eBPF/XDP实现防火墙功能

已于 2022-08-29 01:03:21 修改
阅读量3.5k 收藏 10
点赞数 5
分类专栏: eBPF 文章标签: 云安全 acl
于 2022-02-13 08:52:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cugriver/article/details/122905062
版权

基于eBPF/XDP实现防火墙功能

概述

互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段,但是实际基于NetFilter的IpTables并不能解决该问题,因为其处理报文的位置已分配SKB,大量无效SKB会耗尽内存资源,拖垮服务器。但基于eBPF/XDP实现的防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全。

当然,仅靠eBPF/XDP防火墙是不能解决DDoS问题,防火墙只是手段,还需网络流分析系统识别流量特征并对其下发指令。

文本提供一个基于eBPF/XDP实现防火墙的思路和程序设计实现,码字不易,劳烦一键三连,感谢

环境配置 Ubuntu >= 20.10

  • 安装依赖库 elf & zlib
apt install -y libelf1 libelf-dev
apt install -y zlib1g zlib1g-dev apt install -y libcap2 libcap-dev
  • 安装编译器g++ & g++ & cmake & git
apt install -y git cmake g++ gcc pkg-config
gcc --version
gcc (Ubuntu 9.3.0-17ubuntu1~20.04) 9.3.0
g++ --version
g++ (Ubuntu 9.3.0-17ubuntu1~20.04) 9.3.0
git --version
git version 2.25.1
cmake --version
cmake version 3.16.3
pkg-config --version
0.29.1
  • 源码安装libbpf
git clone https://github.com/libbpf/libbpf.git
cd libbpf/src
make
make install

必备工具bpftool

uname -r        //查看内核版本
5.15.8-200.fc35.x86_64
wget https://mirrors.edge.kernel.org/pub/linux/kernel/v5.x/linux-`uname -r|awk -F '-' '{print $1}'`.tar.gz //下载内核源代码

tar -zxf linux-5.15.8.tar.gz
cd linux-5.15.8/tools/bpf/bpftool/
make
mv bpftool /usr/bin/

bpftool --version
bpftool v5.15.8

bpffs 持久化

mount | grep bpf
none on /sys/fs/bpf type bpf (rw,nosuid,nodev,noexec,relatime,mode=700) 

如果不存在则创建 bpffs
mount bpffs/sys/fs/bpf -t bpf

设计与实现

基于 eBPF/XDP 实现防火墙功能,支持四层网络,可以接受或者丢弃 IP+Port,或 IP/Mask+Port/Mask 的组合。DDoS 以大量无效报 文来浪费 CPU 资源来达到攻击目的。所以在数据路径上,越早处理 越安全。该服务在 XDP 位置挂载 eBPF 程序,在执行效率上明显高于 IPTables。

在程序设计方面,使用 eBPF LPM Map 在 eBPF 程序和用户态程 序共享储存。用户态程序将防火墙规则构造成 bitmap 数据结构并存 储到 map 中,eBPF 程序在数据路径上读取 map 数据并进行数据包过 滤,将满足条件的数据报文放行,否则丢包拒绝。防火墙规则如 下:

协议源IP源端口目的IP目的端口动作
属性示例
协议TCP UDP ICMP GRE
源IP101.101.102.0/24 10.10.10.10/32
源端口1-65535 22-444
目的IP101.101.102.0/24 10.10.10.10/32
目的端口1-65535 22-444
动作accept drop

若在匹配规则进行串型匹配,就会从走IPTables O(n)复杂度的老路,为了更高效的处理报文, 为了数据面尽可能的精简和高效,将复杂的规则映射到bitmap 这种高效的数据结构中, 控制面将规则生成对应的数据结构。构造 bitmap 需要 O(n),查询需要 O(logn)。

索引协议源IP源端口目的IP目的端口动作
#1tcp10.10.2.51-6553510.10.2.422accept
#2tcp10.10.2.51-6553510.10.2.480accept
#3udp10.10.2.6400010.10.2.43389accept

核心思路将规则生成6张表的bitmap索引。1 表示该规则有该属性,0表示该规则无该属性

协议表bitmap
tcp110
udp001
源IP表bitmap
10.10.2.5110
10.10.2.6001
目的IP表bitmap
10.10.2.4111
源端口表bitmap
1-65535110
4000001
目的端口表bitmap
22100
80010
3389001
动作表bitmap
accept111

  • udp 10.10.2.6 4000 10.10.2.4 3389
    b=001&001&001&001&111&111=001 ✅

  • udp 10.10.2.6 4000 10.10.2.4 3389
    b=001&001&001&001&111&111=001 ✅

  • udp 10.10.2.6 4001 10.10.2.4 3389
    b=001&001&000&111&001&111=000 ❌

  • tcp 10.10.2.5 4001 10.10.2.4 3 81
    b=110&110&110&000&111&111=000 ❌

防火墙程序

安装程序

dpkg-i fw-0.1.0-0-x86_64.deb 

systemctl start fw
systemctl stop fw

dpkg-rfw

接口指南

  • UpdateFirewall
POST http://192.168.56.4:3333
{
	"action":"UpdateFirewall",
	"traceId":"86475a74-c5a3-4632-9214-20bca82d433d",
	"version": 10,
	"rules":[
		{
			"protocol":"tcp",
			"srcIp":"119.119.119.119/32",
			"srcPort":"4000-5000",
			"dstIp":"10.10.2.1/24",
			"dstPort":"22-100",
			"action":"accept"
		}, 
		{
			"protocol":"icmp",
			"srcIp":"10.10.2.1/24",
			"dstIp":"10.10.2.1/24",
			"action":"accept"
		}
	]
}
  • QueryFirewall
POST http://192.168.56.4:3333
{
	"action":"QueryFirewall",
	"traceId":"b7be689f-0a1b-481b-bbb1-2cc987d3e809"
}

错误码表

错误码错误信息错误含义解决方式
1000read request body error读取请求错误重试
1100json format error请求参数格式错误检查请求发送格式 JSON
1101not support action error请求参数错误检查接口拼写
1200update firewall error更新防火墙失败权限不足 需要 ROOT 用户启动
1201query firewall error查询防火墙失败权限不足 需要 ROOT 用户启动

加载eBPF程序

unlink /sys/fs/bpf/fw

bpftool prog load /usr/local/fw/xdp/fw.bpf.o /sys/fs/bpf/fw \
		map name metadata pinned /sys/fs/bpf/metadata \
		map name ipv4_proto pinned /sys/fs/bpf/ipv4_proto \
		map name ipv4_nw_src pinned /sys/fs/bpf/ipv4_nw_src \
		map name ipv4_nw_dst pinned /sys/fs/bpf/ipv4_nw_dst \
		map name ipv4_tp_src pinned /sys/fs/bpf/ipv4_tp_src \
		map name ipv4_tp_dst pinned /sys/fs/bpf/ipv4_tp_dst \
		map name ipv4_action pinned /sys/fs/bpf/ipv4_action

bpftool prog show pinned /sys/fs/bpf/fw

359: xdp name xpd_handle_fw tag 5b2d17efc34ca615 gpl
loaded_at 2022-01-02T16:20:17+0800 uid 0
xlated 5336B jited 2982B memlock 8192B map_ids 35,5,10,15,20,25,30
btf_id 235

网卡设备关联eBPF

enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
	link/ether 08:00:27:f0:1e:41 brd ff:ff:ff:ff:ff:ff
	inet 10.10.2.4/24 brd 10.10.2.255 scope global dynamic enp0s3
	valid_lft 415sec preferred_lft 415sec
	inet6 fe80::a00:27ff:fef0:1e41/64 scope link
	valid_lft forever preferred_lft forever

ip link set dev enp0s3 xdp pinned /sys/fs/bpf/fw

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 xdpgeneric/id:359 qdisc pfifo_fast state UP group default qlen 1000
link/ether 08:00:27:f0:1e:41 brd ff:ff:ff:ff:ff:ff
inet 10.10.2.4/24 brd 10.10.2.255 scope global dynamic enp0s3
valid_lft 371sec preferred_lft 371sec
inet6 fe80::a00:27ff:fef0:1e41/64 scope link
valid_lft forever preferred_lft forever

ebpf

参考

[1]: https://facebookmicrosites.github.io/bpf/blog/2018/08/31 /object-lifetime.html
[2]: https://ebpf.io/what-is-ebpf

源码获取

程序设计文档, 免费获取文档,免费答疑

基于eBPF/XDP实现L4防火墙
02-27
互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段,但是实际基于NetFilter的IpTables并不能解决该问题,因为其处理报文的位置已分配SKB,大量无效SKB会耗尽内存资源,拖垮服务器。但基于eBPF/XDP实现防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全。
基于eBPF/XDP实现conntrack功能
06-19
但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以...
基于ebpf防火墙--bpf-iptables
网络安全研究
11-18 4538
1. iptables iptables应用广泛,但是存在一些问题: 规则更新,需要重新创建所有规则 规则匹配效率O(n) 2. nftables nftables于2014年提出,目标是替代iptables,它仍然基于netfilter。 nftables集成了{ip,ip6,arp,eb}tables 在用户空间代码改进了规则匹配算法 但是nftables/ufw/nf-hipac都没有成功,主要是因为iptables规则语法已经被普遍使用,切换新的规则语法代价太大。 3. bpf-iptabl
使用 eBPF 实现高性能网络监控
最新发布
桂月二二博客
02-06 476
eBPF(Extended Berkeley Packet Filter)是一种在 Linux 内核中运行的高效沙箱技术,允许开发者在不修改内核源码或加载内核模块的情况下,运行安全且高性能的程序。eBPF 最初用于网络数据包过滤,如传统的 Berkeley Packet Filter(BPF),但现在已扩展到监控、安全、跟踪和优化系统性能等多个领域。高效性:eBPF 代码在内核态执行,性能接近原生 C 代码。安全性:所有 eBPF 程序在执行前都会被验证,确保不会崩溃或影响系统稳定性。灵活性。
XDP-Firewall 项目使用教程
gitblog_00822的博客
08-15 1036
XDP-Firewall 项目使用教程 XDP-FirewallA firewall that utilizes the Linux kernel's XDP hook. The XDP hook allows for very fast network processing on Linux systems. This is great for dropping malicious traff...
ebpfsnitch:基于eBPF和NFQUEUELinux应用级防火墙
03-10
eBPFSnitch eBPFSnitch是基于eBPF和NFQUEUELinux应用级防火墙。 它的灵感来自和 ,但利用现代内核的抽象,没有一个内核模块。 eBPFSnitch守护程序在C ++ 17中实现。控制接口在Python 3中使用Qt5实现。 免责声明 这是一个实验项目。 此应用程序的安全性尚未经过第三方甚至我本人的审核。 可能有一些机制可以绕过它。 当前,守护程序控制套接字未经身份验证,攻击者可能会冒充用户界面进行自我授权。 特征 eBPFSnitch支持过滤所有基于IPv4的传出协议(TCP / UDP / ICMP等)。 在不久的将来应该支持对IPv6的过滤以及传入的连接。 该项目的核心目标是与容器化应用程序很好地集成。 如果应用程序在容器中运行,则可以独立于基本系统或其他容器来控制该容器。 此外,可以针对特定系统用户进行定位。 不需要为每个用户的Firefox每
ebpfxdp
suvil的专栏
05-29 179
github入门教程xdp
一文读懂eBPF/XDP
09-30 6425
XDP概述XDP数据结构XDPeBPF的关系XDP操作模式XDP操作结果码XDP和iproute2加载器XDP和BCCXDP是Linux网络路径上内核集成的数据包处理器,具有安全、可编程、高性能的特点。当网卡驱动程序收到数据包时,该处理器执行BPF程序。XDP可以在数据包进入协议栈之前就进行处理,因此具有很高的性能,可用于DDoS防御、防火墙、负载均衡等领域。XDP程序使用的数据结构是,而不是,可以视为的轻量级版本。 两者的区别在于:包含数据包的元数据,创建更早,不依赖与其他内核层,因此XDP可以更快的获
XDP784双偏振雷达基数据标准格式20170712_雷达基数据格式_c/C++_雷达数据读取_双基_
10-02
在C/C++编程环境下,开发用于读取和解析雷达基数据的软件可以实现高效的数据处理。C/C++语言因其性能强大和灵活性,常被用于处理大量数据和科学计算。为了读取XDP784格式的数据,开发者需要编写相应的代码来解析文件...
Cilium核心技术-eBPF XDP&TC介绍
weixin_38299404的博客
07-16 1595
eBPF 是一项革命性技术,它能在内核中运行沙箱程序(sandbox programs), 而无需修改内核源码或者加载内核模块。eBPF的一个重要特性是能够使用高级语言(如C)来实现程序。LLVM有一个eBPF后端,用于编辑包含eBPF指令的ELF文件,前端(如clang)可以用于生成程序。在一个后端转换为字节码后,使用bpf()系统调用加载bpf程序,并校验安全性。
eBPFSnitch:基于eBPF与NFQUEUE的Linux应用层防火墙
gitblog_00718的博客
11-05 939
eBPFSnitch:基于eBPF与NFQUEUE的Linux应用层防火墙 ebpfsnitch Linux Application Level Firewall based on eBPF and NFQUEUE. 项目地址: ...
基于eBPF/XDP快速转发
04-02
传统网络转发路径是从L2L3,查询路由表然后转发,中间解析报文且分配SKB。 XDP转发路径可以下沉L2, 解析报文再封装,无SKB分配,高效且快速。 购买设计文档免费送源码, 免费咨询
基于eBPF和NFQUEUELinux应用程序级防火墙。-C/C++开发
05-26
eBPFSnitch eBPFSnitch是基于eBPF和NFQUEUELinux应用程序级防火墙。 它受OpenSnitch和Douane的启发,但是利用现代技术eBPFSnitch eBPFSnitch是基于eBPF和NFQUEUELinux应用程序级防火墙。 它受到OpenSnitch和Douane的启发,但是利用了现代的内核抽象-没有内核模块。 eBPFSnitch守护程序在C ++ 20中实现。控制接口在Python 3中使用Qt5实现。 免责声明这是一个实验项目。 此应用程序的安全性尚未经过第三方甚至我本人的审核。 可能有一些机制可以绕过它。
深入理解 Cilium 的 eBPF 收发包路径
Docker的专栏
10-01 735
本文翻译自 2019 年 DigitalOcean 的工程师 Nate Sweet 在 KubeCon 的一篇分享:《Understanding (and Troubleshooting...
xdp-ebpf 简介
weixin_44260459的博客
02-12 645
根据众多博客资料,言简意赅的介绍xdp-ebpf. 小白一个,个人理解。勿喷! 1、bfp: Berkeley Packet Filter, 用于过滤filter 网络报文packet的架构。 是tcpdump(linux)和wireshark(windows)乃至网络监控(network monitoring)领域的基石。 其背后的思想是:“与其把数据包复制到用户空间执行用户态程序过滤,不如把过滤程序灌进内核去” ...
XDP, traffic control/tc/qdisc和netfilter在Linux的网络架构(packet flow in Netfilter and General Network)
meihualing的专栏
04-06 1414
packet flow in netfilter and general networking, XDP, netfilter, qdisc, traffic control, linux iproute2, linux tc工具, Linux网络架构
Android中的 eBPF 流量监控
Peter的专栏
06-03 2662
eBPF 网络流量工具结合使用内核与用户空间实现来监控设备自上次启动以来的网络使用情况。它提供了额外的功能(如套接字标记、分离前台/后台流量,以及按 UID 划分的防火墙),以根据手机状...
ebpf实现防火墙代码示例
03-28
下面是一个简单的ebpf程序,用于防止从指定IP地址和端口发送的流量: ``` #include <linux/bpf.h> #include <linux/in.h> #include <linux/if_ether.h> #include <linux/ip.h> struct bpf_map_def SEC("maps") whitelist = { .type = BPF_MAP_TYPE_HASH, .key_size = sizeof(struct in_addr), .value_size = sizeof(short), .max_entries = 1024, }; SEC("filter") int firewall(struct xdp_md *ctx) { void *data_end = (void *)(long)ctx->data_end; void *data = (void *)(long)ctx->data; struct ethhdr *eth = data; struct iphdr *ip = data + sizeof(struct ethhdr); struct in_addr src_ip = { .s_addr = ip->saddr }; struct in_addr dst_ip = { .s_addr = ip->daddr }; short *ports; if (ip->protocol != IPPROTO_TCP) return XDP_PASS; if (bpf_map_lookup_elem(&whitelist, &src_ip, &ports) == 0) { if (*ports == ntohs(((struct tcphdr *)(ip + 1))->dest)) return XDP_PASS; } if (bpf_map_lookup_elem(&whitelist, &dst_ip, &ports) == 0) { if (*ports == ntohs(((struct tcphdr *)(ip + 1))->source)) return XDP_PASS; } return XDP_DROP; } char _license[] SEC("license") = "GPL"; ``` 该程序使用了一个hash map来存储允许通过的IP地址和端口。在防火墙函数中,我们首先检查数据包是否是TCP协议,如果不是,则直接通过。然后我们检查源IP地址和目标IP地址是否在白名单中,如果是,则进一步检查端口号是否匹配。如果匹配,则通过数据包,否则丢弃它。 要使用该程序,我们需要先创建一个hash map,并将允许通过的IP地址和端口添加到map中: ``` ip_address=$(ip addr show eth0 | awk '$1 == "inet" { sub("/.*", "", $2); print $2 }') bpftool map create /sys/fs/bpf/firewall/whitelist type hash key sizeof(struct in_addr) value sizeof(short) max_entries 1024 bpftool map update pinned /sys/fs/bpf/firewall/whitelist key hex $ip_address value hex 80e1 ``` 这将创建一个名为“whitelist”的hash map,并将IP地址为“$ip_address”的端口“80e1”添加到map中。现在我们可以将ebpf程序加载到内核中: ``` bpftool prog load firewall.o /sys/fs/bpf/firewall bpftool prog attach xdp pinned /sys/fs/bpf/firewall ``` 这将把程序加载到内核中,并将它附加到xdp程序中。现在我们的防火墙就可以工作了,它将阻止从指定IP地址和端口发送的流量。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cugriver

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值