基于eBPF监测DOS攻击

于 2023-12-02 21:13:12 发布
阅读量742 收藏 9
点赞数 18
分类专栏: 系统安全 文章标签: 安全 系统安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/134757822
版权

本文实现一个简单的eBPF模块代码示例,用于监测可能的DOS攻击。在此示例中,我们使用eBPF的`kprobe`功能来监视`netif_receive_skb`系统调用,以在接收网络数据包之后执行一些检查。

```c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/version.h>
#include <linux/kprobes.h>

SEC("kprobe/netif_receive_skb")
int kprobe_netif_receive_skb(struct pt_regs *ctx)
{
    struct sk_buff *skb = (struct sk_buff *)PT_REGS_PARM1(ctx);
    
    // 检查以太网协议类型
    if (skb->protocol == htons(ETH_P_IP)) {
        struct iphdr *ip_hdr = (struct iphdr *)(skb->data + sizeof(struct ethhdr));
        
        // 检查IP协议类型
        if (ip_hdr->protocol == IPPROTO_TCP) {
            struct tcphdr *tcp_hdr = (struct tcphdr *)(skb->data + sizeof(struct ethhdr) + sizeof(struct iphdr));
            
            // 检查TCP标志位
            if (tcp_hdr->syn && !tcp_hdr->ack) {
                // 可能的DOS攻击
                // 打印日志或执行适当的操作
            }
        }
    }
    
    return 0;
}

char _license[] SEC("license") = "GPL";
```

上述代码中,我们在`netif_receive_skb`系统调用之前插入了一个`kprobe`,我们首先检查以太网协议类型是否为IP。然后,检查IP协议类型是否为TCP,并进一步检查TCP标志位是否为SYN,同时不是ACK。如果满足这些条件,则可能是DOS攻击,可以根据实际需求执行日志打印或其他操作。

要编译和加载此eBPF模块,需要确保系统已经安装了正确的eBPF和BCC(BPF Compiler Collection)工具,然后可以使用以下命令:

```bash
$ clang -O2 -target bpf -c dos_monitor.c -o dos_monitor.o
$ sudo tc filter add dev <interface> ingress bpf obj dos_monitor.o section kprobe_netif_receive_skb
```

根据系统和内核版本,上述命令可能会有所不同。请根据系统环境进行相应的调整和测试。

车联网安全杂货铺
关注
专栏目录
基于eBPF/XDP快速转发
04-02
**基于eBPF/XDP快速转发** eBPF(Extended Berkeley Packet Filter)是Linux内核中的一个技术,它提供了一种安全、灵活的机制来在内核中执行用户定义的程序,而无需修改内核代码。XDP(eXpress Data Path)是eBPF的...
eBPF/XDP实现防火墙功能
程序创坊
02-13 3216
eBPF/XDP实现防火墙功能
eBPF学习记录(一)eBPF介绍
jianjian的博客
02-18 1万+
一、什么是eBPF eBPF, 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。BPF 提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,这就让非内核开发人员也可以对内核进行控制。随着内核的发展,BPF 逐步从最初的数据包过滤扩展到了网络、内核、安全、跟踪等,而且它的功能特性还在快速发展中,这种扩展后的 BPF 被简称为 eBPF
面对 DDoS,你知道如何实现在 1 秒内丢弃掉 1000 万个网络数据包攻击吗?
程序员闪充宝
03-11 797
本文转载自:「C0reFast 记事本」原文:https://url.cn/58wrb9u偶然看到一篇 Cloudflare 的博客 How to drop 10 million pac...
polycube--基于ebpf/xdp的网络套件(网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器)
网络安全研究
11-19 3621
1. Polycube简介 Polycube是基于Linux ebpf/xdp的开源软件框架,提供了快速,轻量级的 网络功能,例如网桥,路由器,nat,负载平衡器,防火墙,DDoS缓解器等。 可以组合各个网络功能来构建任意服务链,并提供到名称空间,容器,虚拟机和物理主机的自定义网络连接。Polycube还支持多租户,可以同时启用多个虚拟网络。 Polycube还提供了使用此框架构建的两个可运行的独立应用程序。 PCN-K8S是Polycube基于CNI插件用于Kubernetes,它可以处理整个数据中心
eBPF用于Linux防火墙数据包过滤
Netfilter
11-03 1万+
自基于Netfilter的iptables取代ipchains之后,Linux防火墙技术貌似一直停留在iptables,虽然近年来nftables被宣称有取代iptables之势,但事实上并无起色。 无论是晚期ipchains,还是iptables,或者nftables,其底层基础均是Netfilter,一个精心设计的五点HOOKs框架,在软件意义上,这个设计非常棒,但是涉及到单机性能问题,总是退...
基于eBPF/XDP实现conntrack功能
06-19
但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以...
基于eBPF/XDP实现L4防火墙
02-27
互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段...但基于eBPF/XDP实现的防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全
基于eadb的eBPF开发环境
04-23
### 基于EADB的eBPF开发环境构建指南 #### 一、概述 随着eBPF(Extended Berkeley Packet Filter)技术的发展及其在多种场景中的广泛应用,如何在一个高效的环境中进行eBPF程序的开发变得尤为重要。特别是对于移动...
基于ebpf技术的学习社区与工具孵化平台设计源码
最新发布
09-29
该项目是一款基于eBPF技术的学习社区与工具孵化平台设计源码,总计包含1076个文件,涵盖多种编程语言,包括C、Go、JavaScript、Python、Vue、HTML、CSS等。旨在为eBPF初学者提供一个学习资料丰富、案例丰富的学习...
iptables filter表案例 iptables nat表应用
wanli245的博客
05-10 206
1,iptables filter表案例。编写脚本。vi /usr/local/sbin/iptables.sh#!/bin/bashipt="/usr/sbin/iptables"   //定义变量ipt$ipt -F                            //清空之前的规则,只针对filter表$ipt -P INPUT DROP        //预设策略INPUT链DROP...
使用XDP(eXpress Data Path)防御DDoS攻击
热门推荐
Netfilter
09-15 2万+
前段时间研究了一下bpf,我一直期待有个什么编译器可以把顺手写来的C代码编译成bpf字节码,然后作为iptables的一个match注入到内核…抑或直接用于我的n+1模型。当我把这个需求告诉温州皮鞋厂老板的时候,温州老板研究了几天后,告诉我一个叫做bcc(http://iovisor.github.io/bcc/)的东西,这玩意儿可以把C语言写成的代码编译成bpf字节码…这不正是我想要的吗?…  这
大规模微服务利器:eBPF 与 Kubernetes
Docker的专栏
09-24 1559
Daniel 是 eBPF 两位 maintainer 之一,目前在 eBPF commits 榜单上排名第一,也是 Cilium 的核心开发者之一。本文内容的时间跨度有 8 年,覆盖了...
ebpf调研
weixin_40129600的博客
02-24 117
互联网领域近年来热门-ebpf初探
eBPF技术实践:高性能ACL
字节跳动技术团队官方博客
06-08 1万+
本文是由字节跳动系统部 STE 团队出品的文章。对于 Linux 而言,iptables / nftables 是主流的网络 ACL(Access Control List)解决方案。近...
强大的MATLAB机器人工具箱Matlab_Robotic_Toolbox_v9.8及教程
gumenghua_com1的博客
01-06 2630
强大的MATLAB机器人工具箱Matlab_Robotic_Toolbox_v9.8及教程 Matlab_Robotic_Toolbox_v9.8是一个功能强大的机器人工具箱,包含了机器人正、逆向运动学,正、逆向动力学,轨迹规划等等,其中的可视化仿真使得学习抽象的机器人学变得相对直观、好理解。学习这个工具箱,对理解机器人学很有帮助。 工具箱的安装:将Matlab_Robotic_Toolbox_v9.8.rar解压后,放在matlab的安装目录下,最好是放在toolbox文件夹里,利用matlab的工具栏
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2431
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
xdp-ebpf 简介
wang603603的专栏
12-11 5904
根据众多博客资料,言简意赅的介绍xdp-ebpf. 小白一个,个人理解。勿喷! 1、bfp: Berkeley Packet Filter, 用于过滤filter 网络报文packet的架构。 是tcpdump(linux)和wireshark(windows)乃至网络监控(network monitoring)领域的基石。 其...
Linux性能优化实战学习笔记:第三十五讲=====网络
jj1130050965的博客
11-16 247
Linux性能优化实战学习笔记:第三十五讲 节回顾 前面内容,我们学习了 Linux 网络的基础原理以及性能观测方法。简单回顾一下,Linux网络基于 TCP/IP 模型,构建了其网络协议栈,把繁杂的网络功能划分为应用层、传输层、网络层、网络接口层等四个不同的层次,既解决了网络环境中设备异构的问题,也解耦了网络协议的复杂性。 基于 TCP/IP 模型,我们还梳理了 Linux 网络收发流程和相应的性能指标。在应用程序通过套接字接口发送或者接收网络包时,这些网络包都要经过协议栈的逐层处理。我们通常 用带宽、吞
基于ebpf写一个hello_world
11-24
以下是基于eBPF写一个hello_world的步骤: 1.安装依赖项和工具链 ```shell sudo apt-get update sudo apt-get install -y build-essential linux-headers-$(uname -r) libelf-dev clang llvm ``` 2.创建一个名为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值