总投资35亿!五松半导体项目落户西部(重庆)科学城
06-06
之前的文章已经看了蛮多了,看来网上的话题比较流行。在这篇文章中,我们继续探索BPF在网络领域的应用:使用BPF实现安全组。
根据腾讯云的文档,安全组的概念如下:安全组是一个具有状态包过滤功能的虚拟防火墙。用于设置云服务器、负载均衡、云数据库等实例的网络访问控制,以及控制实例级别。
进出流量是网络安全隔离的重要手段。在本文中,我们将实现以下规则: 代码语言:txt copy 0.0.0.0/0:6 ---> TCP:00.0.0.0/0:* -x-> TCP:0 即允许所有源端口6 TCP流量访问服务器的0端口,其他端口访问的流量被丢弃(本文只讨论入站流量的过滤,当然出站流量的限制也是可行的)。
XDP和BPFXDP是eXpress Data Path的缩写,它为Linux内核中的BPF提供了一个框架,以实现高性能的可编程数据包处理。当网络驱动程序接收到以太网帧时,它在整个软件堆栈的起点运行 BPF 程序。
回到本文的主题,我们可以通过将安全组规则翻译成BPF程序并使用XDP挂载到网卡设备上执行来达到我们的目的。实现上述功能的BPF程序如下:代码语言:txt复制#include
目的端口是否为0,如果是,进一步判断源端口是否为6,以判断是否允许入站流量。在整个程序中,指针边界的判断是必要的。
如果缺少,程序将无法通过内核BPF。验证器的验证。
(程序中我们忽略未知/不完整的数据)最后编译成二进制文件sg.bpf.o。另外,我们还需要一个简单的服务器程序来验证功能: 代码语言:txt 复制包 mainimport ("io""log""net")funcserve(c net.Conn) {defer c.Close()log. Printf ("客户端已连接:%s\n", c.RemoteAddr().String())io.Copy(c, c)log.Printf("客户端已关闭:%s\n", c.RemoteAddr(). String ())}func main() {lis, err := net.Listen("tcp", ":0")if err != nil {panic(err)}for {conn, err := lis.Accept( ) if err != nil {panic(err)}goserve(conn)}} 程序的功能非常简单。
它侦听端口 0。对于每个连接的客户端,它会回显客户端的输入。
最后编译成可执行程序testserver。在实验中加载BPF程序之前,我们首先运行服务器程序进行测试。
代码语言:txt。复制 $./testserver 然后从另一台主机连接到此服务。
在两个不同的终端上执行以下命令。 : 代码语言:txt copy $nc $(SERVER_IP) 0 -p 6hellohello 代码语言:txt copy $nc $(SERVER_IP) 0hihi 可以看到,两个客户端都能正常访问服务器。
现在,我们加载上面的 BPF 程序: 代码语言:txt copy $ sudo ip link set dev eth0 xdpgeneric obj sg.bpf.o sec xdp verbose 将 BPF 程序加载到 eth0 网卡上(这里选择 xdpgeneric 作为运行模式是因为实验环境中的虚拟机不支持 xdpdrv /xdpoffload )。现在,再次尝试在两个终端中向服务器发送数据: 代码语言:txt copy $ nc$(SERVER_IP) 0 -p 6 hellohelloheyhey 代码语言:txt copy $nc$(SERVER_IP) 0 hihino 回复 性能符合预期。
源端口 6 的客户端仍然可以向服务器发送数据并接收响应,而其他客户端则不断重传,直到服务器重置连接。本文的代码可以在这里找到。
结论 本文探讨了使用 XDP 和 BPF 来实现自定义安全组,以编程方式控制对入站流量的访问。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-06
06-06
06-17
06-18
06-17
06-21
最新文章
【玩转GPU】ControlNet初学者生存指南
【实战】获取小程序中用户的城市信息(附源码)
包雪雪简单介绍Vue.js:开学
Go进阶:使用Gin框架简单实现服务端渲染
线程池介绍及实际案例分享
JMeter 注释 18 - JMeter 常用配置组件介绍
基于Sentry的大数据权限解决方案
【云+社区年度征文集】GPE监控介绍及使用