- 博客(11)
- 资源 (9)
- 收藏
- 关注
基于eBPF/XDP实现conntrack功能
连接跟踪(conntrack)是网络应用非常非常的基础,比如有状态防火墙 (firewall),网络地址转换(nat),负载均衡(lb)。Linux conntrack 是 基于 netfilter 实现的,如图所示,分别在 PREROUTING, POSTROUTING 位置前 和后对网络报文进行跟踪;但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以实 现一套连接跟踪功能, 这个该项目的核心思路。
购买文档,免费给源代码!!
购买文档,免费给源代码!!
购买文档,免费给源代码!!
2022-06-19
基于eBPF/XDP快速转发
传统网络转发路径是从L2L3,查询路由表然后转发,中间解析报文且分配SKB。 XDP转发路径可以下沉L2, 解析报文再封装,无SKB分配,高效且快速。
购买设计文档免费送源码, 免费咨询
2022-04-02
基于eBPF/XDP实现L4防火墙
互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段,但是实际基于NetFilter的IpTables并不能解决该问题,因为其处理报文的位置已分配SKB,大量无效SKB会耗尽内存资源,拖垮服务器。但基于eBPF/XDP实现的防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全。
2022-02-27
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人