Informations :
Dates
- Publish : : Friday 25 october 2024
- 99 views
Share :
Presque tous les systèmes réseau modernes, y compris les pare-feu avec état, utilisent le suivi des connexions (« conntrack ») car il consomme moins de puissance de traitement par paquet et simplifie les opérations. Cependant, il existe des cas d'utilisation où le suivi des connexions a un impact négatif, comme nous l'avons décrit dans Linux Conntrack : pourquoi il tombe en panne et comment éviter le problème. Les systèmes d'atténuation des attaques par déni de service distribué (DDoS), qui se défendent contre les attaques réseau volumétriques, sont un exemple bien connu d'un tel cas d'utilisation, car ils doivent supprimer les paquets malveillants le plus rapidement possible. En plus de ces attaques, le suivi des connexions devient un vecteur d'attaque potentiel car il s'agit d'une ressource limitée. Il existe également des applications qui génèrent d'énormes quantités de connexions de courte durée par seconde, au point que le suivi des connexions entraîne davantage de traitement et contrecarre les objectifs visés. Ces cas d'utilisation démontrent qu'il est nécessaire de ne pas suivre les connexions dans un pare-feu, également connu sous le nom de pare-feu sans état.
Dans cet article de blog, nous expliquerons comment Project Calico utilise eXpress Data Path (XDP) dans son plan de données eBPF (également dans son plan de données iptables, mais ce n'est pas l'objet de cet article) pour améliorer les performances de son pare-feu sans état. Nous expliquerons les détails de l'implémentation des politiques doNotTrack par Project Calico dans son plan de données eBPF.
XDP (eXpress Data Path) est un chemin de données hautes performances basé sur eBPF utilisé pour envoyer et recevoir des paquets réseau à des débits élevés en contournant la majeure partie de la pile réseau du système d'exploitation. Il est fusionné dans le noyau Linux depuis la version 4.8.