות ה-DMA ועבודה בשלב שלפני הקצאת מאגר skbuff על ידי מחסנית הרשת.

כמו tcpdump, כלי השירות xdpcap מתרגם תחילה כללי סינון תעבורה ברמה גבוהה לייצוג BPF הקלאסי (cBPF) באמצעות ספריית libpcap הסטנדרטית, ולאחר מכן ממירה אותם לצורת רוטינות eBPF באמצעות מהדר cbpfc, באמצעות פיתוחי LLVM/Clang. בפלט, מידע תעבורה נשמר בפורמט ה-pcap הסטנדרטי, המאפשר לך להשתמש ב-Traffic dump שהוכן ב-xdpcap למחקר אחר כך ב-tcpdump ובמנתחי תעבורה קיימים אחרים. לדוגמה, כדי ללכוד מידע על תעבורת DNS, במקום להשתמש בפקודה "tcpdump ip and udp port 53", אתה יכול להריץ את "xdpcap /path/to/hook capture.pcap 'ip and udp port 53'" ולאחר מכן להשתמש ב-capture קובץ .pcap, למשל עם הפקודה "tcpdump -r" או ב-Wireshark.

מקור: OpenNet.ru