LibreQoS Backend Architecture and Queueing Design - This is for all the nerds who want to delve into how #LibreQoS works on the backend:

https://libreqos.readthedocs.io/en/latest/docs/v2.0/libreqos-backend-architecture.html

#bufferbloat #FQ_CoDel #sch_CAKE #RFC8290 #latency #jitter #QoE #QoS #broadband #Kernel #QualityOfExperience #QualityOfService #Linux #XDP #eBPF #AQM #Espanol #ActiveQueueManagement #HierarchicalTokenBucket #LinuxKernel

XDP + Jenkins: высокоскоростной фильтр по TLS-отпечаткам

В период массового импортозамещения средств защиты от DDoS один из провайдеров перевёл свои центры очистки трафика на отечественное решение. Помимо стандартной защиты на уровне L4, провайдер позиционировал его нам как эффективную защиту от L7-атак за счёт механизма фильтрации по TLS-отпечаткам (тогда это был ещё JA3). Однако на практике мы показали, что рандомизация параметров отпечатка (cipher suites, extensions, порядок) позволяет обойти этот механизм и существенно снижает его эффективность против L7-атак. Стоит ли использовать механизмы защиты по отпечаткам JA3/JA4, зная о возможности обхода? Да, стоит. Процесс обхода требует от атакующего значительных ресурсов — кастомного TLS-клиента для генерации уникальных отпечатков. При дополнительной настройке, например, добавлении счётчика с разными лимитами для новых и известных отпечатков (более высокие лимиты для «белых» отпечатков), можно добиться высокой эффективности против ботовых L7-атак (флуд от ботов с повторяющимися отпечатками). В этой статье мы реализуем защиту на основе фильтрации TLS-отпечатков, вдохновлённую подходом JA4, но в упрощённой версии FST1 (по отсортированным cipher suites с использованием Jenkins-хэша). Почему не полноценный JA4? Из-за жёстких ограничений eBPF (ограниченный стек, запрет на сложные циклы, отсутствие динамической памяти и строгие правила верификатора ядра) реализация полного JA4 (с учётом всех расширений, ALPN и других параметров) становится крайне сложной.

https://habr.com/ru/articles/994962/

#xdp #ebpf #ddos #linux

Cloudflare chrání miliony webů po celém světě před DDoS útoky a dalšími hrozbami. Díky obrovské síti datacenter, vlastnímu softwaru a inteligentní automatizaci dokáže zachytit i ty nejmasivnější útoky, často během několika sekund, aniž by ohrozila přístup legitimních návštěvníků.

https://zdrojak.cz/clanky/proc-ma-cloudflare-spickovou-ddos-ochranu-a-jak-funguje/

Реализация гео-блокировки на основе eBPF/XDP

В 2022 году финансовый сектор, в частности банки, столкнулся с волной продолжительных и достаточно мощных DDoS-атак разных векторов. Среди них были и банальные L7 HTTP-флуды, не представлявшие собой ничего сложного в техническом плане, но для организаций с несколькими сотнями пользовательских сервисов и защитой от L7-атак только критичных из них, это стало серьезным вызовом. Типичная L4-защита не давала необходимой эффективности, а количество атакующих устройств было достаточно, чтобы забить каналы пропускной способностью в десятки гигабит. Тогда на помощь пришла фильтрация трафика по географическому признаку, поскольку основная часть атакующего трафика шла из-за границы. Применение гео-фильтрации оказалось достаточным, чтобы в критический момент восстановить доступность сервисов и выиграть время для настройки более точной защиты на основе детального анализа трафика. Этот опыт наглядно показал, что иногда простые решения оказываются наиболее эффективными в критических ситуациях. Гео-фильтрация, будучи грубым инструментом, в условиях DDoS-атаки может стать тем самым «спасательным кругом», который позволяет локализовать проблему и выиграть время для более тонкой настройки. Технология XDP (eXpress Data Path) идеально подходит для таких сценариев — она позволяет обрабатывать пакеты на самом раннем этапе, еще до того, как они попадут в сетевой стек ядра, что обеспечивает беспрецедентную производительность. Данной статьей хочется продемонстрировать, как с помощью XDP можно достаточно легко реализовать собственный гео-фильтр. Эту защиту можно реализовать, например, модулями nginx, но в таком случае все нежелательные запросы будут проходить полный сетевой стек операционной системы и потреблять ресурсы веб-сервера, прежде чем быть отклоненными. В нашем же случае защита отрабатывает до того, как пакеты поступят в сетевой стек ядра.

https://habr.com/ru/articles/966938/

#xdp #ebpf #ddos #linux

An eBPF Loophole: Using XDP for Egress Traffic

https://loopholelabs.io/blog/xdp-for-egress-traffic

#HackerNews #eBPF #XDP #EgressTraffic #Networking #TechInnovation

NSD 4.13.0 is now available. The most prominent new feature of our authoritative #DNS server is support for AF_XDP sockets.

With zero-copy disabled, we see a 1.7x improvement in handled queries per second compared to UDP through the network stack. We expect the improvement to be higher with a driver that fully supports AF_XDP zero-copy mode.

Release notes:
https://github.com/NLnetLabs/nsd/releases/tag/NSD_4_13_0_REL

Blog post:
https://blog.nlnetlabs.nl/experimental-support-for-af_xdp-sockets-in-nsd/

#XDP #EBPF

A hexamer tandem repeat RNA embedded within an SVA retrotransposon drives R-loop formation and neurodegeneration.

#Transposons #Retrotransposons #SVA #XLinkedDystoniaParkinsonism #XDP #Neurodegeneration #Organoids #ShortTandemRepeats #Rloops #AntisenseNucleotides

https://www.cell.com/cell-reports/fulltext/S2211-1247(25)00583-2