使用 Pipy 和 eBPF 实现透明代理

于 2024-04-15 16:56:32 发布
阅读量1.1k 收藏 8
点赞数 11
文章标签: 负载均衡 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41455244/article/details/137787177
版权

背景

透明代理

透明代理是一种网络中间件,它能够在用户不知情的情况下拦截和转发网络流量。与传统代理不同,透明代理不需要在用户端配置特定的代理设置,而是通过在网络层面拦截流量来实现代理功能。透明代理通常被用于网络管理、安全策略实施、流量监控和优化等方面。它可以用于实现诸如内容过滤、缓存加速、流量控制、负载均衡等功能。常见的 TPROXY、NAT、Divert 等技术都可以用来实现透明代理。

eBPF

eBPF 是一种高效、灵活的内核技术,允许用户空间程序安全地执行预编译和限制在 Linux 内核空间中运行的程序(即 eBPF 程序),而不需要更改内核源代码或加载内核模块。近几年 eBPF 在网络方面的广泛应用,使其成为实现透明代理的可选技术之一。

Pipy 从 0.99.1 之后加入了对 BPF 的支持,可以加载和解析 BPF 程序;1.0 的语法升级,让其在实现控制逻辑方面更加得心应手。今天我们就来介绍如何使用 Pipy + eBPF 实现一个简单的透明代理。

注:文中所有的代码都可以在 Pipy 仓库中找到:https://github.com/flomesh-io/pipy/tree/main/samples/bpf/transparent-proxy。

快速开始

克隆代码。

git clone https://github.com/flomesh-io/pipy.git
cd samples/bpf/transparent-proxy

编译 BPF 程序,之后可以在目录中找到编译好的 .o 文件。

make

启动透明代理。

sudo pipy main.js

成功运行后,代理会监听端口 18000。接着我们发送请求测试一下:

curl -L bing.com

在代理的控制台,我们可以找到请求和相应的日志。

GET / bing.com
  301 Moved Permanently
GET / www.bing.com
  200 OK

在整个过程中,代理对客户端保持透明,无需进行任何代理配置。

接下来,我们将深入探讨透明代理的实现方式。

实现

eBPF 程序设计

在实现中用到了三个 eBPF 程序,每个程序负责不同的网络拦截与转发任务:

  • 连接建立时的地址替换第一个 eBPF 程序 cg_connect4 附加到 connect 系统调用上。当客户端尝试与目标服务器建立连接时,这个程序将目标的 IP 地址和端口替换为 Pipy 代理的地址(通常是本地地址 127.0.0.1)和端口。同时,它将原始的目标地址和端口保存到 struct sock 中,并将 socket 的 cookie 与该 sock 结构的映射关系保存在 map_socks 中,用于之后的查询和数据转发。
  • 连接成功后的源地址记录第二个 eBPF 程序 cg_sock_ops 在连接成功建立后执行,负责记录源地址和端口,并将这些信息更新到 map_socks 里对应的 sock 中。此外,它还将源端口和 socket 的 cookie 的映射关系保存在 map_ports 中,为后续数据转发提供必要的信息。
  • 基于原始目的地信息的连接与转发第三个 eBPF 程序 cg_sock_opt 触发于 Pipy 通过 getsockopt 查询原始
最低0.47元/天 解锁文章
Flomesh
关注
Linux 实现透明代理使用开源项目 tproxy-example)
Ronz 的博客
12-28 6415
一、透明代理概述 根据百度百科的资料:透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改变你的 request fields(报文),并会传送真实IP,多用于路由器的NAT转发中。 透明代理技术中的透明是指客户端感觉不到代理的存在,不需要在浏览器中设置任何代理,客户只需要设置缺省网关,客户的访问外部网络的数据包被发送到缺省网关,而这时缺省网关运行着一个代理服务器,数据实际上被被重定向到代理服务器的代理端口(如8080),即由本地代理服务器向外请求所需数据然后拷贝给客户端。理论上透明代理可以对任何协
第二届 eBPF 开发者大会分享回顾 - Pipy 与 eBPF:重塑系统级编程的新范式
dotNET跨平台
04-23 73
四月的西安,春意盎然,这座古城在温暖的春风中更添了几分旖旎风光。第二届 eBPF 开发者大会在西安顺利召开。本次大会由西安邮电大学主办,主题为“发挥 eBPF 技术力量,提升计算机系统可观测性和性能”,旨在探讨和分享 eBPF 技术的最新发展和应用。会议不仅提供 30 余场精彩报告,还特别准备了丰富的现场互动环节,确保每位参会者都能获得最前沿的技术信息和实际应用知识。Flomesh 应邀参加了本次...
透明代理
西京刀客
03-29 5214
概念 透明代理(简单代理):透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改编你的request fields(报文),并会传送真实IP。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理了。 高度匿名代理、普通匿名代理透明 参考URL: https://blog.csdn.net/bytxl/article/details/15334153 从隐藏使用代理用户的级别上划分...
透明代理(NAT)
向往天空的鱼
10-15 5016
透明代理实现目前实现的方式有NAT和TPROXY两种方式。此次我们借助iptables的nat表的规则对数据包进行重定向。具体配置及步骤如下。 试验环境 将试验环境的配置如下: 名称 IP地址 网关设置 客户端 192.168.200.184 192.168.200.111 代理服务器 192.168.200.111 192.168.200.1(内网真实网关IP) 服务器 172.16.9.66 ...
DNS 透明代理
weixin_30823227的博客
01-08 4335
DNS 透明代理 一、使用DNS负载均衡虚拟服务器(DNS * 53)的方式 ---推荐使用的方式 注意:只会代理跨内网网段的DNS查询请求 -------------------------------- # 配置设备工作模式和开启的功能 > enable ns mode FR MBF Edge USNIP L3 PMTUD Done > enable n...
Pipy是一个微型,高性能,高度稳定的可编程代理。-C/C++开发
05-27
Pipy是一个微型,高性能,高度稳定的可编程代理Pipy用C ++编写,建立在Asio异步I / O库的基础上,非常轻便且快速,使其成为服务网格边车的最佳选择之一...Pipy的核心是模块化设计,其中包含许多小型可重复使用的模块
python pipy 的使用
04-03
PyPI(Python Package Index)是一个用于Python编程语言的第三方软件包仓库,可以用来下载和安装Python软件包。以下是使用PyPI的步骤: 1. 安装pip pip是Python的包管理器,可以用来安装和管理PyPI中的软件包。...
FLIR图像元数据中PIPX1,PIPX2,PIPY1和PIPY2分别是什么意思
06-12
PIPX1、PIPX2、PIPY1和PIPY2是FLIR图像元数据中与像素坐标相关的参数。它们分别表示图像中感兴趣区域(ROI)的左上角和右下角像素的坐标。 具体含义如下: 1. PIPX1:感兴趣区域左上角像素的水平坐标。 2. PIPX2:...
透明代理配置方案
07-17
此文档是关于如何配置网络透明代理的设计方案和实现步骤以及具体的实现思路,珍贵
docker-proxy:Docker容器的透明代理,在Docker容器中运行
05-12
码头工人代理 用于Docker容器的透明缓存代理服务器,在Docker容器中运行。 它可以加快应用程序构建过程中依赖项的获取过程。 使用说明 首先检查代码。 然后用: sudo docker build -t docker-proxy . 然后运行: ./run.sh 该脚本将启动容器并设置适当的路由规则。 您的其他Docker容器将自动使用代理,无论它们是否已在运行。 完成后,只需按Ctrl C即可停止代理。 注意:此项目并非旨在通过简单的docker run -它要求run.sh在docker主机上运行,​​因此它可以调整路由规则。 您将需要检出此代码并在主机上运行run.sh 对于OS X,该文件位于您的 ,Docker Machine或类似主机上)。 要在OS X的下启动: docker-machine scp run.sh default:/home/docker/r
media-pipy的包,姿态检测小玩意
最新发布
05-27
这个项目可能包含了使用mediapipe库来实现姿态检测的Python代码,可能包括加载模型、处理输入视频或图像、显示检测结果等功能。通过运行这个项目,你可以看到如何在实际应用中整合mediapipe进行姿态检测,并且可能...
openwrt 透明代理上网
HD243608836的博客
07-07 9087
openwrt 透明代理上网 最近搞了个openwrt的router,以往都用代理来上网,但是代理每次都要设置端口啊,代理IP这些,觉得很心烦。现在好了,用openwrt搭建一个透明代理,让所有接上这个router的人都通过代理上网,还可以对他们监控和进行一些规则设定: ) 我的Local proxy是这样的,如图:   我的squid版本为2.7 非常多的电脑接入我的o
记玄妙莫测的透明代理
李兆龙的博客
05-20 3793
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。 本作品 (李兆龙 博文, 由 李兆龙 创作),由 李兆龙 确认,转载请注明版权。 若无特殊说明,内核源码版本为4.16.1 文章目录引言源码解析tproxy_tg4_v0tproxy_tg4nf_tproxy_get_sock_v4IP_TRANSPARENT总结 引言 Cool!一种完全透明的流量劫持方式。 从功能来看类似于让操作系统充当路由器,或者内置一个代理服务器,并允许部分流量被转移到用户空间处理,除此之外与ipta
透明代理 集群
逆雪寒的天坑
03-16 1815
<br />服务器: 243 配置<br /> <br />http_port 80 transparent icp_port 3130 cache_peer 192.168.1.241 sibling 80 3130 proxy-only dns_nameservers 202.103.224.68 202.103.225.68 visible_hostname beihai365_nat cache_dir ufs /var/spool/squid 2048 16 256 cache_mem
用 proxychains 做透明代理
chen3feng的专栏
07-29 9930
有时候需要连接某机器,但是直接连被屏蔽了,虽然可以用代理来搞定一些应用程序,但是很多程序不支持代理,或者只支持某些类型的代理,这时候就可以试一试 proxychains 这个软件了。比如:svn 只支持 HTTP 代理,不支持 socks4 代理,svn+ssh 方式也挺麻烦的,可以用一个 socks 转 HTTP 代理软件的,需要在 ~/.subversion/servers 利配置,用 proxychains 这个东西就更方便。proxychains 用起来就像 time, strace, ccache
透明代理和不透明代理
smallfatman的博客
08-03 2585
总的来说,透明代理在网络层面上自动拦截和转发请求,对客户端是透明的,客户端无需配置代理信息。综上所述,透明代理之所以需要先连接到路由再到代理服务器,是因为它在网络层面上实现透明转发的特性,通过与路由器协作来拦截并转发所有流量,让客户端无需额外的配置即可使用代理。相比之下,不透明代理需要客户端主动配置代理服务器的地址和端口,因此客户端需要明确指定请求的目标是通过代理服务器转发还是直接连接。透明代理的设计目标是在网络层面上实现透明代理转发,让客户端无需额外的配置即可使用代理
Squid----透明代理模式
XuMin6的博客
03-18 2614
Squid----透明代理模式 一:定义 ​ 透明代理提供的服务功能与传统代理是一致的,但是其“透明”的实现依赖于默认路由和防火墙的重定向策略,因此更适合局域网主机服务,而不适合为Internet中的客户机提供服务。 ​ 客户机不需要指定代理服务器的地址和端口,是通过默认路由,防火墙将web重定向给代理使用代理可以提高web的访问速度,同时可以隐藏客户机的真实IP地址,从...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值