ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Компания Cloudflare представила открытый проект xdpcap, в рамках которого развивается похожий на tcpdump анализатор сетевых пакетов, построенный на основе подсистемы XDP (eXpress Data Path). Код проекта написан на языке Go и распространяется под лицензией BSD. Проектом также подготовлена библиотека для привязки eBPF-обработчиков трафика из приложений на языке Go.

Утилита xdpcap совместима с выражениями фильтрации tcpdump/libpcap и позволяет обрабатывать на том же оборудовании существенно большие объёмы трафика. Xdpcap также может применяться для отладки в условиях, в которых обычный tcpdump неприменим, например, когда применяются системы фильтрации, защиты от DoS-атак и балансировки нагрузки, использующие подсистему ядра Linux XDP, обрабатывающую пакеты на стадии до их обработки сетевым стеком ядра Linux (tcpdump не видит пакеты, отброшенные обработчиком XDP).

Высокая производительность достигается благодаря применению подсистем eBPF и XDP. eBPF представляет собой встроенный в ядро Linux интерпретатор байткода, позволяющий создавать высокопроизводительные обработчики входящих/исходящих пакетов с принятием решений об их перенаправлении или отбрасывании. При помощи JIT-компилятора байткод eBPF на лету транслируется в машинные инструкции и выполняется с производительностью нативного кода. Подсистема XDP (eXpress Data Path) дополняет eBPF возможностью запускать BPF-программы на уровне сетевого драйвера, с поддержкой прямого доступа к DMA-буферу пакетов и работой на стадии до выделения буфера skbuff сетевым стеком.

Как и tcpdump утилита xdpcap вначале транслирует высокоуровневые правила фильтрации трафика в классическое представление BPF (cBPF) при помощи штатной библиотеки libpcap, после чего преобразует их в форму подпрограмм eBPF, используя компилятор cbpfc, использующий наработки LLVM/Clang. На выходе сведения о трафике сохраняются в стандартном формате pcap, что позволяет использовать подготовленный в xdpcap дамп трафика для последующего изучения в tcpdump и других существующих анализаторах трафика. Например, для захвата сведений о трафике DNS вместо команды "tcpdump ip and udp port 53" можно запустить "xdpcap /path/to/hook capture.pcap 'ip and udp port 53'", после чего использовать файл capture.pcap, например, с командой "tcpdump -r" или в Wireshark.