🥇Mēs rakstām aizsardzību pret DDoS uzbrukumiem XDP. Kodoldaļa

eXpress Data Path (XDP) tehnoloģija ļauj veikt nejaušu trafika apstrādi Linux saskarnēs, pirms paketes nonāk kodola tīkla kaudzē. XDP pielietojums - aizsardzība pret DDoS uzbrukumiem (CloudFlare), sarežģīti filtri, statistikas apkopošana (Netflix). XDP programmas izpilda eBPF virtuālā mašīna, tāpēc tām ir ierobežojumi gan kodam, gan pieejamajām kodola funkcijām atkarībā no filtra veida.

Raksts ir paredzēts, lai aizpildītu daudzu XDP materiālu trūkumus. Pirmkārt, tie nodrošina gatavu kodu, kas nekavējoties apiet XDP funkcijas: tas ir sagatavots pārbaudei vai ir pārāk vienkāršs, lai radītu problēmas. Mēģinot rakstīt kodu no jauna, jums nav ne jausmas, ko darīt ar tipiskām kļūdām. Otrkārt, nav ietverti veidi, kā lokāli pārbaudīt XDP bez virtuālās mašīnas un aparatūras, neskatoties uz to, ka tiem ir savas nepilnības. Teksts ir paredzēts programmētājiem, kuri pārzina tīklu un Linux, kurus interesē XDP un eBPF.

Šajā daļā mēs detalizēti sapratīsim, kā tiek salikts XDP filtrs un kā to pārbaudīt, pēc tam uzrakstīsim vienkāršu versiju par labi zināmo SYN sīkfailu mehānismu pakešu apstrādes līmenī. Mēs vēl neveidosim “balto sarakstu”.
verificēti klienti, uzturēt skaitītājus un pārvaldīt filtru - pietiekami daudz žurnālu.

Mēs rakstīsim C — tas nav modē, bet tas ir praktiski. Viss kods ir pieejams GitHub, izmantojot saiti beigās, un ir sadalīts saistībās saskaņā ar rakstā aprakstītajiem posmiem.

Atruna Šī raksta laikā es izstrādāšu mini risinājumu, lai novērstu DDoS uzbrukumus, jo tas ir reāls XDP un manas kompetences jomas uzdevums. Tomēr galvenais mērķis ir izprast tehnoloģiju; tas nav ceļvedis gatavas aizsardzības izveidošanai. Apmācības kods nav optimizēts un izlaiž dažas nianses.

XDP īss pārskats

Es izklāstīšu tikai galvenos punktus, lai nedublētos dokumentācija un esošie raksti.

Tātad filtra kods tiek ielādēts kodolā. Ienākošās paketes tiek nodotas filtram. Rezultātā filtram ir jāpieņem lēmums: nodot paketi kodolā (XDP_PASS), nomest paciņu (XDP_DROP) vai nosūtīt atpakaļ (XDP_TX). Filtrs var mainīt iepakojumu, jo īpaši tas attiecas uz XDP_TX. Varat arī pārtraukt programmu (XDP_ABORTED) un atiestatiet pakotni, taču tas ir līdzīgi assert(0) - atkļūdošanai.

eBPF (paplašinātais Berkley pakešu filtrs) virtuālā mašīna ir apzināti vienkārša, lai kodols varētu pārbaudīt, vai kods neveidojas cilpa un nebojā citu cilvēku atmiņu. Kumulatīvie ierobežojumi un pārbaudes:

Cilpas (atpakaļ) ir aizliegtas.
Ir datu steks, bet nav funkciju (visām C funkcijām jābūt iekļautām).
Piekļuve atmiņai ārpus steka un pakešu bufera ir aizliegta.
Koda lielums ir ierobežots, taču praksē tas nav īpaši nozīmīgi.
Ir atļauti tikai izsaukumi uz īpašām kodola funkcijām (eBPF palīgiem).

Filtra projektēšana un uzstādīšana izskatās šādi:

Avota kods (piem kernel.c) ir apkopots objektā (kernel.o) eBPF virtuālās mašīnas arhitektūrai. No 2019. gada oktobra kompilāciju eBPF atbalsta Clang un sola GCC 10.1.
Ja šis objekta kods satur izsaukumus uz kodola struktūrām (piemēram, tabulām un skaitītājiem), to ID tiek aizstāti ar nullēm, kas nozīmē, ka šādu kodu nevar izpildīt. Pirms ielādēšanas kodolā šīs nulles jāaizstāj ar konkrētu objektu ID, kas izveidoti, izmantojot kodola izsaukumus (saistiet kodu). To var izdarīt, izmantojot ārējās utilītas, vai arī varat uzrakstīt programmu, kas saistīs un ielādēs noteiktu filtru.
Kodols pārbauda ielādēto programmu. Tiek pārbaudīts ciklu neesamība un nespēja pārsniegt pakešu un steku robežas. Ja pārbaudītājs nevar pierādīt, ka kods ir pareizs, programma tiek noraidīta - jums ir jāspēj viņu iepriecināt.
Pēc veiksmīgas pārbaudes kodols apkopo eBPF arhitektūras objekta kodu sistēmas arhitektūras mašīnkodā (tieši laikā).
Programma pievienojas saskarnei un sāk apstrādāt pakešus.

Tā kā XDP darbojas kodolā, atkļūdošana tiek veikta, izmantojot izsekošanas žurnālus un faktiski paketes, kuras programma filtrē vai ģenerē. Tomēr eBPF nodrošina, ka lejupielādētais kods ir drošs sistēmai, lai jūs varētu eksperimentēt ar XDP tieši savā vietējā Linux.

Vides sagatavošana

Montāža

Clang nevar tieši radīt objekta kodu eBPF arhitektūrai, tāpēc process sastāv no diviem posmiem:

Kompilējiet C kodu LLVM baitkodā (clang -emit-llvm).
Konvertēt baitkodu par eBPF objekta kodu (llc -march=bpf -filetype=obj).

Rakstot filtru, noderēs pāris faili ar palīgfunkcijām un makro no kodola testiem. Ir svarīgi, lai tie atbilstu kodola versijai (KVER). Lejupielādējiet tos uz helpers/:

export KVER=v5.3.7
export BASE=https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/plain/tools/testing/selftests/bpf
wget -P helpers --content-disposition "${BASE}/bpf_helpers.h?h=${KVER}" "${BASE}/bpf_endian.h?h=${KVER}"
unset KVER BASE

Makefile operētājsistēmai Arch Linux (kodolu 5.3.7):

CLANG ?= clang
LLC ?= llc

KDIR ?= /lib/modules/$(shell uname -r)/build
ARCH ?= $(subst x86_64,x86,$(shell uname -m))

CFLAGS = 
    -Ihelpers 
    
    -I$(KDIR)/include 
    -I$(KDIR)/include/uapi 
    -I$(KDIR)/include/generated/uapi 
    -I$(KDIR)/arch/$(ARCH)/include 
    -I$(KDIR)/arch/$(ARCH)/include/generated 
    -I$(KDIR)/arch/$(ARCH)/include/uapi 
    -I$(KDIR)/arch/$(ARCH)/include/generated/uapi 
    -D__KERNEL__ 
    
    -fno-stack-protector -O2 -g

xdp_%.o: xdp_%.c Makefile
    $(CLANG) -c -emit-llvm $(CFLAGS) $< -o - | 
    $(LLC) -march=bpf -filetype=obj -o $@

.PHONY: all clean

all: xdp_filter.o

clean:
    rm -f ./*.o

KDIR satur ceļu uz kodola galvenēm, ARCH — sistēmas arhitektūra. Dažādos izplatījumos ceļi un rīki var nedaudz atšķirties.

Debian 10 atšķirību piemērs (kodolu 4.19.67)

# другая команда
CLANG ?= clang
LLC ?= llc-7

# другой каталог
KDIR ?= /usr/src/linux-headers-$(shell uname -r)
ARCH ?= $(subst x86_64,x86,$(shell uname -m))

# два дополнительных каталога -I
CFLAGS = 
    -Ihelpers 
    
    -I/usr/src/linux-headers-4.19.0-6-common/include 
    -I/usr/src/linux-headers-4.19.0-6-common/arch/$(ARCH)/include 
    # далее без изменений

CFLAGS savienojiet direktoriju ar papildu galvenēm un vairākus direktorijus ar kodola galvenēm. Simbols __KERNEL__ nozīmē, ka UAPI (lietotāja telpas API) galvenes ir definētas kodola kodam, jo filtrs tiek izpildīts kodolā.

Stacka aizsardzību var atspējot (-fno-stack-protector), jo eBPF koda verificētājs joprojām pārbauda, vai nav pārkāptas steka ārpus robežām. Optimizāciju ir vērts ieslēgt uzreiz, jo eBPF baitkoda lielums ir ierobežots.

Sāksim ar filtru, kas iztur visas paketes un neko nedara:

#include <uapi/linux/bpf.h>

#include <bpf_helpers.h>

SEC("prog")
int xdp_main(struct xdp_md* ctx) {
    return XDP_PASS;
}

char _license[] SEC("license") = "GPL";

Komanda make savāc xdp_filter.o. Kur to tagad izmēģināt?

Testa stends

Stendā jāiekļauj divas saskarnes: uz kuras būs filtrs un no kuras tiks sūtītas paketes. Tām ir jābūt pilnvērtīgām Linux ierīcēm ar saviem IP, lai pārbaudītu, kā parastās lietojumprogrammas darbojas ar mūsu filtru.

Mums ir piemērotas veth (virtuālā Ethernet) tipa ierīces: tie ir virtuālo tīkla interfeisu pāris, kas “savienoti” tieši viens ar otru. Jūs varat tos izveidot šādi (šajā sadaļā visas komandas ip tiek veiktas no root):

ip link add xdp-remote type veth peer name xdp-local

Šeit xdp-remote и xdp-local — ierīču nosaukumi. Ieslēgts xdp-local (192.0.2.1/24) tiks pievienots filtrs, ar xdp-remote (192.0.2.2/24) tiks nosūtīta ienākošā trafika. Tomēr pastāv problēma: saskarnes atrodas tajā pašā datorā, un Linux nenosūtīs trafiku uz vienu no tiem caur otru. To var atrisināt ar sarežģītiem noteikumiem iptables, taču viņiem būs jāmaina pakotnes, kas ir neērti atkļūdošanai. Labāk ir izmantot tīkla nosaukumu telpas (turpmāk netns).

Tīkla nosaukumvieta satur saskarņu, maršrutēšanas tabulu un NetFilter kārtulu kopu, kas ir izolētas no līdzīgiem objektiem citos netns. Katrs process darbojas nosaukumvietā, un tam ir piekļuve tikai šī netns objektiem. Pēc noklusējuma sistēmai ir viena tīkla nosaukumvieta visiem objektiem, lai jūs varētu strādāt operētājsistēmā Linux un nezināt par netns.

Izveidosim jaunu nosaukumvietu xdp-test un pārvietojiet to uz turieni xdp-remote.

ip netns add xdp-test
ip link set dev xdp-remote netns xdp-test

Pēc tam process sākas xdp-test, "neredzēs" xdp-local (pēc noklusējuma tas paliks netns) un, nosūtot paketi uz 192.0.2.1, tā to nodos cauri xdp-remotejo tā ir vienīgā saskarne 192.0.2.0/24, kas pieejama šim procesam. Tas darbojas arī pretējā virzienā.

Pārvietojoties starp netns, saskarne pazūd un zaudē adresi. Lai konfigurētu saskarni netns, jums ir jāpalaiž ip ... šajā komandas nosaukumvietā ip netns exec:

ip netns exec xdp-test 
    ip address add 192.0.2.2/24 dev xdp-remote
ip netns exec xdp-test 
    ip link set xdp-remote up

Kā redzat, tas neatšķiras no iestatījuma xdp-local noklusējuma nosaukumvietā:

    ip address add 192.0.2.1/24 dev xdp-local
    ip link set xdp-local up

Ja tu skrien tcpdump -tnevi xdp-local, jūs varat redzēt, ka paketes nosūtītas no xdp-test, tiek piegādāti uz šo interfeisu:

ip netns exec xdp-test   ping 192.0.2.1

Ir ērti palaist čaulu xdp-test. Repozitorijā ir skripts, kas automatizē darbu ar stendu, piemēram, stendu var konfigurēt ar komandu sudo ./stand up un izdzēsiet to sudo ./stand down.

Izsekošana

Filtrs ir saistīts ar ierīci šādi:

ip -force link set dev xdp-local xdp object xdp_filter.o verbose

Taustiņš -force nepieciešams, lai saistītu jaunu programmu, ja cita jau ir saistīta. “Nav ziņu nav labas ziņas” nav par šo komandu, secinājums jebkurā gadījumā ir apjomīgs. norādīt verbose neobligāti, bet kopā ar to tiek parādīts ziņojums par koda verificētāja darbu ar montāžas sarakstu:

Verifier analysis:

0: (b7) r0 = 2
1: (95) exit

Atsaistīt programmu no saskarnes:

ip link set dev xdp-local xdp off

Skriptā tās ir komandas sudo ./stand attach и sudo ./stand detach.

Par to varat pārliecināties, pievienojot filtru ping turpina darboties, bet vai programma darbojas? Pievienosim žurnālus. Funkcija bpf_trace_printk() līdzīgs printf(), bet atbalsta tikai līdz trim argumentiem, izņemot modeli, un ierobežotu specifikāciju sarakstu. Makro bpf_printk() vienkāršo zvanu.

   SEC("prog")
   int xdp_main(struct xdp_md* ctx) {
+      bpf_printk("got packet: %pn", ctx);
       return XDP_PASS;
   }

Izvade tiek nosūtīta uz kodola izsekošanas kanālu, kas ir jāiespējo:

echo -n 1 | sudo tee /sys/kernel/debug/tracing/options/trace_printk

Skatīt ziņojuma pavedienu:

cat /sys/kernel/debug/tracing/trace_pipe

Abas šīs komandas veic zvanu sudo ./stand log.

Ping tagad vajadzētu aktivizēt šādus ziņojumus:

<...>-110930 [004] ..s1 78803.244967: 0: got packet: 00000000ac510377

Ja uzmanīgi aplūkosit verificētāja izvadi, jūs pamanīsit dīvainus aprēķinus:

0: (bf) r3 = r1
1: (18) r1 = 0xa7025203a7465
3: (7b) *(u64 *)(r10 -8) = r1
4: (18) r1 = 0x6b63617020746f67
6: (7b) *(u64 *)(r10 -16) = r1
7: (bf) r1 = r10
8: (07) r1 += -16
9: (b7) r2 = 16
10: (85) call bpf_trace_printk#6
<...>

Fakts ir tāds, ka eBPF programmām nav datu sadaļas, tāpēc vienīgais veids, kā kodēt formāta virkni, ir tiešie VM komandu argumenti:

$ python -c "import binascii; print(bytes(reversed(binascii.unhexlify('0a7025203a74656b63617020746f67'))))"
b'got packet: %pn'

Šī iemesla dēļ atkļūdošanas izvade ievērojami palielina iegūto kodu.

XDP pakešu sūtīšana

Mainīsim filtru: ļaujiet tam sūtīt atpakaļ visas ienākošās paketes. Tas ir nepareizi no tīkla viedokļa, jo būtu jāmaina adreses galvenēs, bet tagad darbs principā ir svarīgs.

       bpf_printk("got packet: %pn", ctx);
-      return XDP_PASS;
+      return XDP_TX;
   }

Palaist tcpdump par xdp-remote. Tam ir jāparāda identisks izejošais un ienākošais ICMP atbalss pieprasījums un jāpārtrauc rādīt ICMP atbalss atbildi. Bet tas neparādās. Izrādās, ka darbam XDP_TX programmā ieslēgts xdp-local ir nepieciešamauz pāra saskarni xdp-remote tika piešķirta arī programma, pat ja tā bija tukša, un viņš tika audzināts.

Kā es to uzzināju?

Izsekojiet pakotnes ceļu kodolā Perf notikumu mehānisms, starp citu, ļauj izmantot to pašu virtuālo mašīnu, tas ir, eBPF tiek izmantots demontāžai ar eBPF.

No ļauna ir jāizdara labs, jo nav nekā cita, no kā to izdarīt.

$ sudo perf trace --call-graph dwarf -e 'xdp:*'
   0.000 ping/123455 xdp:xdp_bulk_tx:ifindex=19 action=TX sent=0 drops=1 err=-6
                                     veth_xdp_flush_bq ([veth])
                                     veth_xdp_flush_bq ([veth])
                                     veth_poll ([veth])
                                     <...>

Kas ir kods 6?

$ errno 6
ENXIO 6 No such device or address

Funkcija veth_xdp_flush_bq() saņem kļūdas kodu no veth_xdp_xmit(), kur meklēt pēc ENXIO un atrodiet komentāru.

Atjaunosim minimālo filtru (XDP_PASS) failā xdp_dummy.c, pievienojiet to Makefile, piesaistiet to xdp-remote:

ip netns exec remote 
    ip link set dev int xdp object dummy.o

Tagad tcpdump parāda, kas tiek gaidīts:

62:57:8e:70:44:64 > 26:0e:25:37:8f:96, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 13762, offset 0, flags [DF], proto ICMP (1), length 84)
    192.0.2.2 > 192.0.2.1: ICMP echo request, id 46966, seq 1, length 64
62:57:8e:70:44:64 > 26:0e:25:37:8f:96, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 13762, offset 0, flags [DF], proto ICMP (1), length 84)
    192.0.2.2 > 192.0.2.1: ICMP echo request, id 46966, seq 1, length 64

Ja tā vietā tiek rādīti tikai ARP, jums ir jānoņem filtri (tas tiek darīts sudo ./stand detach), atlaidiet ping, pēc tam iestatiet filtrus un mēģiniet vēlreiz. Problēma ir tāda, ka filtrs XDP_TX derīga gan ARP, gan ja steka
nosaukumvietas xdp-test izdevās “aizmirst” MAC adresi 192.0.2.1, tas nevarēs atrisināt šo IP.

Problēmas paziņojums

Pārejam pie norādītā uzdevuma: uzrakstiet SYN sīkfailu mehānismu uz XDP.

SYN plūdi joprojām ir populārs DDoS uzbrukums, kura būtība ir šāda. Kad savienojums ir izveidots (TCP rokasspiediens), serveris saņem SYN, piešķir resursus turpmākajam savienojumam, atbild ar SYNACK paketi un gaida ACK. Uzbrucējs vienkārši nosūta tūkstošiem SYN pakešu sekundē no viltotām adresēm no katra saimniekdatora vairāku tūkstošu robotu tīklā. Serveris ir spiests piešķirt resursus uzreiz pēc paketes pienākšanas, bet atbrīvo tos pēc liela taimauta, kā rezultātā tiek iztērēta atmiņa vai ierobežojumi, jauni savienojumi netiek pieņemti un pakalpojums nav pieejams.

Ja jūs nepiešķirat resursus, pamatojoties uz SYN paketi, bet atbildat tikai ar SYNACK paketi, kā tad serveris var saprast, ka ACK pakete, kas tika saņemta vēlāk, attiecas uz SYN paketi, kas netika saglabāta? Galu galā uzbrucējs var ģenerēt arī viltotus ACK. SYN sīkfaila mērķis ir to iekodēt seqnum savienojuma parametrus kā adrešu, portu un mainīgo sāls jauktu. Ja ACK izdevās saņemt pirms sāls maiņas, varat vēlreiz aprēķināt hash un salīdzināt to ar acknum. Kalts acknum uzbrucējs nevar, jo sāls ietver noslēpumu, un ierobežotā kanāla dēļ viņam nebūs laika to šķirot.

SYN sīkfails jau sen ir ieviests Linux kodolā, un to var pat automātiski iespējot, ja SYN pienāk pārāk ātri un masveidā.

Izglītības programma par TCP rokasspiedienu

TCP nodrošina datu pārraidi kā baitu straumi, piemēram, HTTP pieprasījumi tiek pārsūtīti pa TCP. Straume tiek pārraidīta gabalos pa paketēm. Visām TCP paketēm ir loģiski karodziņi un 32 bitu kārtas numuri:

Karogu kombinācija nosaka konkrētas pakotnes lomu. SYN karodziņš norāda, ka šī ir sūtītāja pirmā pakete savienojumā. ACK karodziņš nozīmē, ka sūtītājs ir saņēmis visus savienojuma datus līdz baitam acknum. Paketei var būt vairāki karodziņi, un to izsauc pēc to kombinācijas, piemēram, SYNACK pakete.
Secības numurs (seqnum) norāda nobīdi datu straumē pirmajam baitam, kas tiek pārsūtīts šajā paketē. Piemēram, ja pirmajā paketē ar X baitiem datu šis skaitlis bija N, tad nākamajā paketē ar jauniem datiem tas būs N+X. Savienojuma sākumā katra puse izvēlas šo numuru nejauši.
Apstiprinājuma numurs (acnum) - tāda pati nobīde kā seqnum, taču tas nenosaka pārsūtāmā baita numuru, bet gan pirmā baita numuru no adresāta, kuru sūtītājs neredzēja.

Savienojuma sākumā pusēm ir jāvienojas seqnum и acknum. Klients kopā ar to nosūta SYN paketi seqnum = X. Serveris atbild ar SYNACK paketi, kur tas ieraksta to seqnum = Y un atmasko acknum = X + 1. Klients atbild uz SYNACK ar ACK paketi, kur seqnum = X + 1, acknum = Y + 1. Pēc tam sākas faktiskā datu pārsūtīšana.

Ja partneris neapstiprina paketes saņemšanu, TCP pēc taimauta to nosūta atkārtoti.

Kāpēc ne vienmēr tiek izmantotas SYN sīkdatnes?

Pirmkārt, ja SYNACK vai ACK tiek zaudēts, jums būs jāgaida, līdz tas tiks nosūtīts vēlreiz - savienojuma iestatīšana palēnināsies. Otrkārt, SYN pakotnē - un tikai tajā! — tiek pārraidītas vairākas opcijas, kas ietekmē savienojuma turpmāko darbību. Neatceroties ienākošās SYN paketes, serveris ignorē šīs opcijas; klients tās nesūtīs nākamajās paketēs. TCP šajā gadījumā var darboties, taču vismaz sākotnējā posmā savienojuma kvalitāte samazināsies.

Runājot par pakotnēm, XDP programmai ir jāveic šādas darbības:

atbildēt uz SYN ar SYNACK ar sīkfailu;
atbildēt uz ACK ar RST (atvienot);
izmetiet atlikušās paketes.

Algoritma pseidokods kopā ar pakotnes parsēšanu:

Если это не Ethernet,
    пропустить пакет.
Если это не IPv4,
    пропустить пакет.
Если адрес в таблице проверенных,               (*)
        уменьшить счетчик оставшихся проверок,
        пропустить пакет.
Если это не TCP,
    сбросить пакет.     (**)
Если это SYN,
    ответить SYN-ACK с cookie.
Если это ACK,
    если в acknum лежит не cookie,
        сбросить пакет.
    Занести в таблицу адрес с N оставшихся проверок.    (*)
    Ответить RST.   (**)
В остальных случаях сбросить пакет.

Viens (*) ir atzīmēti punkti, kur jums jāpārvalda sistēmas stāvoklis - pirmajā posmā jūs varat iztikt bez tiem, vienkārši ieviešot TCP rokasspiedienu ar SYN sīkfaila ģenerēšanu kā secību.

Uz vietas (**), kamēr mums nav galda, mēs izlaidīsim paciņu.

TCP rokasspiediena ieviešana

Paka parsēšana un koda pārbaude

Mums būs nepieciešamas tīkla galvenes struktūras: Ethernet (uapi/linux/if_ether.h), IPv4 (uapi/linux/ip.h) un TCP (uapi/linux/tcp.h). Es nevarēju savienot pēdējo kļūdu dēļ, kas saistītas ar atomic64_t, man vajadzēja iekopēt kodā nepieciešamās definīcijas.

Visas funkcijas, kas ir izceltas C, lai nodrošinātu lasāmību, ir jāiekļauj izsaukuma punktā, jo eBPF verificētājs kodolā aizliedz atpakaļsekošanu, tas ir, cilpas un funkciju izsaukumus.

#define INTERNAL static __attribute__((always_inline))

Makro LOG() atspējo drukāšanu izlaiduma versijā.

Programma ir funkciju konveijers. Katrs saņem paketi, kurā ir izcelta atbilstošā līmeņa galvene, piemēram, process_ether() sagaida, ka tas tiks aizpildīts ether. Pamatojoties uz lauka analīzes rezultātiem, funkcija var nodot paketi augstākam līmenim. Funkcijas rezultāts ir XDP darbība. Pagaidām SYN un ACK apstrādātāji nodod visas paketes.

struct Packet {
    struct xdp_md* ctx;

    struct ethhdr* ether;
    struct iphdr* ip;
    struct tcphdr* tcp;
};

INTERNAL int process_tcp_syn(struct Packet* packet) { return XDP_PASS; }
INTERNAL int process_tcp_ack(struct Packet* packet) { return XDP_PASS; }
INTERNAL int process_tcp(struct Packet* packet) { ... }
INTERNAL int process_ip(struct Packet* packet) { ... }

INTERNAL int
process_ether(struct Packet* packet) {
    struct ethhdr* ether = packet->ether;

    LOG("Ether(proto=0x%x)", bpf_ntohs(ether->h_proto));

    if (ether->h_proto != bpf_ntohs(ETH_P_IP)) {
        return XDP_PASS;
    }

    // B
    struct iphdr* ip = (struct iphdr*)(ether + 1);
    if ((void*)(ip + 1) > (void*)packet->ctx->data_end) {
        return XDP_DROP; /* malformed packet */
    }

    packet->ip = ip;
    return process_ip(packet);
}

SEC("prog")
int xdp_main(struct xdp_md* ctx) {
    struct Packet packet;
    packet.ctx = ctx;

    // A
    struct ethhdr* ether = (struct ethhdr*)(void*)ctx->data;
    if ((void*)(ether + 1) > (void*)ctx->data_end) {
        return XDP_PASS;
    }

    packet.ether = ether;
    return process_ether(&packet);
}

Es vēršu jūsu uzmanību uz čekiem, kas atzīmēti ar A un B. Ja komentēsit A, programma tiks veidota, taču ielādes laikā tiks parādīta pārbaudes kļūda:

Verifier analysis:

<...>
11: (7b) *(u64 *)(r10 -48) = r1
12: (71) r3 = *(u8 *)(r7 +13)
invalid access to packet, off=13 size=1, R7(id=0,off=0,r=0)
R7 offset is outside of the packet
processed 11 insns (limit 1000000) max_states_per_insn 0 total_states 0 peak_states 0 mark_read 0

Error fetching program/map!

Atslēgu virkne invalid access to packet, off=13 size=1, R7(id=0,off=0,r=0): ir izpildes ceļi, kad trīspadsmitais baits no bufera sākuma atrodas ārpus paketes. No saraksta ir grūti saprast, par kuru rindiņu mēs runājam, taču ir instrukcijas numurs (12) un demontētājs, kas parāda avota koda rindas:

llvm-objdump -S xdp_filter.o | less

Šajā gadījumā tas norāda uz līniju

LOG("Ether(proto=0x%x)", bpf_ntohs(ether->h_proto));

kas skaidri parāda, ka problēma ir ether. Tas vienmēr būtu šādi.

Atbildēt uz SYN

Šajā posmā mērķis ir ģenerēt pareizu SYNACK paketi ar fiksētu seqnum, kas nākotnē tiks aizstāts ar SYN sīkfailu. Visas izmaiņas notiek iekšā process_tcp_syn() un apkārtējās teritorijas.

Pakas pārbaude

Savādi, bet šeit ir visievērojamākā līnija vai drīzāk tās komentārs:

/* Required to verify checksum calculation */
const void* data_end = (const void*)ctx->data_end;

Rakstot pirmo koda versiju, tika izmantots 5.1 kodols, kura pārbaudītājam bija atšķirība starp data_end и (const void*)ctx->data_end. Rakstīšanas laikā kodolam 5.3.1 nebija šīs problēmas. Iespējams, ka kompilators piekļuva lokālajam mainīgajam citādi nekā laukam. Stāsta morāle: koda vienkāršošana var palīdzēt, ja ir daudz ligzdošanas.

Nākamās ir kārtējās garuma pārbaudes, lai novērtētu verificētāja godību; O MAX_CSUM_BYTES zemāk.

const u32 ip_len = ip->ihl * 4;
if ((void*)ip + ip_len > data_end) {
    return XDP_DROP; /* malformed packet */
}
if (ip_len > MAX_CSUM_BYTES) {
    return XDP_ABORTED; /* implementation limitation */
}

const u32 tcp_len = tcp->doff * 4;
if ((void*)tcp + tcp_len > (void*)ctx->data_end) {
    return XDP_DROP; /* malformed packet */
}
if (tcp_len > MAX_CSUM_BYTES) {
    return XDP_ABORTED; /* implementation limitation */
}

Paciņas atlocīšana

Mēs aizpildām seqnum и acknum, iestatiet ACK (SYN jau ir iestatīts):

const u32 cookie = 42;
tcp->ack_seq = bpf_htonl(bpf_ntohl(tcp->seq) + 1);
tcp->seq = bpf_htonl(cookie);
tcp->ack = 1;

Apmainiet TCP portus, IP adreses un MAC adreses. Standarta bibliotēka nav pieejama no XDP programmas, tāpēc memcpy() — makro, kas slēpj Clang būtības.

const u16 temp_port = tcp->source;
tcp->source = tcp->dest;
tcp->dest = temp_port;

const u32 temp_ip = ip->saddr;
ip->saddr = ip->daddr;
ip->daddr = temp_ip;

struct ethhdr temp_ether = *ether;
memcpy(ether->h_dest, temp_ether.h_source, ETH_ALEN);
memcpy(ether->h_source, temp_ether.h_dest, ETH_ALEN);

Kontrolsummu pārrēķins

IPv4 un TCP kontrolsummās galvenēs ir jāpievieno visi 16 bitu vārdi, un tajos tiek ierakstīts galveņu lielums, tas ir, kompilēšanas laikā tas nav zināms. Tā ir problēma, jo pārbaudītājs neizlaidīs parasto cilpu uz robežas mainīgo. Bet galveņu lielums ir ierobežots: katrs līdz 64 baitiem. Varat izveidot cilpu ar noteiktu atkārtojumu skaitu, kas var beigties agri.

Es atzīmēju, ka ir RFC 1624 par to, kā daļēji pārrēķināt kontrolsummu, ja tiek mainīti tikai pakotņu fiksētie vārdi. Tomēr metode nav universāla, un to būtu grūtāk uzturēt.

Kontrolsummas aprēķināšanas funkcija:

#define MAX_CSUM_WORDS 32
#define MAX_CSUM_BYTES (MAX_CSUM_WORDS * 2)

INTERNAL u32
sum16(const void* data, u32 size, const void* data_end) {
    u32 s = 0;
#pragma unroll
    for (u32 i = 0; i < MAX_CSUM_WORDS; i++) {
        if (2*i >= size) {
            return s; /* normal exit */
        }
        if (data + 2*i + 1 + 1 > data_end) {
            return 0; /* should be unreachable */
        }
        s += ((const u16*)data)[i];
    }
    return s;
}

Lai gan size verificēts ar izsaucēja kodu, ir nepieciešams otrais izejas nosacījums, lai pārbaudītājs varētu pierādīt cilpas pabeigšanu.

32 bitu vārdiem ir ieviesta vienkāršāka versija:

INTERNAL u32
sum16_32(u32 v) {
    return (v >> 16) + (v & 0xffff);
}

Faktiski pārrēķinot kontrolsummas un nosūtot paketi atpakaļ:

ip->check = 0;
ip->check = carry(sum16(ip, ip_len, data_end));

u32 tcp_csum = 0;
tcp_csum += sum16_32(ip->saddr);
tcp_csum += sum16_32(ip->daddr);
tcp_csum += 0x0600;
tcp_csum += tcp_len << 8;
tcp->check = 0;
tcp_csum += sum16(tcp, tcp_len, data_end);
tcp->check = carry(tcp_csum);

return XDP_TX;

Funkcija carry() saskaņā ar RFC 32 veido kontrolsummu no 16 bitu vārdu 791 bitu summas.

TCP rokasspiediena pārbaude

Filtrs pareizi izveido savienojumu ar netcat, trūkst galīgā ACK, uz kuru Linux atbildēja ar RST paketi, jo tīkla steks nesaņēma SYN - tas tika pārveidots par SYNACK un nosūtīts atpakaļ - un no OS viedokļa atnāca pakete, kas nebija saistīta ar atvēršanu. savienojumiem.

$ sudo ip netns exec xdp-test   nc -nv 192.0.2.1 6666
192.0.2.1 6666: Connection reset by peer

Ir svarīgi pārbaudīt ar pilnvērtīgām lietojumprogrammām un novērot tcpdump par xdp-remote jo, piemēram, hping3 nereaģē uz nepareizām kontrolsummām.

No XDP viedokļa pati pārbaude ir triviāla. Aprēķinu algoritms ir primitīvs un, iespējams, neaizsargāts pret sarežģītu uzbrucēju. Piemēram, Linux kodols izmanto kriptogrāfisko SipHash, taču tā ieviešana XDP nepārprotami neietilpst šī raksta darbības jomā.

Ieviests jauniem TODO, kas saistīti ar ārējo komunikāciju:

XDP programma nevar saglabāt cookie_seed (sāls slepenā daļa) globālajā mainīgajā, jums ir nepieciešama krātuve kodolā, kuras vērtība periodiski tiks atjaunināta no uzticama ģeneratora.
Ja SYN sīkfails sakrīt ACK paketē, jums nav jādrukā ziņojums, bet jāatceras verificētā klienta IP, lai turpinātu nosūtīt pakešu no tā.

Likumīga klienta verifikācija:

$ sudoip netns exec xdp-test   nc -nv 192.0.2.1 6666
192.0.2.1 6666: Connection reset by peer

Žurnāli parāda, ka pārbaude ir izturēta (flags=0x2 - tas ir SYN, flags=0x10 ir ACK):

Ether(proto=0x800)
  IP(src=0x20e6e11a dst=0x20e6e11e proto=6)
    TCP(sport=50836 dport=6666 flags=0x2)
Ether(proto=0x800)
  IP(src=0xfe2cb11a dst=0xfe2cb11e proto=6)
    TCP(sport=50836 dport=6666 flags=0x10)
      cookie matches for client 20200c0

Lai gan nav pārbaudīto IP saraksta, nebūs aizsardzības pret pašu SYN plūdiem, taču šeit ir reakcija uz ACK plūdiem, ko palaida šāda komanda:

sudo ip netns exec xdp-test   hping3 --flood -A -s 1111 -p 2222 192.0.2.1

Žurnāla ieraksti:

Ether(proto=0x800)
  IP(src=0x15bd11a dst=0x15bd11e proto=6)
    TCP(sport=3236 dport=2222 flags=0x10)
      cookie mismatch

Secinājums

Dažreiz eBPF kopumā un jo īpaši XDP tiek pasniegts vairāk kā uzlabots administratora rīks, nevis kā izstrādes platforma. Patiešām, XDP ir rīks, kas traucē kodola pakešu apstrādi, nevis alternatīva kodola stekam, piemēram, DPDK un citas kodola apiešanas opcijas. Savukārt XDP ļauj ieviest visai sarežģītu loģiku, kuru turklāt ir viegli atjaunināt, netraucējot trafika apstrādē. Verifikators lielas problēmas nerada, personīgi es neatteiktos no lietotāja telpas koda daļām.

Otrajā daļā, ja tēma ir interesanta, aizpildīsim verificēto klientu un atvienojumu tabulu, ieviesīsim skaitītājus un uzrakstīsim userspace utilītu filtra pārvaldībai.

Saites:

Avots: www.habr.com

Mēs rakstām aizsardzību pret DDoS uzbrukumiem XDP. Kodolenerģijas daļa