מיר שרייבן שוץ קעגן DDoS אנפאלן אויף XDP. יאָדער טייל

eXpress Data Path (XDP) טעכנאָלאָגיע אַלאַוז טראַפ פאַרקער פּראַסעסינג אויף לינוקס ינטערפייסיז איידער די פּאַקיץ אַרייַן די קערן נעץ אָנלייגן. אַפּפּליקאַטיאָן פון XDP - שוץ קעגן DDoS אנפאלן (CloudFlare), קאָמפּלעקס פילטערס, סטאַטיסטיק זאַמלונג (נעטפליקס). XDP מגילה זענען עקסאַקיוטאַד דורך די eBPF ווירטואַל מאַשין, אַזוי זיי האָבן ריסטריקשאַנז אויף ביידע זייער קאָד און די בנימצא קערן פאַנגקשאַנז דיפּענדינג אויף די פילטער טיפּ.

דער אַרטיקל איז בדעה צו פּלאָמבירן די כיסאָרן פון פילע מאַטעריאַלס אויף XDP. פירסטלי, זיי צושטעלן פאַרטיק קאָד וואָס גלייך בייפּאַסיז די פֿעיִקייטן פון XDP: עס איז צוגעגרייט פֿאַר וועראַפאַקיישאַן אָדער איז אויך פּשוט צו פאַרשאַפן פּראָבלעמס. ווען איר פּרובירן צו שרייַבן דיין קאָד פֿון קראַצן, איר האָט קיין געדאַנק וואָס צו טאָן מיט טיפּיש ערראָרס. צווייטנס, וועגן צו לאָוקאַלי פּרובירן XDP אָן אַ VM און ייַזנוואַרג זענען נישט באדעקט, טראָץ דעם פאַקט אַז זיי האָבן זייער אייגן פּיטפאָלז. דער טעקסט איז בדעה פֿאַר פּראָוגראַמערז באַקאַנט מיט נעטוואָרקינג און לינוקס וואָס זענען אינטערעסירט אין XDP און eBPF.

אין דעם טייל, מיר וועלן פֿאַרשטיין אין דעטאַל ווי די XDP פילטער איז פארזאמלט און ווי צו פּרובירן עס, און מיר וועלן שרייַבן אַ פּשוט ווערסיע פון ​​די באַוווסט SYN קיכלעך מעקאַניזאַם אויף די פּאַקאַט פּראַסעסינג מדרגה. מיר וועלן נישט מאַכן אַ "ווייַס רשימה" נאָך
וועראַפייד קלייאַנץ, האַלטן קאָונטערס און פירן די פילטער - גענוג לאָגס.

מיר וועלן שרייַבן אין C - עס איז נישט מאָדערן, אָבער עס איז פּראַקטיש. כל קאָד איז בנימצא אויף GitHub דורך די לינק אין די סוף און איז צעטיילט אין קאַמיץ לויט די סטאַגעס דיסקרייבד אין דעם אַרטיקל.

Disclaimer. אין דעם גאַנג פון דעם אַרטיקל, איך וועל אַנטוויקלען אַ מיני לייזונג צו אָפּהאַלטן DDoS אנפאלן, ווייַל דאָס איז אַ רעאַליסטיש אַרבעט פֿאַר XDP און מיין עקספּערטיז. אָבער, דער הויפּט ציל איז צו פֿאַרשטיין די טעכנאָלאָגיע; דאָס איז נישט אַ וועגווייַזער צו שאַפֿן פאַרטיק שוץ. דער טוטאָריאַל קאָד איז נישט אָפּטימיזעד און אָומיץ עטלעכע נואַנסיז.

XDP קורץ איבערבליק

איך וועל אויסרעכענען בלויז די הויפּט פונקטן, אַזוי נישט צו דופּליקאַט דאַקיומענטיישאַן און יגזיסטינג אַרטיקלען.

אַזוי, די פילטער קאָד איז לאָודיד אין די קערן. ינקאַמינג פּאַקיץ זענען דורכגעגאנגען צו די פילטער. ווי אַ רעזולטאַט, דער פילטער מוזן מאַכן אַ באַשלוס: פאָרן די פּאַקאַט אין די קערן (XDP_PASS), פאַלן פּאַקאַט (XDP_DROP) אָדער שיקן עס צוריק (XDP_TX). דער פילטער קענען טוישן דעם פּעקל, דאָס איז ספּעציעל אמת פֿאַר XDP_TX. איר קענט אויך אַבאָרט די פּראָגראַם (XDP_ABORTED) און באַשטעטיק דעם פּעקל, אָבער דאָס איז אַנאַלאָג assert(0) - פֿאַר דיבאַגינג.

די eBPF (עקסטענדעד בערקלי פּאַקאַט פֿילטריר) ווירטואַל מאַשין איז דיליבראַטלי געמאכט פּשוט אַזוי אַז דער קערן קענען קאָנטראָלירן אַז די קאָד טוט נישט שלייף און טוט נישט שעדיקן אנדערע מענטשן ס זכּרון. קיומיאַלאַטיוו ריסטריקשאַנז און טשעקס:

• לופּס (צוריק) זענען פּראָוכיבאַטאַד.
• עס איז אַ אָנלייגן פֿאַר דאַטן, אָבער קיין פאַנגקשאַנז (אַלע C פאַנגקשאַנז מוזן זיין ינליינד).
• זכּרון אַקסעס אַרויס די אָנלייגן און פּאַקאַט באַפער זענען פּראָוכיבאַטאַד.
• די קאָד גרייס איז לימיטעד, אָבער אין פיר דאָס איז נישט זייער באַטייַטיק.
• בלויז רופט צו ספּעציעל קערן פאַנגקשאַנז (EBPF העלפּערס) זענען ערלויבט.

דיזיינינג און ינסטאָלינג אַ פילטער קוקט ווי דאָס:

1. מקור קאָד (למשל kernel.c) איז צונויפגעשטעלט אין כייפעץ (kernel.o) פֿאַר די eBPF ווירטואַל מאַשין אַרקאַטעקטשער. זינט אקטאבער 2019, זאַמלונג צו eBPF איז געשטיצט דורך קלאַנג און צוגעזאגט אין GCC 10.1.
2. אויב דעם כייפעץ קאָד כּולל קאַללס צו קערן סטראַקטשערז (למשל, טישן און קאָונטערס), זייער IDs זענען ריפּלייסט דורך זעראָס, וואָס מיטל אַז אַזאַ קאָד קענען ניט זיין עקסאַקיוטאַד. איידער איר לאָודינג אין די קערן, איר דאַרפֿן צו פאַרבייַטן די זעראָס מיט די IDs פון ספּעציפיש אַבדזשעקץ באשאפן דורך קערן קאַללס (לינק די קאָד). איר קענען טאָן דאָס מיט פונדרויסנדיק יוטילאַטיז, אָדער איר קענען שרייַבן אַ פּראָגראַם וואָס וועט לינק און לאָדן אַ ספּעציפיש פילטער.
3. דער קערן וועראַפייז די לאָודיד פּראָגראַם. דער אַוועק פון סייקאַלז און דורכפאַל צו יקסיד פּאַקאַט און אָנלייגן באַונדריז איז אָפּגעשטעלט. אויב דער וועראַפייער קען נישט באַווייַזן אַז די קאָד איז ריכטיק, די פּראָגראַם איז פארווארפן - איר דאַרפֿן צו זיין צופרידן מיט אים.
4. נאָך געראָטן וועראַפאַקיישאַן, די קערן קאַמפּיילז די eBPF אַרקאַטעקטשער אַבדזשעקט קאָד אין מאַשין קאָד פֿאַר די סיסטעם אַרקאַטעקטשער (פּונקט-אין-צייט).
5. דער פּראָגראַם אַטאַטשיז צו די צובינד און הייבט פּראַסעסינג פּאַקיץ.

זינט XDP לויפט אין די קערן, דיבאַגינג איז דורכגעקאָכט מיט שפּור לאָגס און, אין פאַקט, פּאַקיץ וואָס די פּראָגראַם פילטערס אָדער דזשענערייץ. אָבער, eBPF ינשורז אַז די דאַונלאָודיד קאָד איז זיכער פֿאַר די סיסטעם, אַזוי איר קענען עקספּערימענט מיט XDP גלייַך אויף דיין היגע לינוקס.

פּריפּערינג די סוויווע

Assembly

קלאַנג קענען נישט גלייך פּראָדוצירן כייפעץ קאָד פֿאַר די eBPF אַרקאַטעקטשער, אַזוי דער פּראָצעס באשטייט פון צוויי סטעפּס:

1. קאָמפּילירן C קאָד צו LLVM ביטעקאָדע (clang -emit-llvm).
2. גער ביטעקאָדע צו eBPF כייפעץ קאָד (llc -march=bpf -filetype=obj).

ווען שרייבן אַ פילטער, אַ פּאָר פון טעקעס מיט אַגזיליערי פאַנגקשאַנז און מאַקראָס וועט זיין נוציק פון קערן טעסץ. עס איז וויכטיק אַז זיי גלייַכן די קערן ווערסיע (KVER). אָפּלאָדירן זיי צו helpers/:

export KVER=v5.3.7
export BASE=https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/plain/tools/testing/selftests/bpf
wget -P helpers --content-disposition "${BASE}/bpf_helpers.h?h=${KVER}" "${BASE}/bpf_endian.h?h=${KVER}"
unset KVER BASE

מאַקעפילע פֿאַר אַרטש לינוקס (קערנעל 5.3.7):

CLANG ?= clang
LLC ?= llc

KDIR ?= /lib/modules/$(shell uname -r)/build
ARCH ?= $(subst x86_64,x86,$(shell uname -m))

CFLAGS = 
    -Ihelpers 
    
    -I$(KDIR)/include 
    -I$(KDIR)/include/uapi 
    -I$(KDIR)/include/generated/uapi 
    -I$(KDIR)/arch/$(ARCH)/include 
    -I$(KDIR)/arch/$(ARCH)/include/generated 
    -I$(KDIR)/arch/$(ARCH)/include/uapi 
    -I$(KDIR)/arch/$(ARCH)/include/generated/uapi 
    -D__KERNEL__ 
    
    -fno-stack-protector -O2 -g

xdp_%.o: xdp_%.c Makefile
    $(CLANG) -c -emit-llvm $(CFLAGS) $< -o - | 
    $(LLC) -march=bpf -filetype=obj -o $@

.PHONY: all clean

all: xdp_filter.o

clean:
    rm -f ./*.o

KDIR כּולל דעם דרך צו די קערן כעדערז, ARCH - סיסטעם אַרקאַטעקטשער. פּאַטס און מכשירים קען זיין אַ ביסל אַנדערש צווישן דיסטריביושאַנז.

בייַשפּיל פון דיפעראַנסיז פֿאַר דעביאַן 10 (קערנעל 4.19.67)

# другая команда
CLANG ?= clang
LLC ?= llc-7

# другой каталог
KDIR ?= /usr/src/linux-headers-$(shell uname -r)
ARCH ?= $(subst x86_64,x86,$(shell uname -m))

# два дополнительных каталога -I
CFLAGS = 
    -Ihelpers 
    
    -I/usr/src/linux-headers-4.19.0-6-common/include 
    -I/usr/src/linux-headers-4.19.0-6-common/arch/$(ARCH)/include 
    # далее без изменений

CFLAGS פאַרבינדן אַ וועגווייַזער מיט אַגזיליערי כעדערז און עטלעכע דיירעקטעריז מיט קערן כעדערז. סימבאָל __KERNEL__ מיטל אַז UAPI (Userspace API) כעדערז זענען דיפיינד פֿאַר קערן קאָד, ווייַל די פילטער איז עקסאַקיוטאַד אין די קערן.

אָנלייגן שוץ קענען זיין פאַרקריפּלט (-fno-stack-protector), ווייַל די eBPF קאָד וועראַפייער נאָך טשעקס פֿאַר אָנלייגן אַרויס-פון-גווול ווייאַליישאַנז. עס איז ווערט ווענדן אויף אָפּטימיזאַטיאָנס גלייך, ווייַל די גרייס פון די eBPF ביטעקאָדע איז לימיטעד.

לאָמיר אָנהייבן מיט אַ פילטער וואָס פּאַסיז אַלע פּאַקיץ און טוט גאָרנישט:

#include <uapi/linux/bpf.h>

#include <bpf_helpers.h>

SEC("prog")
int xdp_main(struct xdp_md* ctx) {
    return XDP_PASS;
}

char _license[] SEC("license") = "GPL";

קאָלעקטיוו make קאַלעקץ xdp_filter.o. ווו צו פּרובירן עס איצט?

טעסט שטיין

דער שטיין מוזן אַרייַננעמען צוויי ינטערפייסיז: אויף וואָס עס וועט זיין אַ פילטער און פון וואָס פּאַקיץ וועט זיין געשיקט. די מוזן זיין פול-פלעדזשד לינוקס דעוויסעס מיט זייער אייגענע IPs אין סדר צו קאָנטראָלירן ווי רעגולער אַפּלאַקיישאַנז אַרבעט מיט אונדזער פילטער.

דיווייסאַז פון די וועטה (ווירטואַל עטהערנעט) טיפּ זענען פּאַסיק פֿאַר אונדז: דאָס זענען אַ פּאָר פון ווירטואַל נעץ ינטערפייסיז "פארבונדן" גלייַך צו יעדער אנדערער. איר קענען מאַכן זיי ווי דאָס (אין דעם אָפּטיילונג אַלע קאַמאַנדז ip זענען געפירט אויס פון root):

ip link add xdp-remote type veth peer name xdp-local

דאָ xdp-remote и xdp-local — מיטל נעמען. אויף xdp-local (192.0.2.1/24) אַ פילטער וועט זיין אַטאַטשט, מיט xdp-remote (192.0.2.2/24) ינקאַמינג פאַרקער וועט זיין געשיקט. אָבער, עס איז אַ פּראָבלעם: די ינטערפייסיז זענען אויף דער זעלביקער מאַשין, און לינוקס וועט נישט שיקן פאַרקער צו איינער פון זיי דורך די אנדערע. איר קענען סאָלווע דעם מיט טריקי כּללים iptables, אָבער זיי וועלן האָבן צו טוישן פּאַקאַדזשאַז, וואָס איז ומבאַקוועם פֿאַר דיבאַגינג. עס איז בעסער צו נוצן נעץ נאָמען ספּייסאַז (דערנאָך נעטנס).

א נעץ נאַמעספּאַסע כּולל אַ סכום פון ינטערפייסיז, רוטינג טישן און נעטפילטער כּללים וואָס זענען אפגעזונדערט פון ענלעך אַבדזשעקץ אין אנדערע נעץ. יעדער פּראָצעס לויפט אין אַ נאַמעספּאַסע און האט בלויז אַקסעס צו די אַבדזשעקץ פון די נעץ. דורך פעליקייַט, די סיסטעם האט אַ איין נעץ נאַמעספּאַסע פֿאַר אַלע אַבדזשעקץ, אַזוי איר קענען אַרבעטן אין לינוקס און נישט וויסן וועגן נעטנס.

לאָמיר שאַפֿן אַ נייַע נאָמען xdp-test און מאַך עס דאָרט xdp-remote.

ip netns add xdp-test
ip link set dev xdp-remote netns xdp-test

דערנאָך דער פּראָצעס איז פליסנדיק xdp-test, וועט נישט "זען" xdp-local (עס וועט בלייבן אין Netns דורך פעליקייַט) און ווען שיקט אַ פּאַקאַט צו 192.0.2.1 עס וועט פאָרן עס דורך xdp-remoteווייַל עס איז דער בלויז צובינד אויף 192.0.2.0/24 צוטריטלעך צו דעם פּראָצעס. דאָס אויך אַרבעט אין די פאַרקערט ריכטונג.

ווען מאָווינג צווישן נעטנס, די צובינד גייט אַראָפּ און פארלירט זייַן אַדרעס. צו קאַנפיגיער די צובינד אין Netns, איר דאַרפֿן צו לויפן ip ... אין דעם באַפֿעלן נאָמען ip netns exec:

ip netns exec xdp-test 
    ip address add 192.0.2.2/24 dev xdp-remote
ip netns exec xdp-test 
    ip link set xdp-remote up

ווי איר קענען זען, דאָס איז ניט אַנדערש פון די באַשטעטיקן xdp-local אין די פעליקייַט נאָמען פּלאַץ:

    ip address add 192.0.2.1/24 dev xdp-local
    ip link set xdp-local up

אויב איר לויפן tcpdump -tnevi xdp-local, איר קענען זען אַז פּאַקיץ געשיקט פֿון xdp-test, זענען איבערגעגעבן צו דעם צובינד:

ip netns exec xdp-test   ping 192.0.2.1

עס איז באַקוועם צו קאַטער אַ שאָל אין xdp-test. די ריפּאַזאַטאָרי האט אַ שריפט וואָס אָטאַמייץ אַרבעט מיט דעם שטיין; פֿאַר בייַשפּיל, איר קענען קאַנפיגיער די שטיין מיט די באַפֿעל sudo ./stand up און ויסמעקן עס sudo ./stand down.

טרייסינג

דער פילטער איז פארבונדן מיט די מיטל ווי דאָס:

ip -force link set dev xdp-local xdp object xdp_filter.o verbose

שליסל -force דארף צו פֿאַרבינדן אַ נייַע פּראָגראַם אויב אן אנדער איינער איז שוין לינגקט. "קיין נייַעס איז גוט נייַעס" איז נישט וועגן דעם באַפֿעל, די מסקנא איז וואַלומאַנאַס אין קיין פאַל. אָנווייַזן verbose אַפּשאַנאַל, אָבער מיט אים אַ באַריכט איז ארויס אויף די אַרבעט פון די קאָד וועראַפייער מיט אַ פֿאַרזאַמלונג ליסטינג:

Verifier analysis:

0: (b7) r0 = 2
1: (95) exit

ונלינק די פּראָגראַם פֿון די צובינד:

ip link set dev xdp-local xdp off

אין דעם שריפט, דאָס זענען קאַמאַנדז sudo ./stand attach и sudo ./stand detach.

דורך אַטאַטשינג אַ פילטער, איר קענען מאַכן זיכער אַז ping האלט צו לויפן, אָבער טוט די פּראָגראַם אַרבעט? זאל ס לייגן לאָגס. פֿונקציע bpf_trace_printk() ענליך צו printf(), אָבער בלויז שטיצט אַרויף צו דריי אַרגומענטן אנדערע ווי די מוסטער, און אַ לימיטעד רשימה פון ספּעסיפיערס. מאַקראָו bpf_printk() סימפּלאַפייז די רופן.

   SEC("prog")
   int xdp_main(struct xdp_md* ctx) {
+      bpf_printk("got packet: %pn", ctx);
       return XDP_PASS;
   }

דער רעזולטאַט גייט צו די קערן שפּור קאַנאַל, וואָס דאַרף זיין ענייבאַלד:

echo -n 1 | sudo tee /sys/kernel/debug/tracing/options/trace_printk

זען אָנזאָג פאָדעם:

cat /sys/kernel/debug/tracing/trace_pipe

ביידע פון ​​די קאַמאַנדז מאַכן אַ רוף sudo ./stand log.

פּינג זאָל איצט צינגל אַרטיקלען ווי דאָס:

<...>-110930 [004] ..s1 78803.244967: 0: got packet: 00000000ac510377

אויב איר קוק ענג אין די רעזולטאַט פון די ווערייפייער, איר וועט באַמערקן מאָדנע חשבונות:

0: (bf) r3 = r1
1: (18) r1 = 0xa7025203a7465
3: (7b) *(u64 *)(r10 -8) = r1
4: (18) r1 = 0x6b63617020746f67
6: (7b) *(u64 *)(r10 -16) = r1
7: (bf) r1 = r10
8: (07) r1 += -16
9: (b7) r2 = 16
10: (85) call bpf_trace_printk#6
<...>

דער פאַקט איז אַז eBPF מגילה טאָן ניט האָבן אַ דאַטן אָפּטיילונג, אַזוי דער בלויז וועג צו ענקאָוד אַ פֿאָרמאַט שטריקל איז די באַלדיק אַרגומענטן פון VM קאַמאַנדז:

$ python -c "import binascii; print(bytes(reversed(binascii.unhexlify('0a7025203a74656b63617020746f67'))))"
b'got packet: %pn'

פֿאַר דעם סיבה, דיבאַג רעזולטאַט זייער בלאָוץ די ריזאַלטינג קאָד.

שיקט XDP פּאַקיץ

זאל ס טוישן די פילטער: לאָזן עס שיקן אַלע ינקאַמינג פּאַקיץ צוריק. דאָס איז פאַלש פֿון אַ נעץ פונט פון מיינונג, ווייַל עס וואָלט זיין נייטיק צו טוישן די אַדרעסעס אין די כעדערז, אָבער איצט די אַרבעט אין פּרינציפּ איז וויכטיק.

       bpf_printk("got packet: %pn", ctx);
-      return XDP_PASS;
+      return XDP_TX;
   }

קאַטער tcpdump אויף xdp-remote. עס זאָל ווייַזן יידעניקאַל אַוטגאָוינג און ינקאַמינג ICMP Echo Request און האַלטן ווייַזונג ICMP Echo Reply. אבער עס טוט נישט ווייַזן. עס טורנס אויס אַז פֿאַר אַרבעט XDP_TX אין די פּראָגראַם אויף xdp-local איז נייטיקצו די פּאָר צובינד xdp-remote אוי ך א פראגרא ם אי ז צוגעטײל ט געװארן , אפיל ו ז י אי ז געװע ן לײדיק , או ן ע ר אי ז אויפגעהויב ן געװארן .

ווי האב איך דאס געוואוסט?

שפּור די דרך פון אַ פּעקל אין די קערן די מעקאַניזאַם פון פּערף געשעענישן אַלאַוז, דורך דעם וועג, ניצן די זעלבע ווירטואַל מאַשין, דאָס איז, eBPF איז געניצט פֿאַר דיסאַססעמבלי מיט eBPF.

דו מוזט מאכן גוטס פון שלעכטס, ווייל עס איז גארנישט אנדערש צו מאכן.

$ sudo perf trace --call-graph dwarf -e 'xdp:*'
   0.000 ping/123455 xdp:xdp_bulk_tx:ifindex=19 action=TX sent=0 drops=1 err=-6
                                     veth_xdp_flush_bq ([veth])
                                     veth_xdp_flush_bq ([veth])
                                     veth_poll ([veth])
                                     <...>

וואָס איז קאָד 6?

$ errno 6
ENXIO 6 No such device or address

פונקציאָנירן veth_xdp_flush_bq() באקומט אַ טעות קאָד פון veth_xdp_xmit(), ווו זוכן דורך ENXIO און געפֿינען די באַמערקונג.

לאָמיר ומקערן די מינימום פילטער (XDP_PASS) אין טעקע xdp_dummy.c, לייג עס צו די Makefile, בינדן עס צו xdp-remote:

ip netns exec remote 
    ip link set dev int xdp object dummy.o

איצט tcpdump ווייזט וואָס איז געריכט:

62:57:8e:70:44:64 > 26:0e:25:37:8f:96, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 13762, offset 0, flags [DF], proto ICMP (1), length 84)
    192.0.2.2 > 192.0.2.1: ICMP echo request, id 46966, seq 1, length 64
62:57:8e:70:44:64 > 26:0e:25:37:8f:96, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 13762, offset 0, flags [DF], proto ICMP (1), length 84)
    192.0.2.2 > 192.0.2.1: ICMP echo request, id 46966, seq 1, length 64

אויב בלויז ARPs זענען געוויזן אַנשטאָט, איר דאַרפֿן צו באַזייַטיקן די פילטערס (דאָס טוט sudo ./stand detach), לאז גיין ping, דעמאָלט שטעלן פילטערס און פּרובירן ווידער. די פּראָבלעם איז אַז די פילטער XDP_TX גילטיק ביידע אויף ARP און אויב די אָנלייגן
נאָמען ספּייסאַז xdp-test געראטן צו "פאַרגעסן" די MAC אַדרעס 192.0.2.1, עס וועט נישט קענען צו סאָלווע דעם IP.

ויסזאָגונג פון די פּראָבלעם

לאָמיר גיין צו די סטייטיד אַרבעט: שרייַבן אַ SYN קיכלעך מעקאַניזאַם אויף XDP.

SYN מבול בלייבט אַ פאָלקס DDoS באַפאַלן, די עסאַנס פון וואָס איז ווי גייט. ווען אַ פֿאַרבינדונג איז געגרינדעט (TCP האַנדשייק), דער סערווער באקומט אַ SYN, אַלאַקייץ רעסורסן פֿאַר די צוקונפֿט קשר, ריספּאַנדז מיט אַ SYNACK פּאַקאַט און ווארטן פֿאַר אַ ACK. דער אַטאַקער פשוט סענדז טויזנטער פון SYN פּאַקיץ פּער סעקונדע פֿון ספּאָאָפעד אַדרעסעס פון יעדער באַלעבאָס אין אַ מאַלטי-טויזנט-שטאַרק באָטנעט. דער סערווער איז געצווונגען צו אַלאַקייט רעסורסן גלייך נאָך דעם אָנקומען פון די פּאַקאַט, אָבער ריליסיז זיי נאָך אַ גרויס טיימאַוט; ווי אַ רעזולטאַט, זיקאָרן אָדער לימאַץ זענען ויסגעמאַטערט, נייַ קאַנעקשאַנז זענען נישט אנגענומען און די דינסט איז אַנאַוויילאַבאַל.

אויב איר טאָן ניט אַלאַקייט רעסורסן באזירט אויף די SYN פּאַקאַט, אָבער בלויז ריספּאַנד מיט אַ SYNACK פּאַקאַט, ווי קען דער סערווער פֿאַרשטיין אַז די ACK פּאַקאַט וואָס איז אנגעקומען שפּעטער רעפערס צו אַ SYN פּאַקאַט וואָס איז נישט געראטעוועט? נאָך אַלע, אַ אַטאַקער קענען אויך דזשענערייט שווינדל ACKs. די פונט פון די SYN קיכל איז צו ענקאָוד עס אין seqnum קשר פּאַראַמעטערס ווי אַ האַש פון אַדרעסעס, פּאָרץ און טשאַנגינג זאַלץ. אויב די ACK איז געראטן צו אָנקומען איידער די זאַלץ איז טשיינדזשד, איר קענען רעכענען די האַש ווידער און פאַרגלייַכן עס מיט acknum. פאָרגע acknum דער אַטאַקער קען נישט, ווייַל די זאַלץ כולל די סוד, און וועט נישט האָבן צייט צו סאָרט דורך עס רעכט צו דער לימיטעד קאַנאַל.

די SYN קיכל איז לאַנג ימפּלאַמענאַד אין די לינוקס קערן און קענען אפילו זיין אויטאָמאַטיש ענייבאַלד אויב SYN ס אָנקומען צו געשווינד און מאַסיוו.

בילדונגקרייז פּראָגראַם אויף TCP האַנדשייק

טקפּ גיט דאַטן טראַנסמיסיע ווי אַ טייַך פון ביטעס, למשל, הטטפּ ריקוועס זענען טראַנסמיטטעד איבער טקפּ. דער טייַך איז טראַנסמיטטעד אין ברעקלעך אין פּאַקאַץ. כל טקפּ פּאַקיץ האָבן לאַדזשיקאַל פלאַגס און 32-ביסל סיקוואַנס נומערן:

• די קאָמבינאַציע פון ​​פלאַגס דיטערמאַנז די ראָלע פון ​​אַ באַזונדער פּעקל. די SYN פאָן ינדיקייץ אַז דאָס איז די סענדער ס ערשטער פּאַקאַט אויף די קשר. די ACK פאָן מיטל אַז דער סענדער האט באקומען אַלע די קשר דאַטן אַרויף צו די בייט acknum. א פּאַקאַט קענען האָבן עטלעכע פלאַגס און איז גערופֿן דורך זייער קאָמבינאַציע, למשל, אַ SYNACK פּאַקאַט.

• סיקוואַנס נומער (סעקוואַם) ספּעציפיצירן די פאָטאָ אין די דאַטן טייַך פֿאַר דער ערשטער ביטע וואָס איז טראַנסמיטטעד אין דעם פּאַקאַט. פֿאַר בייַשפּיל, אויב אין דער ערשטער פּאַקאַט מיט X ביטעס פון דאַטן דעם נומער איז געווען N, אין דער ווייַטער פּאַקאַט מיט נייַע דאַטן עס וועט זיין N + X. אין די אָנהייב פון די קשר, יעדער זייַט טשוזיז דעם נומער ראַנדאַמלי.

• דערקענטעניש נומער (אַקקנום) - דער זעלביקער אָפסעט ווי סעקוום, אָבער עס טוט נישט באַשטימען די נומער פון די בייט וואָס איז טראַנסמיטטעד, אָבער די נומער פון דער ערשטער בייט פון די באַקומער, וואָס דער אָפּשיקער האט נישט זען.

אין די אָנהייב פון די קשר, די פּאַרטיעס מוזן שטימען seqnum и acknum. דער קליענט סענדז אַ SYN פּאַקאַט מיט זיין seqnum = X. דער סערווער ריספּאַנדז מיט אַ SYNACK פּאַקאַט, ווו עס רעקאָרדירט ​​​​זיין seqnum = Y און יקספּאָוזיז acknum = X + 1. דער קליענט ריספּאַנדז צו SYNACK מיט אַ ACK פּאַקאַט, ווו seqnum = X + 1, acknum = Y + 1. נאָך דעם, די פאַקטיש דאַטן אַריבערפירן הייבט.

אויב דער ייַנקוקנ טוט נישט באַשטעטיקן קאַבאָלע פון ​​די פּאַקאַט, TCP רעסענד עס נאָך אַ טיימאַוט.

פארוואס זענען SYN קיכלעך ניט שטענדיק געניצט?

פירסטלי, אויב SYNACK אָדער ACK איז פאַרפאַלן, איר וועט האָבן צו וואַרטן ביז עס וועט זיין געשיקט ווידער - די קאַנעקשאַן סעטאַפּ וועט פּאַמעלעך אַראָפּ. צווייטנס, אין די SYN פּעקל - און בלויז אין עס! - אַ נומער פון אָפּציעס זענען טראַנסמיטטעד וואָס ווירקן די ווייַטער אָפּעראַציע פון ​​די קשר. אָן געדענקען ינקאַמינג SYN פּאַקיץ, דער סערווער אַזוי יגנאָרז די אָפּציעס; דער קליענט וועט נישט שיקן זיי אין דער ווייַטער פּאַקיץ. TCP קענען אַרבעטן אין דעם פאַל, אָבער אין מינדסטער אין דער ערשט בינע די קוואַליטעט פון די קשר וועט פאַרמינערן.

פֿון אַ פּאַקאַדזשאַז פּערספּעקטיוו, אַ XDP פּראָגראַם מוזן טאָן די פאלגענדע:

• רעספּאָנד צו SYN מיט SYNACK מיט אַ קיכל;
• ריספּאַנד צו ACK מיט RST (דיסקאַנעקט);
• אַוועקוואַרפן די רוען פּאַקיץ.

פּסעוודאָקאָדע פון ​​די אַלגערידאַם צוזאַמען מיט פּעקל פּאַרסינג:

Если это не Ethernet,
    пропустить пакет.
Если это не IPv4,
    пропустить пакет.
Если адрес в таблице проверенных,               (*)
        уменьшить счетчик оставшихся проверок,
        пропустить пакет.
Если это не TCP,
    сбросить пакет.     (**)
Если это SYN,
    ответить SYN-ACK с cookie.
Если это ACK,
    если в acknum лежит не cookie,
        сбросить пакет.
    Занести в таблицу адрес с N оставшихся проверок.    (*)
    Ответить RST.   (**)
В остальных случаях сбросить пакет.

איינער (*) פּונקט וואָס איר דאַרפֿן צו פירן די סיסטעם שטאַט זענען אנגעצייכנט - אין דער ערשטער בינע איר קענען טאָן אָן זיי דורך פשוט ימפּלאַמענינג אַ TCP כאַנדשייק מיט די דור פון אַ SYN קיכל ווי אַ סעקנום.

אויף דעם אָרט (**), בשעת מיר טאָן ניט האָבן אַ טיש, מיר וועלן האָפּקען דעם פּאַקאַט.

ימפּלאַמענטינג טקפּ כאַנדשייק

פּאַרסינג דעם פּעקל און וועראַפייינג די קאָד

מיר וועלן דאַרפֿן נעץ כעדער סטראַקטשערז: עטהערנעט (uapi/linux/if_ether.h), IPv4 (uapi/linux/ip.h) און TCP (uapi/linux/tcp.h). איך איז געווען ניט געקענט צו פאַרבינדן די יענער רעכט צו ערראָרס שייַכות צו atomic64_t, איך האט צו נאָכמאַכן די נייטיק זוך אין די קאָד.

אַלע פאַנגקשאַנז וואָס זענען כיילייטיד אין C פֿאַר רידאַביליטי מוזן זיין ינליינד אין די פונט פון רופן, זינט די eBPF וועראַפייער אין די קערן פּראָוכיבאַץ באַקטראַקינג, דאָס איז, אין פאַקט, לופּס און פונקציע רופט.

#define INTERNAL static __attribute__((always_inline))

מאַקראָו LOG() דיסייבאַלז דרוקן אין די מעלדונג בויען.

דער פּראָגראַם איז אַ קאַנווייער פון פאַנגקשאַנז. יעדער נעמט אַ פּאַקאַט אין וואָס די קאָראַספּאַנדינג מדרגה כעדער איז כיילייטיד, למשל, process_ether() ערווארט עס צו זיין אָנגעפילט ether. באַזירט אויף די רעזולטאַטן פון פעלד אַנאַליסיס, די פונקציע קענען פאָרן די פּאַקאַט צו אַ העכער מדרגה. דער רעזולטאַט פון די פֿונקציע איז די XDP קאַמף. דערווייַל, די SYN און ACK האַנדלערס פאָרן אַלע פּאַקיץ.

struct Packet {
    struct xdp_md* ctx;

    struct ethhdr* ether;
    struct iphdr* ip;
    struct tcphdr* tcp;
};

INTERNAL int process_tcp_syn(struct Packet* packet) { return XDP_PASS; }
INTERNAL int process_tcp_ack(struct Packet* packet) { return XDP_PASS; }
INTERNAL int process_tcp(struct Packet* packet) { ... }
INTERNAL int process_ip(struct Packet* packet) { ... }

INTERNAL int
process_ether(struct Packet* packet) {
    struct ethhdr* ether = packet->ether;

    LOG("Ether(proto=0x%x)", bpf_ntohs(ether->h_proto));

    if (ether->h_proto != bpf_ntohs(ETH_P_IP)) {
        return XDP_PASS;
    }

    // B
    struct iphdr* ip = (struct iphdr*)(ether + 1);
    if ((void*)(ip + 1) > (void*)packet->ctx->data_end) {
        return XDP_DROP; /* malformed packet */
    }

    packet->ip = ip;
    return process_ip(packet);
}

SEC("prog")
int xdp_main(struct xdp_md* ctx) {
    struct Packet packet;
    packet.ctx = ctx;

    // A
    struct ethhdr* ether = (struct ethhdr*)(void*)ctx->data;
    if ((void*)(ether + 1) > (void*)ctx->data_end) {
        return XDP_PASS;
    }

    packet.ether = ether;
    return process_ether(&packet);
}

איך ציען דיין ופמערקזאַמקייט צו די טשעקס אנגעצייכנט א און ב. אויב איר באַמערקן א, די פּראָגראַם וועט בויען, אָבער עס וועט זיין אַ וועראַפאַקיישאַן טעות ווען לאָודינג:

Verifier analysis:

<...>
11: (7b) *(u64 *)(r10 -48) = r1
12: (71) r3 = *(u8 *)(r7 +13)
invalid access to packet, off=13 size=1, R7(id=0,off=0,r=0)
R7 offset is outside of the packet
processed 11 insns (limit 1000000) max_states_per_insn 0 total_states 0 peak_states 0 mark_read 0

Error fetching program/map!

שליסל שטריקל invalid access to packet, off=13 size=1, R7(id=0,off=0,r=0): עס זענען דורכפירונג פּאַטס ווען די דרייַצנטן בייט פון די אָנהייב פון די באַפער איז אַרויס די פּאַקאַט. עס איז שווער צו פֿאַרשטיין פון די ליסטינג וואָס שורה מיר זענען גערעדט וועגן, אָבער עס איז אַ לימעד נומער (12) און אַ דיסאַסעמבלער וואָס ווייַזן די שורות פון מקור קאָד:

llvm-objdump -S xdp_filter.o | less

אין דעם פאַל עס ווייזט צו די שורה

LOG("Ether(proto=0x%x)", bpf_ntohs(ether->h_proto));

וואָס מאכט עס קלאָר אַז די פּראָבלעם איז ether. עס וואָלט שטענדיק זיין אַזוי.

ענטפער צו SYN

דער ציל אין דעם בינע איז צו דזשענערייט אַ ריכטיק SYNACK פּאַקאַט מיט אַ פאַרפעסטיקט seqnum, וואָס וועט זיין ריפּלייסט אין דער צוקונפֿט דורך די SYN קיכל. אַלע ענדערונגען פאַלן אין process_tcp_syn() און אַרומיק געביטן.

פּעקל וועראַפאַקיישאַן

מאָדנע גענוג, דאָ איז די מערסט מערקווירדיק שורה, אָדער גאַנץ, די קאָמענטאַר צו עס:

/* Required to verify checksum calculation */
const void* data_end = (const void*)ctx->data_end;

ווען שרייבן דער ערשטער ווערסיע פון ​​די קאָד, די 5.1 קערן איז געניצט, פֿאַר די וועראַפייער פון וואָס עס איז געווען אַ חילוק צווישן data_end и (const void*)ctx->data_end. אין דער צייט פון שרייבן, קערנעל 5.3.1 האט נישט האָבן דעם פּראָבלעם. עס איז מעגלעך אַז דער קאַמפּיילער איז אַקסעסט אַ היגע בייַטעוודיק אַנדערש ווי אַ פעלד. מאָראַל פון דער געשיכטע: סימפּלאַפייינג די קאָד קענען העלפֿן ווען עס איז אַ פּלאַץ פון נעסטינג.

ווייַטער זענען רוטין לענג טשעקס פֿאַר די כבוד פון די וועראַפייער; אָ MAX_CSUM_BYTES אונטן.

const u32 ip_len = ip->ihl * 4;
if ((void*)ip + ip_len > data_end) {
    return XDP_DROP; /* malformed packet */
}
if (ip_len > MAX_CSUM_BYTES) {
    return XDP_ABORTED; /* implementation limitation */
}

const u32 tcp_len = tcp->doff * 4;
if ((void*)tcp + tcp_len > (void*)ctx->data_end) {
    return XDP_DROP; /* malformed packet */
}
if (tcp_len > MAX_CSUM_BYTES) {
    return XDP_ABORTED; /* implementation limitation */
}

אַנפאָולדינג די פּעקל

מיר פּלאָמבירן אין seqnum и acknum, שטעלן ACK (SYN איז שוין באַשטימט):

const u32 cookie = 42;
tcp->ack_seq = bpf_htonl(bpf_ntohl(tcp->seq) + 1);
tcp->seq = bpf_htonl(cookie);
tcp->ack = 1;

ויסבייַטן טקפּ פּאָרץ, IP אַדרעס און מעק אַדרעסעס. דער נאָרמאַל ביבליאָטעק איז ניט צוטריטלעך פֿון די XDP פּראָגראַם, אַזוי memcpy() - אַ מאַקראָו וואָס כיידז די קלאַנג ינטרינסיקס.

const u16 temp_port = tcp->source;
tcp->source = tcp->dest;
tcp->dest = temp_port;

const u32 temp_ip = ip->saddr;
ip->saddr = ip->daddr;
ip->daddr = temp_ip;

struct ethhdr temp_ether = *ether;
memcpy(ether->h_dest, temp_ether.h_source, ETH_ALEN);
memcpy(ether->h_source, temp_ether.h_dest, ETH_ALEN);

רעקאַלקולאַטיאָן פון טשעקסאַמז

IPv4 און TCP טשעקסאַמז דאַרפן די אַדישאַן פון אַלע 16-ביסל ווערטער אין די כעדערז, און די גרייס פון די כעדערז איז געשריבן אין זיי, דאָס איז, אומבאַקאַנט אין די קאַמפּיילינג צייט. דאָס איז אַ פּראָבלעם ווייַל די וועראַפייער וועט נישט האָפּקען די נאָרמאַל שלייף צו די גרענעץ בייַטעוודיק. אָבער די גרייס פון די כעדערז איז לימיטעד: אַרויף צו 64 ביטעס יעדער. איר קענען מאַכן אַ שלייף מיט אַ פאַרפעסטיקט נומער פון יטעריישאַנז, וואָס קענען סוף פרי.

איך טאָן אַז עס איז רפק קסנומקס וועגן ווי צו טייל ריקאַלקיאַלייט די טשעקקסום אויב בלויז די פאַרפעסטיקט ווערטער פון די פּאַקאַדזשאַז זענען פארענדערט. אָבער, דער אופֿן איז נישט וניווערסאַל, און די ימפּלאַמענטיישאַן וואָלט זיין מער שווער צו טייַנען.

טשעקסום כעזשבן פֿונקציע:

#define MAX_CSUM_WORDS 32
#define MAX_CSUM_BYTES (MAX_CSUM_WORDS * 2)

INTERNAL u32
sum16(const void* data, u32 size, const void* data_end) {
    u32 s = 0;
#pragma unroll
    for (u32 i = 0; i < MAX_CSUM_WORDS; i++) {
        if (2*i >= size) {
            return s; /* normal exit */
        }
        if (data + 2*i + 1 + 1 > data_end) {
            return 0; /* should be unreachable */
        }
        s += ((const u16*)data)[i];
    }
    return s;
}

כאָטש size וועראַפייד דורך די פאַך קאָד, די רגע אַרויסגאַנג צושטאַנד איז נייטיק אַזוי אַז די וועראַפייער קענען באַווייַזן די קאַמפּלישאַן פון די שלייף.

פֿאַר 32-ביסל ווערטער, אַ סימפּלער ווערסיע איז ימפּלאַמענאַד:

INTERNAL u32
sum16_32(u32 v) {
    return (v >> 16) + (v & 0xffff);
}

אַקטואַללי ריקאַלקיאַלייטינג די טשעקסאַמז און שיקן די פּאַקאַט צוריק:

ip->check = 0;
ip->check = carry(sum16(ip, ip_len, data_end));

u32 tcp_csum = 0;
tcp_csum += sum16_32(ip->saddr);
tcp_csum += sum16_32(ip->daddr);
tcp_csum += 0x0600;
tcp_csum += tcp_len << 8;
tcp->check = 0;
tcp_csum += sum16(tcp, tcp_len, data_end);
tcp->check = carry(tcp_csum);

return XDP_TX;

פונקציאָנירן carry() מאכט אַ טשעקסום פון אַ 32-ביסל סאַכאַקל פון 16-ביסל ווערטער, לויט RFC 791.

TCP האַנדשייק וועראַפאַקיישאַן

דער פילטער ריכטיק יסטאַבלישיז אַ קשר מיט netcat, פעלנדיק די לעצט ACK, צו וואָס לינוקס ריספּאַנדיד מיט אַ RST פּאַקאַט, זינט די נעץ סטאַק האט נישט באַקומען SYN - עס איז קאָנווערטעד צו SYNACK און געשיקט צוריק - און פֿון די אַס פונט פון מיינונג, אַ פּאַקאַט אנגעקומען וואָס איז נישט שייך צו עפענען קאַנעקשאַנז.

$ sudo ip netns exec xdp-test   nc -nv 192.0.2.1 6666
192.0.2.1 6666: Connection reset by peer

עס איז וויכטיק צו קאָנטראָלירן מיט פול-פלעדזשד אַפּלאַקיישאַנז און אָבסערווירן tcpdump אויף xdp-remote ווייל, למשל, hping3 ריספּאַנד נישט צו פאַלש טשעקסאַמז.

SYN קיכל

פֿון אַ XDP פונט פון מיינונג, די וועראַפאַקיישאַן זיך איז נישטיק. דער כעזשבן אַלגערידאַם איז פּרימיטיוו און מסתּמא שפּירעוודיק פֿאַר אַ סאַפיסטאַקייטיד אַטאַקער. דער לינוקס קערן, פֿאַר בייַשפּיל, ניצט די קריפּטאָגראַפיק סיפּהאַש, אָבער זייַן ימפּלאַמענטיישאַן פֿאַר XDP איז קלאר ווייַטער פון דעם פאַרנעם פון דעם אַרטיקל.

באַקענענ פֿאַר נייַע טאָדאָ שייַכות צו פונדרויסנדיק קאָמוניקאַציע:

• XDP פּראָגראַם קען נישט קראָם cookie_seed (דער סוד טייל פון די זאַלץ) אין אַ גלאבאלע בייַטעוודיק, איר דאַרפֿן סטאָרידזש אין די קערן, די ווערט פון וואָס וועט זיין פּיריאַדיקלי דערהייַנטיקט פֿון אַ פאַרלאָזלעך גענעראַטאָר.

• אויב די SYN קיכל שוועבעלעך אין די ACK פּאַקאַט, איר טאָן ניט דאַרפֿן צו דרוקן אַ אָנזאָג, אָבער געדענקען די IP פון די וועראַפייד קליענט צו פאָרזעצן צו פאָרן פּאַקיץ דערפון.

לעגיטימע קליענט וועראַפאַקיישאַן:

$ sudoip netns exec xdp-test   nc -nv 192.0.2.1 6666
192.0.2.1 6666: Connection reset by peer

די לאָגס ווייַזן אַז די טשעק דורכגעגאנגען (flags=0x2 - דאָס איז SYN, flags=0x10 איז ACK):

Ether(proto=0x800)
  IP(src=0x20e6e11a dst=0x20e6e11e proto=6)
    TCP(sport=50836 dport=6666 flags=0x2)
Ether(proto=0x800)
  IP(src=0xfe2cb11a dst=0xfe2cb11e proto=6)
    TCP(sport=50836 dport=6666 flags=0x10)
      cookie matches for client 20200c0

כאָטש עס איז קיין רשימה פון וועראַפייד IP, עס וועט זיין קיין שוץ פון די SYN מבול זיך, אָבער דאָ איז דער אָפּרוף צו אַן ACK מבול לאָנטשט דורך די פאלגענדע באַפֿעל:

sudo ip netns exec xdp-test   hping3 --flood -A -s 1111 -p 2222 192.0.2.1

לאג איינסן:

Ether(proto=0x800)
  IP(src=0x15bd11a dst=0x15bd11e proto=6)
    TCP(sport=3236 dport=2222 flags=0x10)
      cookie mismatch

סאָף

מאל eBPF אין אַלגעמיין און XDP אין באַזונדער זענען דערלאנגט מער ווי אַ אַוואַנסירטע אַדמיניסטראַטאָר ס געצייַג ווי ווי אַ אַנטוויקלונג פּלאַטפאָרמע. טאקע, XDP איז אַ געצייַג פֿאַר ינטערפירינג מיט די פּראַסעסינג פון פּאַקיץ דורך די קערן, און נישט אַן אָלטערנאַטיוו צו די קערן אָנלייגן, ווי DPDK און אנדערע קערן בייפּאַס אָפּציעס. אויף די אנדערע האַנט, XDP אַלאַוז איר צו ינסטרומענט גאַנץ קאָמפּליצירט לאָגיק, וואָס, דערצו, איז גרינג צו דערהייַנטיקן אָן יבעררייַס אין פאַרקער פּראַסעסינג. דער וועראַפייער טוט נישט מאַכן גרויס פּראָבלעמס; פּערסנאַלי, איך וואָלט נישט אָפּזאָגן דעם פֿאַר פּאַרץ פון באַניצער פּלאַץ קאָד.

אין די רגע טייל, אויב די טעמע איז טשיקאַווע, מיר וועלן פאַרענדיקן די טיש פון וועראַפייד קלייאַנץ און דיסקאַנעקשאַנז, ינסטרומענט קאָונטערס און שרייַבן אַ באַניצער-ספּאַסע נוצן צו פירן די פילטער.

לינקס:

• גאַנץ קאָד אויף GitHub
• bpftrace אָפּנאַרן בלאַט
• BPF און XDP רעפערענץ גייד
• XDP טוטאָריאַל
• PoC: קאַמפּיילינג צו eBPF פֿון Rust

מקור: www.habr.com