linux ebpf_防火墙拦截dns解析

linux ebpf_防火墙拦截dns解析自基于Netfilter的iptables取代ipchains之后,Linux防火墙技术貌似一直停留在iptables,虽然近年来nftables被宣称有取代iptables之势,但事实上并无起色。无论是晚期ipchains,还是iptables,或者nftables,其底层基础均是Netfilter,一个精心设计的五点HOOKs框架,在软件意义上,这个设计非常棒,但是涉及到单机性能问题,总是退…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

自基于Netfilter的iptables取代ipchains之后,Linux防火墙技术貌似一直停留在iptables,虽然近年来nftables被宣称有取代iptables之势,但事实上并无起色。

无论是晚期ipchains,还是iptables,或者nftables,其底层基础均是Netfilter,一个精心设计的五点HOOKs框架,在软件意义上,这个设计非常棒,但是涉及到单机性能问题,总是退让三分。

这让人不得开心颜,于是很多人花大量的时间精力投入到了防火墙优化中,当然,包括我自己在内。


如今,新一代的Linux防火墙技术出现了!是的,它就是基于eBPF的bpfilter!

eBPF是一个非常古老但最近才大行其道的技术,Linux内核中被埋下了越来越多的eBPF调用点,bpfilter正是基于这些非固定的,不断增多的HOOK点来其作用的,这和Netfilter固定的HOOK非常不同。

比如,XDP就是一个eBPF调用点。它位于网络协议栈的最底层,网卡层面,这里做数据包过滤非常高效,并且可以依托硬件特性将数据包过滤行为offload到硬件中,很棒的主意。

看起来非常令人遗憾的是,BPF(伯克利包过滤器)从名字上看虽然本身就是一个包过滤器,但是对于Linux系统而言,在包过滤领域,BPF除了用于抓包之外,在其它方面很少其关键作用。

不过,现在它的时代来了。事情正在起变化。

目前Linux内核中,XDP,TC,Socket是TCP/IP网络协议栈中三个关键的eBPF程序的调用点,可以想象,这种eBPF调用点会越来越多,它不像Netfilter那样是固定的5个或者说几个HOOK点。

所谓的eBPF调用点理解起来非常简单,就是在这些点上,内核会调用通过用户态灌进来的eBPF字节码,目前在网络协议栈领域最常用的eBPF调用点就是XDP了。

好了,大致框架就是以上这些,下面是试一试的时间。

为了让这一切run起来,我们要解决几个问题:

  • 如何编写eBPF过滤程序。
  • 如何编译eBPF过滤程序。
  • 如何将编译好的eBPF字节码灌进XDP。

目前,bpfilter的POC已经完美回到了上面的问题,详见:
https://lwn.net/Articles/747504/
https://www.netronome.com/blog/bpf-ebpf-xdp-and-bpfilter-what-are-these-things-and-what-do-they-mean-enterprise/
很棒的一个点就是,为了让iptables平滑过渡,bpfilter准备了一个非常trick的机制,可以将配置下发下来的iptables规则JIT编译成eBPF字节码到XDP。

然而这些都是宏观的东西,下面我来演示一下Step by Step的微观细节,我要解决一个实际问题,即:

  • 禁止enp0s3所有数据包。

如何编写eBPF程序呢?很容易,下面的C代码便是:

#include <linux/bpf.h>

#define __section(NAME) \ __attribute__((section(NAME), used))

__section("prog")
int drop_all(struct xdp_md *ctx)
{ 
   
	return XDP_DROP;
}

char __license[] __section("license") = "GPL";

如何编译它呢?

root@zhaoya-VirtualBox:~/xdp# clang -Wall -target bpf -c simple.c -o simple.o

如何使能它到enp0s3呢?

root@zhaoya-VirtualBox:~/xdp# ip link set dev enp0s3 xdp obj simple.o

作为骨灰级的Netfilter,iproute2玩家,我是一直跟随着最新进展,iproute2真的牛X到不行。

很多年前我玩Cisco ACL就知道,Cisco的做法是将ACL规则优化编译加载到网卡,如今Linux的eBPF字节码在XDP运行,也是一样的路子。

循序渐进,下面的例子稍微有点难度,需要自己来解析数据包,禁止所有的TCP数据包:

#include <linux/bpf.h>
#include <linux/in.h>
#include <linux/if_ether.h>
#include <linux/ip.h>

#define __section(NAME) __attribute__((section(NAME), used))

__section("prog")
int drop_tcp(struct xdp_md *ctx)
{ 
   
	int ipsize = 0;

	void *data = (void *)(long)ctx->data;
	struct iphdr *ip;

	ip = data + sizeof(struct ethhdr);

	if (ip->protocol == IPPROTO_TCP) { 
   
		return XDP_DROP;
	}

	return XDP_PASS;
}

char _license[] __section("license") = "GPL";

难道我们为了编写一条数据包过滤规则都要写个C程序吗?很多人并不具备编程能力,或者仅仅是不精通C,看起来根本没有必要必须写一个C程序。

好在有很多的前端可以帮我们生成字节码。

事实上我们常用的tcpdump就有这样的功能,当我们用-d,-dd执行tcpdump时,打印出来的就是过滤程序:

root@zhaoya-VirtualBox:~/xdp# tcpdump -i enp0s3 dst 11.22.33.44 -d
(000) ldh      [12]
(001) jeq      #0x800 jt 2 jf 4
(002) ld       [30]
(003) jeq      #0xb16212c jt 8 jf 9
(004) jeq      #0x806 jt 6 jf 5
(005) jeq      #0x8035 jt 6 jf 9
(006) ld       [38]
(007) jeq      #0xb16212c jt 8 jf 9
(008) ret      #262144
(009) ret      #0
root@zhaoya-VirtualBox:~/xdp# tcpdump -i enp0s3 dst 11.22.33.44 -dd
{ 
    0x28, 0, 0, 0x0000000c },
{ 
    0x15, 0, 2, 0x00000800 },
{ 
    0x20, 0, 0, 0x0000001e },
{ 
    0x15, 4, 5, 0x0b16212c },
{ 
    0x15, 1, 0, 0x00000806 },
{ 
    0x15, 0, 3, 0x00008035 },
{ 
    0x20, 0, 0, 0x00000026 },
{ 
    0x15, 0, 1, 0x0b16212c },
{ 
    0x6, 0, 0, 0x00040000 },
{ 
    0x6, 0, 0, 0x00000000 },
root@zhaoya-VirtualBox:~/xdp#

唉,又要搬家,这种日子持续了将近5年,终于快要结束了。作于两趟搬运之间的间隙,腰酸背痛!


浙江温江皮鞋湿,下雨进水不会胖。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/191103.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Wget 下载系列小记|使用linux centos wget下载 oracle 数据库| How do I download oracle databases on centos using wge…

    Wget 下载系列小记|使用linux centos wget下载 oracle 数据库| How do I download oracle databases on centos using wge…一、wget下载说明1、普通版wget”download_url”-Ofile_nameORcurl”download_url”-ofile_name2wget–load-cookies=./cookies.txt–no-check-certificate”file_url”-Ofile_nameORcurl–location–cooki…

  • vim中复制粘贴快捷键_复制文件的快捷键

    vim中复制粘贴快捷键_复制文件的快捷键yy复制游标所在行整行。或大写一个Y。 2yy或y2y复制两行。ㄟ,请举一反三好不好!:-) y^复制至行首,或y0。不含游标所在处字元。 y$复制至行尾。含游标所在处字元。 yw复制一个word。 y2w复制两个字(单词)。 yG复制至档尾。 y1G复制至档首。 p小写p代表贴至游标后(下)。 P大写P代表贴至游标前(上)。如果只是想使用系统粘贴板的话直接在输入模式按Shift+Inset…

  • async/await 的理解和用法

    async/await 的理解和用法async/await是什么async/await是ES7提出的基于Promise的解决异步的最终方案。asyncasync是一个加在函数前的修饰符,被async定义的函数会默认返回一个Promise对象resolve的值。因此对async函数可以直接then,返回值就是then方法传入的函数。//async基础语法asyncfunctionfun0(){console.log(1);return1;}fun0().then(val=>{conso

  • docker端口映射成功 不可用_docker启动后访问拒绝连接

    docker端口映射成功 不可用_docker启动后访问拒绝连接情境描述创建一个docker容器,并进行端口映射。容器启动后,在部署容器的主机上可以访问映射端口,但是其他主机无法访问。问题排查出现上述情况,应是请求被拦截。出现该问题的可能是由于firewall配置异常、ip转发关闭、iptables服务拦截了请求排查firewall(1)使用firewall-cmd–state查看防火墙运行情况如果防火墙处于notrunning,则可以排除…

    2022年10月17日
  • java-jdk8下载及安装

    java-jdk8下载及安装转载自:https://www.cnblogs.com/chenxj/p/10137221.html1、下载JDK;a、直接官网下载:http://www.oracle.com/;b、或百度网盘

  • docker结构框架图

    docker结构框架图

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号