Relying on iptables for volumetric DDoS mitigation is an exercise in futility. At 20M PPS, kernel context switching will completely starve your CPU.
The modern enterprise standard is eBPF & XDP.
Our engineering blueprint covers:
✅ Kernel Bypass via xdp_drop
✅ Handling multi-queue NIC race conditions using LRU_PERCPU_HASH maps
✅ Why 100Gbps Bare Metal is required to prevent upstream null-routes
Read the full guide:
🔗 https://www.servermo.com/howto/ebpf-xdp-ddos-protection/
For a long time, #LibreQoS has only gathered traffic data at “enqueue” time - when packets enter #Linux TC.
This has led to LibreQoS’s monitoring occasionally looking inaccurate - and fails to highlight just how tight the #sch_CAKE / #FQ_CoDel + HTB (#HierarchicalTokenBucket) traffic shaping really is. A recent update changed this.
Read about it in the newest devblog post from @herberticus
https://devblog.libreqos.com/posts/0014-kprobe/
#OpenSource #RFC8290 #XDP #eBPF #bufferbloat #latency #jitter #QoE #Qos #ISP
Собираем NetFlow-статистику через eBPF: от физических серверов до K8s
Привет, Хабр! Я работаю сетевым инженером в компании, которая занимается разработкой софта. В этой статье расскажу о том, как мы собираем статистику сетевого трафика, и о трудностях, с которыми столкнулись и успешно справились. Когда речь идёт о расследовании инцидентов, связанных с безопасностью своих ресурсов, «приблизительной» статистики недостаточно — нужны подробности. Однако, встроенные в сетевое оборудование решения (вроде sFlow/NetFlow) с этим, как правило, не справляются:
LibreQoS Backend Architecture and Queueing Design - This is for all the nerds who want to delve into how #LibreQoS works on the backend:
https://libreqos.readthedocs.io/en/latest/docs/v2.0/libreqos-backend-architecture.html
#bufferbloat #FQ_CoDel #sch_CAKE #RFC8290 #latency #jitter #QoE #QoS #broadband #Kernel #QualityOfExperience #QualityOfService #Linux #XDP #eBPF #AQM #Espanol #ActiveQueueManagement #HierarchicalTokenBucket #LinuxKernel
XDP + Jenkins: высокоскоростной фильтр по TLS-отпечаткам
В период массового импортозамещения средств защиты от DDoS один из провайдеров перевёл свои центры очистки трафика на отечественное решение. Помимо стандартной защиты на уровне L4, провайдер позиционировал его нам как эффективную защиту от L7-атак за счёт механизма фильтрации по TLS-отпечаткам (тогда это был ещё JA3). Однако на практике мы показали, что рандомизация параметров отпечатка (cipher suites, extensions, порядок) позволяет обойти этот механизм и существенно снижает его эффективность против L7-атак. Стоит ли использовать механизмы защиты по отпечаткам JA3/JA4, зная о возможности обхода? Да, стоит. Процесс обхода требует от атакующего значительных ресурсов — кастомного TLS-клиента для генерации уникальных отпечатков. При дополнительной настройке, например, добавлении счётчика с разными лимитами для новых и известных отпечатков (более высокие лимиты для «белых» отпечатков), можно добиться высокой эффективности против ботовых L7-атак (флуд от ботов с повторяющимися отпечатками). В этой статье мы реализуем защиту на основе фильтрации TLS-отпечатков, вдохновлённую подходом JA4, но в упрощённой версии FST1 (по отсортированным cipher suites с использованием Jenkins-хэша). Почему не полноценный JA4? Из-за жёстких ограничений eBPF (ограниченный стек, запрет на сложные циклы, отсутствие динамической памяти и строгие правила верификатора ядра) реализация полного JA4 (с учётом всех расширений, ALPN и других параметров) становится крайне сложной.
Cloudflare chrání miliony webů po celém světě před DDoS útoky a dalšími hrozbami. Díky obrovské síti datacenter, vlastnímu softwaru a inteligentní automatizaci dokáže zachytit i ty nejmasivnější útoky, často během několika sekund, aniž by ohrozila přístup legitimních návštěvníků.
https://zdrojak.cz/clanky/proc-ma-cloudflare-spickovou-ddos-ochranu-a-jak-funguje/
Реализация гео-блокировки на основе eBPF/XDP
В 2022 году финансовый сектор, в частности банки, столкнулся с волной продолжительных и достаточно мощных DDoS-атак разных векторов. Среди них были и банальные L7 HTTP-флуды, не представлявшие собой ничего сложного в техническом плане, но для организаций с несколькими сотнями пользовательских сервисов и защитой от L7-атак только критичных из них, это стало серьезным вызовом. Типичная L4-защита не давала необходимой эффективности, а количество атакующих устройств было достаточно, чтобы забить каналы пропускной способностью в десятки гигабит. Тогда на помощь пришла фильтрация трафика по географическому признаку, поскольку основная часть атакующего трафика шла из-за границы. Применение гео-фильтрации оказалось достаточным, чтобы в критический момент восстановить доступность сервисов и выиграть время для настройки более точной защиты на основе детального анализа трафика. Этот опыт наглядно показал, что иногда простые решения оказываются наиболее эффективными в критических ситуациях. Гео-фильтрация, будучи грубым инструментом, в условиях DDoS-атаки может стать тем самым «спасательным кругом», который позволяет локализовать проблему и выиграть время для более тонкой настройки. Технология XDP (eXpress Data Path) идеально подходит для таких сценариев — она позволяет обрабатывать пакеты на самом раннем этапе, еще до того, как они попадут в сетевой стек ядра, что обеспечивает беспрецедентную производительность. Данной статьей хочется продемонстрировать, как с помощью XDP можно достаточно легко реализовать собственный гео-фильтр. Эту защиту можно реализовать, например, модулями nginx, но в таком случае все нежелательные запросы будут проходить полный сетевой стек операционной системы и потреблять ресурсы веб-сервера, прежде чем быть отклоненными. В нашем же случае защита отрабатывает до того, как пакеты поступят в сетевой стек ядра.
An eBPF Loophole: Using XDP for Egress Traffic
https://loopholelabs.io/blog/xdp-for-egress-traffic
#HackerNews #eBPF #XDP #EgressTraffic #Networking #TechInnovation
ServerMO
LibreQoS
Habr
Zdroják
N-gated Hacker News
Hacker News
GripNews