Cloudflare는 XDP 하위 시스템을 기반으로 하는 트래픽 분석기인 xdpcap을 게시했습니다.

Cloudflare 회사 제시 프로젝트 열기 xdpcap, 하위 시스템을 기반으로 구축된 tcpdump와 유사한 네트워크 패킷 분석기가 개발되고 있습니다. XDP (eXpress 데이터 경로). 프로젝트 코드는 Go로 작성되었으며 배포자 BSD 라이센스에 따라. 프로젝트도 준비된 Go 애플리케이션의 eBPF 트래픽 핸들러를 바인딩하기 위한 라이브러리입니다.

xdpcap 유틸리티는 tcpdump/libpcap 필터링 표현식과 호환되며 동일한 하드웨어에서 훨씬 더 많은 양의 트래픽을 처리할 수 있습니다. Xdpcap은 Linux 커널 네트워킹 스택(tcpdump)에 의해 처리되기 전에 패킷을 처리하는 Linux 커널 XDP 하위 시스템을 사용하는 필터링, DoS 보호 및 로드 밸런싱 시스템과 같이 일반 tcpdump가 적용되지 않는 환경에서 디버깅에도 사용할 수 있습니다. XDP 처리기에 의해 삭제된 패킷은 표시되지 않습니다.

eBPF 및 XDP 하위 시스템을 사용하여 고성능을 달성합니다. eBPF는 Linux 커널에 내장된 바이트코드 인터프리터로, 이를 통해 수신/발신 패킷의 전달 또는 폐기 결정을 내리는 고성능 핸들러를 생성할 수 있습니다. JIT 컴파일러를 사용하면 eBPF 바이트코드가 즉시 기계 명령어로 변환되고 네이티브 코드 성능으로 실행됩니다. XDP(eXpress Data Path) 하위 시스템은 네트워크 드라이버 수준에서 BPF 프로그램을 실행할 수 있는 기능으로 eBPF를 보완하며, DMA 패킷 버퍼에 대한 직접 액세스를 지원하고 skbuff 버퍼가 네트워크 스택에 의해 할당되기 전 단계에서 작동합니다.

tcpdump와 마찬가지로 xdpcap 유틸리티는 먼저 표준 libpcap 라이브러리를 사용하여 상위 수준 트래픽 필터링 규칙을 cBPF(클래식 BPF 표현)로 변환한 다음 컴파일러를 사용하여 이를 eBPF 루틴 형식으로 변환합니다. cbpfc, LLVM/Clang 개발을 사용합니다. 출력 시 트래픽 정보는 표준 pcap 형식으로 저장되므로 tcpdump 및 기타 기존 트래픽 분석기에서 후속 연구를 위해 xdpcap에서 준비된 트래픽 덤프를 사용할 수 있습니다. 예를 들어, DNS 트래픽 정보를 캡처하려면 "tcpdump ip and udp port 53" 명령을 사용하는 대신 "xdpcap /path/to/hook 캡처.pcap 'ip and udp port 53′"을 실행한 후 캡처를 사용할 수 있습니다. .pcap 파일(예: "tcpdump -r" 명령 사용 또는 Wireshark)

출처 : opennet.ru