综合实战：构建 eBPF 网络安全工具

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

657 字

2 分钟

综合实战：构建 eBPF 网络安全工具

2026-04-19

eBPF

/

安全

/

工程实践

前 17 章从 eBPF 虚拟机、验证器、Map 数据结构、Hook 点、CO-RE，一路走到 XDP、TC、LSM、Cilium、生产部署。现在到了综合运用的时候——从零构建一个三层 eBPF 网络安全工具。

一、项目概述#

1.1 三层安全架构#

graph TB subgraph "三层安全工具" L1["Layer 1: XDP 防 DDoS 最早拦截点"] L2["Layer 2: TC 流量控制 可访问 skb"] L3["Layer 3: LSM 进程监控 安全检查点"] end NET["网络数据包"] --> L1 L1 -->|"XDP_PASS"| L2 L2 -->|"进入应用"| APP["应用程序"] APP -->|"系统调用"| L3 CTRL["Go 控制平面 规则管理 + 指标导出"] CTRL -->|"更新 Map"| L1 & L2 & L3 style L1 fill:#ffcdd2,stroke:#c62828 style L2 fill:#fff9c4,stroke:#f9a825 style L3 fill:#e1bee7,stroke:#6a1b9a

1.2 功能列表#

层级	功能	Hook 点	详见
XDP	IP 黑名单、速率限制、SYN Flood 防护	XDP 入口	Ch7 XDP
TC	带宽限制、连接跟踪、端口过滤	TC ingress/egress	Ch8 TC
LSM	进程执行监控、文件访问控制、提权检测	LSM BPF	Ch10 eBPF安全

二、Layer 1：XDP 防 DDoS#

2.1 XDP 程序#

1
#include <linux/bpf.h>
2
#include <bpf/bpf_helpers.h>
3
#include <linux/if_ether.h>
4
#include <linux/ip.h>
5
#include <linux/tcp.h>
6

7
// Map：IP 黑名单
8
struct {
9
    __uint(type, BPF_MAP_TYPE_HASH);
10
    __uint(max_entries, 10000);
11
    __type(key, __u32);    // IP 地址
12
    __type(value, __u32);  // 0=黑名单
13
} blacklist SEC(".maps");
14

15
// Map：速率限制计数器
16
struct {
17
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
18
    __uint(max_entries, 10000);
19
    __type(key, __u32);    // IP 地址
20
    __type(value, struct rate_counter);
21
} rate_limit SEC(".maps");
22

23
struct rate_counter {
24
    __u64 packets;     // 包计数
25
    __u64 last_reset;  // 上次重置时间
26
};
27

28
// Map：统计指标
29
struct {
30
    __uint(type, BPF_MAP_TYPE_PERCPU_ARRAY);
31
    __uint(max_entries, 4);
32
    __type(key, __u32);
33
    __type(value, __u64);
34
} stats SEC(".maps");
35

36
#define STAT_TOTAL   0
37
#define STAT_BLOCKED 1
38
#define STAT_PASSED  2
39
#define STAT_RATE    3
40

41
#define MAX_PPS 1000  // 每秒最大包数
42

43
SEC("xdp")
44
int xdp_security(struct xdp_md *ctx) {
45
    void *data = (void *)(long)ctx->data;
46
    void *data_end = (void *)(long)ctx->data_end;
47

48
    // 解析以太网头
49
    struct ethhdr *eth = data;
50
    if ((void *)(eth + 1) > data_end) return XDP_PASS;
51
    if (eth->h_proto != bpf_htons(ETH_P_IP)) return XDP_PASS;
52

53
    // 解析 IP 头
54
    struct iphdr *ip = (void *)(eth + 1);
55
    if ((void *)(ip + 1) > data_end) return XDP_PASS;
56

57
    __u32 src_ip = ip->saddr;
58
    __u32 idx = STAT_TOTAL;
59
    __u64 *val = bpf_map_lookup_elem(&stats, &idx);
60
    if (val) (*val)++;
61

62
    // 1. 黑名单检查
63
    __u32 *blocked = bpf_map_lookup_elem(&blacklist, &src_ip);
64
    if (blocked) {
65
        idx = STAT_BLOCKED;
66
        val = bpf_map_lookup_elem(&stats, &idx);
67
        if (val) (*val)++;
68
        return XDP_DROP;
69
    }
70

71
    // 2. 速率限制
72
    struct rate_counter *rc = bpf_map_lookup_elem(&rate_limit, &src_ip);
73
    if (!rc) {
74
        struct rate_counter new_rc = {1, bpf_ktime_get_ns()};
75
        bpf_map_update_elem(&rate_limit, &src_ip, &new_rc, BPF_ANY);
76
    } else {
77
        __u64 now = bpf_ktime_get_ns();
78
        __u64 elapsed = now - rc->last_reset;
79
        if (elapsed > 1000000000ULL) {  // 1 秒
80
            rc->packets = 1;
81
            rc->last_reset = now;
82
        } else {
83
            rc->packets++;
84
            if (rc->packets > MAX_PPS) {
85
                idx = STAT_RATE;
86
                val = bpf_map_lookup_elem(&stats, &idx);
87
                if (val) (*val)++;
88
                return XDP_DROP;
89
            }
90
        }
91
    }
92

93
    // 3. SYN Flood 检测（简化）
94
    if (ip->protocol == IPPROTO_TCP) {
95
        struct tcphdr *tcp = (void *)(ip + 1);
96
        if ((void *)(tcp + 1) > data_end) return XDP_PASS;
97
        if (tcp->syn && !tcp->ack) {
98
            // SYN 包：可进一步检测
99
            bpf_trace_printk("SYN from %x\\n", src_ip);
100
        }
101
    }
102

103
    idx = STAT_PASSED;
104
    val = bpf_map_lookup_elem(&stats, &idx);
105
    if (val) (*val)++;
106

107
    return XDP_PASS;
108
}
109

110
char LICENSE[] SEC("license") = "GPL";

2.2 编译和加载#

1
# 编译 XDP 程序
2
clang -g -O2 -target bpf -D__TARGET_ARCH_x86 \
3
    -I/usr/include/$(uname -m)-linux-gnu \
4
    -c xdp_security.bpf.c -o xdp_security.bpf.o
5

6
# 加载到网络接口
7
sudo bpftool prog load xdp_security.bpf.o /sys/fs/bpf/xdp_security \
8
    type xdp name xdp_security
9

10
# 挂载到接口
11
sudo ip link set dev eth0 xdp pinned /sys/fs/bpf/xdp_security
12

13
# 添加黑名单 IP
14
sudo bpftool map update pinned /sys/fs/bpf/xdp_security/blacklist \
15
    key 4 0x0100007f value 4 0x00000000  # 127.0.0.1
16

17
# 查看统计
18
sudo bpftool map dump pinned /sys/fs/bpf/xdp_security/stats

三、Layer 2：TC 流量控制#

3.1 TC 程序#

1
#include <linux/bpf.h>
2
#include <bpf/bpf_helpers.h>
3
#include <linux/pkt_cls.h>
4

5
// Map：端口过滤规则
6
struct {
7
    __uint(type, BPF_MAP_TYPE_HASH);
8
    __uint(max_entries, 100);
9
    __type(key, __u16);    // 端口号
10
    __type(value, __u32);  // 0=允许, 1=拒绝
11
} port_filter SEC(".maps");
12

13
// Map：带宽限制
14
struct {
15
    __uint(type, BPF_MAP_TYPE_HASH);
16
    __uint(max_entries, 100);
17
    __type(key, __u32);    // IP 地址
18
    __type(value, struct bw_limit);
19
} bandwidth SEC(".maps");
20

21
struct bw_limit {
22
    __u64 bytes_sent;
23
    __u64 last_reset;
24
    __u64 max_bytes;  // 每秒最大字节
25
};
26

27
SEC("tc")
28
int tc_security(struct __sk_buff *skb) {
29
    void *data = (void *)(long)skb->data;
30
    void *data_end = (void *)(long)skb->data_end;
31

32
    struct ethhdr *eth = data;
33
    if ((void *)(eth + 1) > data_end) return TC_ACT_OK;
34
    if (eth->h_proto != bpf_htons(ETH_P_IP)) return TC_ACT_OK;
35

36
    struct iphdr *ip = (void *)(eth + 1);
37
    if ((void *)(ip + 1) > data_end) return TC_ACT_OK;
38

39
    // 端口过滤
40
    if (ip->protocol == IPPROTO_TCP) {
41
        struct tcphdr *tcp = (void *)(ip + 1);
42
        if ((void *)(tcp + 1) > data_end) return TC_ACT_OK;
43

44
        __u16 dst_port = bpf_ntohs(tcp->dest);
45
        __u32 *action = bpf_map_lookup_elem(&port_filter, &dst_port);
46
        if (action && *action == 1) {
47
            return TC_ACT_SHOT;  // 拒绝
48
        }
49
    }
50

51
    // 带宽限制
52
    __u32 src_ip = ip->saddr;
53
    struct bw_limit *bw = bpf_map_lookup_elem(&bandwidth, &src_ip);
54
    if (bw) {
55
        __u64 now = bpf_ktime_get_ns();
56
        __u64 elapsed = now - bw->last_reset;
57
        if (elapsed > 1000000000ULL) {
58
            bw->bytes_sent = skb->len;
59
            bw->last_reset = now;
60
        } else {
61
            bw->bytes_sent += skb->len;
62
            if (bw->bytes_sent > bw->max_bytes) {
63
                return TC_ACT_SHOT;  // 超出带宽限制
64
            }
65
        }
66
    }
67

68
    return TC_ACT_OK;
69
}
70

71
char LICENSE[] SEC("license") = "GPL";

3.2 挂载 TC 程序#

1
# 编译
2
clang -g -O2 -target bpf -D__TARGET_ARCH_x86 \
3
    -c tc_security.bpf.c -o tc_security.bpf.o
4

5
# 创建 qdisc
6
sudo tc qdisc add dev eth0 clsact
7

8
# 挂载 ingress
9
sudo tc filter add dev eth0 ingress bpf da obj tc_security.bpf.o sec tc
10

11
# 添加端口过滤规则（拒绝 23 端口 Telnet）
12
sudo bpftool map update pinned /sys/fs/bpf/tc_security/port_filter \
13
    key 2 0x0017 value 4 0x00000001

四、Layer 3：LSM 进程监控#

4.1 LSM 程序#

1
#include <linux/bpf.h>
2
#include <bpf/bpf_helpers.h>
3

4
// Map：监控规则
5
struct {
6
    __uint(type, BPF_MAP_TYPE_HASH);
7
    __uint(max_entries, 100);
8
    __type(key, __u32);    // UID
9
    __type(value, __u32);  // 0=监控, 1=阻止
10
} exec_rules SEC(".maps");
11

12
// Map：事件日志
13
struct {
14
    __uint(type, BPF_MAP_TYPE_RINGBUF);
15
    __uint(max_entries, 256 * 1024);
16
} events SEC(".maps");
17

18
struct exec_event {
19
    __u32 uid;
20
    __u32 pid;
21
    char comm[16];
22
    char filename[256];
23
};
24

25
// Hook：进程执行
26
SEC("lsm/bprm_check_security")
27
int BPF_PROG(check_exec, struct linux_binprm *bprm) {
28
    __u32 uid = bpf_get_current_uid_gid() >> 32;
29
    __u32 pid = bpf_get_current_pid_tgid() >> 32;
30

31
    // 检查规则
32
    __u32 *rule = bpf_map_lookup_elem(&exec_rules, &uid);
33
    if (rule && *rule == 1) {
34
        // 阻止执行
35
        struct exec_event *e = bpf_ringbuf_reserve(&events, sizeof(*e), 0);
36
        if (e) {
37
            e->uid = uid;
38
            e->pid = pid;
39
            bpf_get_current_comm(e->comm, sizeof(e->comm));
40
            bpf_probe_read_kernel_str(e->filename, sizeof(e->filename),
41
                                      bprm->filename);
42
            bpf_ringbuf_submit(e, 0);
43
        }
44
        return -EPERM;  // 阻止
45
    }
46

47
    // 记录事件
48
    struct exec_event *e = bpf_ringbuf_reserve(&events, sizeof(*e), 0);
49
    if (e) {
50
        e->uid = uid;
51
        e->pid = pid;
52
        bpf_get_current_comm(e->comm, sizeof(e->comm));
53
        bpf_probe_read_kernel_str(e->filename, sizeof(e->filename),
54
                                  bprm->filename);
55
        bpf_ringbuf_submit(e, 0);
56
    }
57

58
    return 0;  // 允许
59
}
60

61
// Hook：文件打开（检测敏感文件访问）
62
SEC("lsm/file_open")
63
int BPF_PROG(check_file_open, struct file *file) {
64
    // 检测 /etc/shadow, /etc/passwd 等敏感文件访问
65
    char filename[64];
66
    bpf_probe_read_kernel_str(filename, sizeof(filename),
67
                              file->f_path.dentry->d_name.name);
68

69
    if (filename[0] == 's' && filename[1] == 'h' &&
70
        filename[2] == 'a' && filename[3] == 'd') {
71
        // shadow 文件访问
72
        bpf_trace_printk("sensitive file access: %s\\n", filename);
73
    }
74

75
    return 0;
76
}
77

78
char LICENSE[] SEC("license") = "GPL";

Note

LSM BPF 需要 Linux 5.7+ 且启用 CONFIG_BPF_LSM。在生产环境中，LSM 程序需要经过严格的安全审查——错误的 LSM 规则可能阻止合法的系统操作。

五、Go 控制平面#

5.1 规则管理#

1
package main
2

3
import (
4
    "fmt"
5
    "log"
6
    "net"
7
    "github.com/cilium/ebpf"
8
    "github.com/cilium/ebpf/link"
9
    "github.com/cilium/ebpf/ringbuf"
10
)
11

12
type SecurityTool struct {
13
    xdpProg    *ebpf.Program
14
    tcProg     *ebpf.Program
15
    lsmProg    *ebpf.Program
16
    blacklist  *ebpf.Map
17
    portFilter *ebpf.Map
18
    execRules  *ebpf.Map
19
    events     *ebpf.Map
20
}
21

22
func (t *SecurityTool) AddBlacklistIP(ip string) error {
23
    ipAddr := net.ParseIP(ip).To4()
24
    key := binary.BigEndian.Uint32(ipAddr)
25
    val := uint32(0)
26
    return t.blacklist.Update(key, val, ebpf.UpdateAny)
27
}
28

29
func (t *SecurityTool) RemoveBlacklistIP(ip string) error {
30
    ipAddr := net.ParseIP(ip).To4()
31
    key := binary.BigEndian.Uint32(ipAddr)
32
    return t.blacklist.Delete(key)
33
}
34

35
func (t *SecurityTool) BlockPort(port uint16) error {
36
    key := port
37
    val := uint32(1)
38
    return t.portFilter.Update(key, val, ebpf.UpdateAny)
39
}
40

41
func (t *SecurityTool) BlockUIDExec(uid uint32) error {
42
    key := uid
43
    val := uint32(1)
44
    return t.execRules.Update(key, val, ebpf.UpdateAny)
45
}
46

47
func (t *SecurityTool) ReadEvents() {
48
    reader, err := ringbuf.NewReader(t.events)
49
    if err != nil {
50
        log.Fatal(err)
51
    }
52

53
    for {
54
        record, err := reader.Read()
55
        if err != nil {
56
            continue
57
        }
58

59
        // 解析事件
60
        var event ExecEvent
61
        binary.Read(bytes.NewReader(record.RawSample), binary.LittleEndian, &event)
62

63
        fmt.Printf("[LSM] uid=%d pid=%d comm=%s file=%s\\n",
64
            event.Uid, event.Pid, event.Comm, event.Filename)
65
    }
66
}

5.2 指标导出#

1
func (t *SecurityTool) ExportMetrics() {
2
    // 定期读取 stats Map
3
    ticker := time.NewTicker(5 * time.Second)
4
    for range ticker.C {
5
        var total, blocked, passed, rate uint64
6

7
        t.stats.Lookup(uint32(0), &total)
8
        t.stats.Lookup(uint32(1), &blocked)
9
        t.stats.Lookup(uint32(2), &passed)
10
        t.stats.Lookup(uint32(3), &rate)
11

12
        fmt.Printf("[XDP] total=%d blocked=%d passed=%d rate_limited=%d\\n",
13
            total, blocked, passed, rate)
14
    }
15
}

六、测试与部署#

6.1 测试#

1
# 测试 XDP 黑名单
2
sudo bpftool map update pinned /sys/fs/bpf/blacklist \
3
    key hex 0a000001 value hex 00000000  # 10.0.0.1
4

5
# 从 10.0.0.1 发送包 → 应被 DROP
6
ping -c 3 10.0.0.1  # 应不通
7

8
# 测试速率限制
9
hping3 --flood -S -p 80 target_ip  # SYN Flood
10
# 超过 1000 PPS 的源 IP 应被限制
11

12
# 测试 LSM 进程监控
13
sudo bpftool map update pinned /sys/fs/bpf/exec_rules \
14
    key hex 000003e8 value hex 00000001  # UID 1000 被阻止
15

16
# UID 1000 尝试执行 → 应被阻止
17
sudo -u testuser ls  # 应返回 Permission denied

6.2 部署#

1
# Kubernetes DaemonSet
2
apiVersion: apps/v1
3
kind: DaemonSet
4
metadata:
5
  name: ebpf-security
6
spec:
7
  selector:
8
    matchLabels:
9
      app: ebpf-security
10
  template:
11
    spec:
12
      hostNetwork: true
13
      containers:
14
        - name: security-tool
15
          image: ebpf-security:latest
16
          securityContext:
17
            privileged: true
18
          volumeMounts:
19
            - name: bpf
20
              mountPath: /sys/fs/bpf
21
            - name: debug
22
              mountPath: /sys/kernel/debug
23
      volumes:
24
        - name: bpf
25
          hostPath:
26
            path: /sys/fs/bpf
27
        - name: debug
28
          hostPath:
29
            path: /sys/kernel/debug/tracing

6.3 性能基准#

层级	开销	PPS 影响	说明
XDP 黑名单	~0.5 μs/包	< 1%	Hash 查找极快
XDP 速率限制	~1 μs/包	< 2%	LRU Hash 查找
TC 端口过滤	~2 μs/包	< 3%	需解析更多头部
TC 带宽限制	~3 μs/包	< 5%	需统计字节
LSM 进程监控	~5 μs/调用	< 1%	只在 exec 时触发

flowchart TB PKT2["网络流量"] --> XDP2["XDP 程序 DDoS 防护"] --> TC2["TC 程序 流量控制"] TC2 --> APP2["应用层"] --> LSM2["LSM BPF 进程监控"] style XDP2 fill:#bbdefb,stroke:#1565c0 style TC2 fill:#c8e6c9,stroke:#2e7d32 style LSM2 fill:#fff9c4,stroke:#f9a825

flowchart LR DEPLOY2["部署安全工具"] --> CONFIG["配置策略 TracingPolicy"] --> AUDIT2["审计模式 仅记录"] AUDIT2 --> ENFORCE["执行模式 阻断"] --> MONITOR["持续监控 Hubble UI"] style AUDIT2 fill:#fff9c4,stroke:#f9a825 style ENFORCE fill:#ffcdd2,stroke:#c62828

graph TB subgraph 安全工具架构 XDP3["XDP 防火墙 L3/L4 过滤"] TC3["TC 流量控制 限速/分流"] LSM3["LSM 进程监控 行为检测"] end XDP3 --> TC3 --> LSM3 style XDP3 fill:#bbdefb,stroke:#1565c0 style TC3 fill:#c8e6c9,stroke:#2e7d32 style LSM3 fill:#fff9c4,stroke:#f9a825

七、总结#

上一章深入解读了eBPF 生产部署实践的内部机制。

层级	Hook	功能	Map 类型	详见
XDP	网卡入口	IP黑名单、速率限制、SYN Flood	Hash, LRU Hash, Per-CPU Array	Ch7
TC	qdisc	端口过滤、带宽限制	Hash	Ch8
LSM	安全检查点	进程执行监控、文件访问控制	Hash, Ring Buffer	Ch10
控制平面	用户态	规则管理、指标导出、事件读取	cilium/ebpf Go 库	Ch13