基于eBPF监测DOS攻击

于 2023-12-02 21:13:12 发布
阅读量762 收藏 9
点赞数 18
分类专栏: 系统安全 文章标签: 安全 系统安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/134757822
版权

本文实现一个简单的eBPF模块代码示例,用于监测可能的DOS攻击。在此示例中,我们使用eBPF的`kprobe`功能来监视`netif_receive_skb`系统调用,以在接收网络数据包之后执行一些检查。

```c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/version.h>
#include <linux/kprobes.h>

SEC("kprobe/netif_receive_skb")
int kprobe_netif_receive_skb(struct pt_regs *ctx)
{
    struct sk_buff *skb = (struct sk_buff *)PT_REGS_PARM1(ctx);
    
    // 检查以太网协议类型
    if (skb->protocol == htons(ETH_P_IP)) {
        struct iphdr *ip_hdr = (struct iphdr *)(skb->data + sizeof(struct ethhdr));
        
        // 检查IP协议类型
        if (ip_hdr->protocol == IPPROTO_TCP) {
            struct tcphdr *tcp_hdr = (struct tcphdr *)(skb->data + sizeof(struct ethhdr) + sizeof(struct iphdr));
            
            // 检查TCP标志位
            if (tcp_hdr->syn && !tcp_hdr->ack) {
                // 可能的DOS攻击
                // 打印日志或执行适当的操作
            }
        }
    }
    
    return 0;
}

char _license[] SEC("license") = "GPL";
```

上述代码中,我们在`netif_receive_skb`系统调用之前插入了一个`kprobe`,我们首先检查以太网协议类型是否为IP。然后,检查IP协议类型是否为TCP,并进一步检查TCP标志位是否为SYN,同时不是ACK。如果满足这些条件,则可能是DOS攻击,可以根据实际需求执行日志打印或其他操作。

要编译和加载此eBPF模块,需要确保系统已经安装了正确的eBPF和BCC(BPF Compiler Collection)工具,然后可以使用以下命令:

```bash
$ clang -O2 -target bpf -c dos_monitor.c -o dos_monitor.o
$ sudo tc filter add dev <interface> ingress bpf obj dos_monitor.o section kprobe_netif_receive_skb
```

根据系统和内核版本,上述命令可能会有所不同。请根据系统环境进行相应的调整和测试。

车联网安全杂货铺
关注
专栏目录
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1520
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
使用eBPF&BCC提取内核网络流量信息
金荣的个人技术博客
07-27 3168
前言 本文将分享从0开始编写自己的bcc程序。那么开始编写bcc之前,自己一定要明确,我们要用bcc提取什么数据。本文的实例是统计内核网络中的流量,我要提取的数据关键字段为进程的PID,进程的名字,进程的收包实时流量、发包实时流量,收包流量总和,发包流量总和,总的收发流量等。 我们知道bcc是eBPF的一个工具集,是eBPF提取数据的上层封装,它的形式是python中嵌套bpf程序。python部分的作用是为用户提供友好的使用eBPF的上层接口,也用于数据处理。bpf程序会注入内核,提取数据。当bpf程序运
polycube--基于ebpf/xdp的网络套件(网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器)
网络安全研究
11-19 3672
1. Polycube简介 Polycube是基于Linux ebpf/xdp的开源软件框架,提供了快速,轻量级的 网络功能,例如网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器等。 可以组合各个网络功能来构建任意服务链,并提供到名称空间,容器,虚拟机和物理主机的自定义网络连接。Polycube还支持多租户,可以同时启用多个虚拟网络。 Polycube还提供了使用此框架构建的两个可运行的独立应用程序。 PCN-K8S是Polycube基于CNI插件用于Kubernetes,它可以处理整个数据中心
ebpf调研
weixin_40129600的博客
02-24 126
互联网领域近年来热门-ebpf初探
eBPF用于Linux防火墙数据包过滤
Netfilter
11-03 1万+
自基于Netfilter的iptables取代ipchains之后,Linux防火墙技术貌似一直停留在iptables,虽然近年来nftables被宣称有取代iptables之势,但事实上并无起色。 无论是晚期ipchains,还是iptables,或者nftables,其底层基础均是Netfilter,一个精心设计的五点HOOKs框架,在软件意义上,这个设计非常棒,但是涉及到单机性能问题,总是退...
基于eBPF/XDP快速转发
04-02
**基于eBPF/XDP快速转发** eBPF(Extended Berkeley Packet Filter)是Linux内核中的一个技术,它提供了一种安全、灵活的机制来在内核中执行用户定义的程序,而无需修改内核代码。XDP(eXpress Data Path)是eBPF的...
基于eBPF/XDP实现conntrack功能
06-19
但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以...
基于eBPF/XDP实现L4防火墙
02-27
互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段...但基于eBPF/XDP实现的防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全
基于ebpf技术的学习社区与工具孵化平台设计源码
最新发布
09-29
该项目是一款基于eBPF技术的学习社区与工具孵化平台设计源码,总计包含1076个文件,涵盖多种编程语言,包括C、Go、JavaScript、Python、Vue、HTML、CSS等。旨在为eBPF初学者提供一个学习资料丰富、案例丰富的学习...
基于eBPF收集操作系统信息+使用时间序列模型进行智能化的异常情况检测(源码+项目说明).zip
02-21
基于eBPF收集操作系统信息+使用时间序列模型进行智能化的异常情况检测(源码+项目说明).zip基于eBPF收集操作系统信息+使用时间序列模型进行智能化的异常情况检测(源码+项目说明).zip基于eBPF收集操作系统信息+...
eBPF/XDP实现防火墙功能
程序创坊
02-13 3285
eBPF/XDP实现防火墙功能
eBPF学习记录(一)eBPF介绍
jianjian的博客
02-18 1万+
一、什么是eBPF eBPF, 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。BPF 提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,这就让非内核开发人员也可以对内核进行控制。随着内核的发展,BPF 逐步从最初的数据包过滤扩展到了网络、内核、安全、跟踪等,而且它的功能特性还在快速发展中,这种扩展后的 BPF 被简称为 eBPF
面对 DDoS,你知道如何实现在 1 秒内丢弃掉 1000 万个网络数据包攻击吗?
程序员闪充宝
03-11 826
本文转载自:「C0reFast 记事本」原文:https://url.cn/58wrb9u偶然看到一篇 Cloudflare 的博客 How to drop 10 million pac...
iptables filter表案例 iptables nat表应用
wanli245的博客
05-10 211
1,iptables filter表案例。编写脚本。vi /usr/local/sbin/iptables.sh#!/bin/bashipt="/usr/sbin/iptables"   //定义变量ipt$ipt -F                            //清空之前的规则,只针对filter表$ipt -P INPUT DROP        //预设策略INPUT链DROP...
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2461
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
xdp-ebpf 简介
wang603603的专栏
12-11 5938
根据众多博客资料,言简意赅的介绍xdp-ebpf. 小白一个,个人理解。勿喷! 1、bfp: Berkeley Packet Filter, 用于过滤filter 网络报文packet的架构。 是tcpdump(linux)和wireshark(windows)乃至网络监控(network monitoring)领域的基石。 其...
Linux内核功能eBPF入门学习(一):BPF、eBPF、BCC等基本概念
eydwyz的专栏
08-13 4571
Linux内核观测技术BP https://www.lijiaocn.com/%E6%8A%80%E5%B7%A7/2019/02/25/ebpf-introduction-1.html 目录 目录 说明 BPF eBPF带来的新变化 eBPF使用 升级内核 eBPF代码示例 eBPF代码编译装载 使用BCC简化eBPF应用开发过程 BCC安装 BCC收集的eBPF应用 参考 说明 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指.
使用XDP(eXpress Data Path)防御DDoS攻击
热门推荐
Netfilter
09-15 2万+
前段时间研究了一下bpf,我一直期待有个什么编译器可以把顺手写来的C代码编译成bpf字节码,然后作为iptables的一个match注入到内核…抑或直接用于我的n+1模型。当我把这个需求告诉温州皮鞋厂老板的时候,温州老板研究了几天后,告诉我一个叫做bcc(http://iovisor.github.io/bcc/)的东西,这玩意儿可以把C语言写成的代码编译成bpf字节码…这不正是我想要的吗?…  这
Linux性能优化实战学习笔记:第三十五讲=====网络
jj1130050965的博客
11-16 259
Linux性能优化实战学习笔记:第三十五讲 节回顾 前面内容,我们学习了 Linux 网络的基础原理以及性能观测方法。简单回顾一下,Linux网络基于 TCP/IP 模型,构建了其网络协议栈,把繁杂的网络功能划分为应用层、传输层、网络层、网络接口层等四个不同的层次,既解决了网络环境中设备异构的问题,也解耦了网络协议的复杂性。 基于 TCP/IP 模型,我们还梳理了 Linux 网络收发流程和相应的性能指标。在应用程序通过套接字接口发送或者接收网络包时,这些网络包都要经过协议栈的逐层处理。我们通常 用带宽、吞
基于ebpf写一个hello_world
11-24
以下是基于eBPF写一个hello_world的步骤: 1.安装依赖项和工具链 ```shell sudo apt-get update sudo apt-get install -y build-essential linux-headers-$(uname -r) libelf-dev clang llvm ``` 2.创建一个名为helloworld.bpf.c的文件,并将以下代码复制到文件中: ```c #include <linux/bpf.h> #include <linux/version.h> #include <stddef.h> #include <stdint.h> char _license[] SEC("license") = "GPL"; int _version SEC("version") = LINUX_VERSION_CODE; SEC("kprobe/sys_clone") int bpf_prog(void *ctx) { char msg[] = "Hello, World!"; bpf_trace_printk(msg, sizeof(msg)); return 0; } ``` 3.创建一个名为helloworld.c的文件,并将以下代码复制到文件中: ```c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <linux/bpf.h> #include <bpf/libbpf.h> int main(int argc, char **argv) { struct bpf_object *obj; int prog_fd, err; /* Load the BPF object file */ err = bpf_prog_load("helloworld.bpf.o", BPF_PROG_TYPE_KPROBE, &obj, &prog_fd); if (err) { fprintf(stderr, "Failed to load BPF object file: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Attach the BPF program to the kprobe/sys_clone kernel function */ err = bpf_attach_kprobe(prog_fd, BPF_PROBE_ENTRY, "sys_clone"); if (err) { fprintf(stderr, "Failed to attach BPF program to kprobe/sys_clone: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Wait for the user to press Enter */ printf("Press Enter to detach the BPF program...\n"); getchar(); /* Detach the BPF program from the kprobe/sys_clone kernel function */ err = bpf_detach_kprobe(prog_fd, BPF_PROBE_ENTRY, "sys_clone"); if (err) { fprintf(stderr, "Failed to detach BPF program from kprobe/sys_clone: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Clean up */ bpf_object__close(obj); return EXIT_SUCCESS; } ``` 4.编译和链接BPF程序 ```shell clang -O2 -target bpf -c helloworld.bpf.c -o helloworld.bpf.o ``` 5.编译和链接用户空间程序 ```shell clang helloworld.c -o helloworld -lbpf ``` 6.运行用户空间程序 ```shell sudo ./helloworld ``` 7.在另一个终端窗口中查看BPF程序的输出 ```shell sudo cat /sys/kernel/debug/tracing/trace_pipe ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值