L4Drop: XDP DDoS Mitigations 翻译 XDP DDOS 缓解

最新推荐文章于 2024-06-24 09:36:38 发布
最新推荐文章于 2024-06-24 09:36:38 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 玩转Linux编程 职场生涯

原文链接

https://blog.cloudflare.com/l4drop-xdp-ebpf-based-ddos-mitigations/

有效的丢包是Cloudflare公司环境DDoS攻击的关键所在。我们在丢包库中引入了一个新工具:L4DROP

我们在过去已经写了大量关于DDoS缓解的文章,包括:

GateBot:分析可疑流量,并部署和可疑流量相匹配的缓解措施

bpftools:根据DNS queries, p0F signatures, or tcpdump filters的数据包来生成bpf字节

Iptables: 使用xt_bpf模块和生成的bpg字节来匹配流量,然后丢弃它

Floodgate:INPUT流量绕过内核直接转到用户空间中的BPF解释器,从而有效地丢弃与bpftools生成的BPF规则匹配的数据包。

iptables 和 Floodgate程序同时发送流量样本给Gatebot用于流量分析,使用bpftools生成的规则来过滤INPUT流量,如下图所示

 

编程实战营
关注
专栏目录
bpftools, BPF工具包分析工具包.zip
09-18
bpftools, BPF工具包分析工具包 BPF工具介绍性博客文章:http://blog.cloudflare.com/bpf-the-forgotten-bytecode/http://blog.cloudflare.com/introducing-the-bpf-t
eBPF/XDP实现防火墙功能
程序创坊
02-13 3199
eBPF/XDP实现防火墙功能
探索Linux性能的神秘钥匙:BPF-tools 开源项目深度剖析
最新发布
gitblog_00073的博客
06-24 326
探索Linux性能的神秘钥匙:BPF-tools 开源项目深度剖析 项目地址:https://gitcode.com/brendangregg/BPF-tools 项目介绍 在Linux性能监控与调试的世界中,有一把开启深层洞察力的钥匙——那就是BPF-tools。这是一片由Brendan所开拓的开发空间,专门用于孕育利用扩展的Berkeley Packet Filter(eBPF)技术构建的Li...
XDP实现DNS Query Name Blacklist Filter(一)
qq_45675153的博客
12-17 343
Query Name Blacklist是抵抗对DNS服务器的DDoS攻击的一种filter,攻击者在发起攻击时通常使用形如www.FIXED-QUERY.com或RANDOM-STRING.FIXED-SUFFIX.com的域名,即这些攻击域名中存在一定共同部分,通过发现这些共同部分,可以将攻击请求在到达DNS服务器真正被处理之前过滤掉,从而达到抵抗DDoS的目的。
上手 bpftool
龙瑜的博客
11-22 9848
bpftool 是什么 bpftool 是一个用来检查 BPF 程序和映射的内核工具。 如何编译安装 bpftool bpftool 源码在 tools/bpf/bpftool 中,直接 cd 到这个路径中,然后执行 make && make install 即可。 这里我使用了 V=1 来输出更详细的信息,过程记录如下: root@debian-10:12:12:04] bpftool # make && make V=1 install make[1]: 进入目录“/ho
bpftool安装教程
weixin_44260459的博客
02-20 5508
安装bpftool: 原本是没有安装bpftool的,输入bpftool后提示如上图所示,提示了集中安装方法,分别是安装不同的版本。 由于我一开始也不会用,所以就选了第一个版本最高的,根据提示输入命令 确实成功安装了,但是用不了,,,,因为我忽略了自己的内核版本。。。 于是又按照提示输入: apt install linux-tools-5.13.0-30-generic 并执行了第二条命令: apt install linux-tools-generic 于...
XDP_DDoS_protecting_osd2017.pdf
10-10
XDP(Express Data Path)是一种高性能、可编程的数据平面技术,专门用于DDoS(分布式拒绝服务)防护。它是基于eBPF(extended Berkeley Packet Filter)实现的,一个高效的用户空间数据处理框架。XDP与Linux内核...
基于eBPF/XDP实现conntrack功能
06-19
但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以...
xdp-tools-1.2.9
06-12
**XDP(Extreme Dataplane)工具集1.2.9版详解** XDP,全称为eXpress Data Path,是Linux内核中一个高效的数据包处理框架,它允许开发者在数据包进入或离开网络接口卡(NIC)时进行低延迟、高性能的处理。XDP工具集...
基于eBPF/XDP快速转发
04-02
**基于eBPF/XDP快速转发** eBPF(Extended Berkeley Packet Filter)是Linux内核中的一个技术,它提供了一种安全、灵活的机制来在内核中执行用户定义的程序,而无需修改内核代码。XDP(eXpress Data Path)是eBPF的...
基于eBPF/XDP实现L4防火墙
02-27
互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段...但基于eBPF/XDP实现的防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全。
xpress-dns:由eBPF支持的实验性XDP DNS服务器
03-22
Xpress DNS-实验XDP DNS服务器 关于 Xpress DNS是用BPF编写的实验性DNS服务器,用于高吞吐量,低延迟的DNS响应。 它使用在Linux网络路径的早期处理数据包。 提供了一个用户空间应用程序,用于将DNS记录添加到BPF映射中,该映射由XDP模块从内核中读取。 不匹配的DNS请求将传递到Linux网络堆栈。 用例 Xpress DNS可以用作对静态DNS记录的常见DNS请求的高性能DNS代理。 通过在Linux网络堆栈处理数据包之前响应DNS请求,可以减轻系统和用户空间中DNS服务器的负载。 特点与局限性 目前支持A记录 仅支持基于UDP的纯DNS(端口53) 基本的EDNS实施 目前仅响应单个查询 没有递归查找 要求 需要5.8或更高版本的内核,因为此程序使用bpf_xdp_adjust_tail调用来扩展数据包大小。 参见 ,合并于5.8。 iprout
XDP调试接口设计参考.pdf
04-13
Debug Port Design GUID . XDP接口调试,设计。一些参数。
XDP入门--bpftool使用方法简介
meihualing的专栏
05-31 2657
XDP, eBPF, bpftool, eBPF编程与调试
基于eBPF监测DOS攻击
李老板的移动安全杂货铺
12-02 739
上述代码中,我们在`netif_receive_skb`系统调用之前插入了一个`kprobe`,我们首先检查以太网协议类型是否为IP。然后,检查IP协议类型是否为TCP,并进一步检查TCP标志位是否为SYN,同时不是ACK。如果满足这些条件,则可能是DOS攻击,可以根据实际需求执行日志打印或其他操作。本文实现一个简单的eBPF模块代码示例,用于监测可能的DOS攻击。在此示例中,我们使用eBPF的`kprobe`功能来监视`netif_receive_skb`系统调用,以在接收网络数据包之后执行一些检查。
XDP-syncookie实现方式
linux_map的博客
04-03 1785
XDP程序 syncookie下沉到网卡驱动
使用XDP(eXpress Data Path)防御DDoS攻击
热门推荐
Netfilter
09-15 2万+
前段时间研究了一下bpf,我一直期待有个什么编译器可以把顺手写来的C代码编译成bpf字节码,然后作为iptables的一个match注入到内核…抑或直接用于我的n+1模型。当我把这个需求告诉温州皮鞋厂老板的时候,温州老板研究了几天后,告诉我一个叫做bcc(http://iovisor.github.io/bcc/)的东西,这玩意儿可以把C语言写成的代码编译成bpf字节码…这不正是我想要的吗?…  这
XDP-内核可编程数据包处理方案
Ray的博客
10-29 4384
论文:《The eXpress Data Path: Fast Programmable Packet Processing in the Operating System kernel》 大纲 高速数据包处理的挑战 XDP设计 性能评估 XDP应用 总结 高速数据包处理的挑战 高速数据包处理 How to drop 10 million packets per second 解决方案 kernel bypass: DPDK, 完全绕过内核协议栈,由专门的网络应用程序操作网络硬件,并为数据包处理任.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值