微型网站 源码,网站说明页内容维护,宝安区网站建设,网站制作引擎引言
随着网络应用的不断发展#xff0c;在linux系统中对应用层网络管控的需求也日益增加#xff0c;而传统的iptables、firewalld等工具难以针对应用层进行网络管控。因此需要一种创新的解决方案来提升网络应用的可管理性。
本文将探讨如何使用eBPF技术构建一种应用层网络…引言
随着网络应用的不断发展在linux系统中对应用层网络管控的需求也日益增加而传统的iptables、firewalld等工具难以针对应用层进行网络管控。因此需要一种创新的解决方案来提升网络应用的可管理性。
本文将探讨如何使用eBPF技术构建一种应用层网络管控解决方案为linux系统上的网络管控带来一种新的可能。
相关技术介绍
eBPF
eBPFExtended Berkeley Packet Filter是一种在Linux内核中执行安全、可编程的字节码的技术。它最初是作为传统的Berkeley Packet FilterBPF的扩展而引入的用于网络数据包过滤和分析。然而随着时间的推移eBPF已经演变成一种通用的可编程框架不仅可以用于网络管控还可以应用于系统跟踪、安全监控、性能分析等领域。
eBPF具有灵活性和可扩展性通过编写自定义的eBPF程序开发人员可以根据特定的需求实现各种功能。同时eBPF还支持动态加载和卸载使得运行时可以根据需要加载不同的eBPF程序而无需重新编译内核。
eBPF的另一个重要特点那就是它的安全性。eBPF的字节码在内核中执行之前会经过严格的验证和限制以确保它不会对系统的稳定性和安全性造成破坏。这种安全性保证了BPF的可编程性不会成为潜在的安全漏洞。
由于eBPF的这些特性使其成为现在Linux系统上最炙手可热的一项技术。例如开源容器网络方案Cilium、开源Linux动态跟踪程序BCC、熟知的bpftrace等都是基于eBPF技术实现的。换句话说通过对eBPF字节码进行验证和限制系统能够保持稳定和安全同时还能实现BPF的灵活编程能力。
下图展示了eBPF所支持的所有追踪点可以发现eBPF可以探测几乎所有的子系统 KProbes
Kprobes是Linux内核中的一种动态跟踪机制它允许用户在内核的关键代码路径上插入探针以便在运行时捕获和分析内核事件。Kprobes可以在内核函数的入口和出口处插入探针以便观察函数的调用和返回情况。通过在关键代码路径上插入探针就可以收集各种内核事件的信息如函数调用次数、参数值、返回值等。
eBPF程序可由Kprobes事件驱动eBPF与Kprobes的结合可以实现内核级别的事件跟踪和分析。 eBPF Maps
eBPF Maps是一种键值对数据结构类似于传统编程语言中的字典或哈希表。它由键key和值value组成程序员可以根据需要定义键和值的类型并在eBPF程序中进行读取、写入和更新操作。它可以在用户空间和内核空间之间进行安全的数据传输避免了传统用户空间和内核空间之间的数据拷贝和安全隐患。 NFQUEUE
NFQUEUE利用Netfilter框架中的hook机制将选定的网络数据包从内核空间传递到用户空间进行处理。具体的工作流程如下
配置规则使用iptables或nftables等工具配置规则将特定的网络流量匹配到NFQUEUE。
注册队列在用户态程序中通过libnetfilter_queue库注册一个NFQUEUE队列并指定一个唯一的队列ID。
数据包传递当匹配到与规则相符的网络数据包时内核将其放入相应的NFQUEUE队列并将队列ID与网络数据包相关联。
用户态处理用户态程序通过监听注册的NFQUEUE队列可以接收到内核传递的网络数据包。程序可以对网络数据包进行处理、修改、过滤或记录等操作。
决策在用户态处理完网络数据包后可以根据需要决定是否接受、丢弃、修改或重定向网络数据包。 有固应用层网络管控实现
上面介绍了eBPF和NFQUEUE的基本概念可以发现eBPF和NFQUEUE都可以将内核中网络协议栈的网络数据包转发到用户态下面说明在UOS系统有固中网络管控方案的具体实现步骤
使用iptables配置NFQUEUE规则将系统中的网络数据包转发到NFQUEUE队列用户态程序从队列中获取数据包并对这些数据包进行研判是ACCEPT 还是DROP。但是NFQUEUE队列中的数据包并不包含应用层信息无法针对应用层信息进行研判那么就需要将每个网络数据包与具体的应用关联起来。
通过eBPF程序在内核网络协议栈相关函数的入口和出口处插入Kprobes探针这里将hook点设为tcp_v4_connect、tcp_v6_connect、security_socket_sendmsg。
每当系统中有网络流量产生的时候就可以截获其中的网络数据包送入eBPF程序处理。eBPF程序同时可以获取此时的进程IDPID并将PID与数据包进行绑定在之后处理数据包的时候就可以清晰的知道每个数据包是由哪个进程产生的了。通过eBPF Maps将绑定好PID的网络流量包送入用户空间至此eBPF程序完成了它的一次任务。当然对于监控的每个数据包eBPF程序都需要进行一次这样的处理。
在用户空间中通过PID可以获取到进程的相关信息例如启动时间、文件路径、进程状态等将这些信息收集起来保存供后续使用。
用户态程序通过数据包的 IP、端口、协议类型等信息将NFQUEUE队列中的数据包与eBPF模块捕获的数据包关联起来这样就知道NFQUEUE队列中每个数据包对应的进程信息。
将NFQUEUE队列中的数据包送入规则引擎对比配置好的流量规则对数据包作出研判。 优势
传统的linux网络管控方案如iptables、firewalld等都只能工作在网络层和传输层而该网络方案可以将网络管控扩展到应用层。对比firewalld的XML模版该方案在真正意义上实现了对应用层的网络管控。
规则配置、网络管控方式更加灵活该方案可以针对单个应用进行规则配置由于最后的处理过程是在应用态而非内核中的netfilter所以可以实现定制化的管控方式。
不足
由于NFQUEUE会将数据包转发到用户态处理这牺牲了一部分的性能。
在linux的网络协议栈中并非所有的网络流量都可以通过eBPF获取到对应的进程信息当前测试比较稳定的是应用程序的出口流量。
展望
eBPF是一项创新且强大技术在过去的 eBPF summit 2022中《The future of eBPF in the Linux Kernel》展望了 eBPF 的发展方向其中包括
更完备的编程能力当前 eBPF 的编程能力存在一些局限性比如不支持变量边界的循环指令数量受限等演进目标提供图灵完备的编程能力。
更强的安全性支持类型安全增强运行时 Verifier演进目标是提供媲美 Rust 的安全编程能力。
更广泛的移植能力增强 CO-RE加强 Helper 接口可移植能力实现跨体系、平台的移植能力。
更强的可编程能力支持访问/修改内核任意参数、返回值实现更强的内核编程能力。
结合以上eBPF即将会实现的新特性应用层的网络管控可以在eBPF模块中直接实现这样一来在降低性能开销的同时也提升了网络管控的灵活性。未来可以期待更多基于eBPF的应用层网络管控方案出现用于实现强大的应用层流量分析、智能的流量调度、自动化的安全防御和灵活的网络管控。这将为网络管理人员和开发人员提供更多的工具和技术以应对不断增长的网络挑战和需求。
