Empresa Cloudflare
O utilitário xdpcap é compatível com expressões de filtragem tcpdump/libpcap e permite processar volumes de tráfego significativamente maiores no mesmo hardware. O Xdpcap também pode ser usado para depuração em ambientes onde o tcpdump regular não é aplicável, como filtragem, proteção DoS e sistemas de balanceamento de carga que usam o subsistema XDP do kernel Linux, que processa pacotes antes de serem processados pela pilha de rede do kernel Linux (tcpdump não vê pacotes descartados pelo manipulador XDP).
O alto desempenho é alcançado através do uso dos subsistemas eBPF e XDP. eBPF é um interpretador de bytecode integrado ao kernel Linux que permite criar manipuladores de alto desempenho de pacotes de entrada/saída com decisões sobre encaminhá-los ou descartá-los. Usando um compilador JIT, o bytecode eBPF é traduzido dinamicamente em instruções de máquina e executado com o desempenho do código nativo. O subsistema XDP (eXpress Data Path) complementa o eBPF com a capacidade de executar programas BPF no nível do driver de rede, com suporte para acesso direto ao buffer de pacotes DMA e trabalho no estágio anterior ao buffer skbuff ser alocado pela pilha de rede.
Assim como o tcpdump, o utilitário xdpcap primeiro traduz regras de filtragem de tráfego de alto nível na representação BPF clássica (cBPF) usando a biblioteca libpcap padrão e depois as converte na forma de rotinas eBPF usando um compilador
Fonte: opennet.ru