बर्कले पैकेट फ़िल्टर

From Vigyanwiki
Revision as of 12:21, 18 February 2023 by alpha>Indicwiki (Created page with "{{Short description|Interface to data link layers on a Unix-like system}} {{Infobox software | name = Berkeley Packet Filter | title = Berkeley Packet Filter | logo = | scree...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Berkeley Packet Filter
Developer(s)Steven McCanne,
Van Jacobson
Initial releaseDecember 19, 1992; 31 years ago (1992-12-19)
Operating systemUnix-like (FreeBSD, OpenBSD, NetBSD, DragonFly BSD, macOS, Oracle Solaris 11 and later, AIX, Tru64, Linux, Orbis), Windows

बर्कले पैकेट फ़िल्टर (BPF) एक ऐसी तकनीक है जिसका उपयोग कुछ कंप्यूटर ऑपरेटिंग सिस्टम में उन प्रोग्रामों के लिए किया जाता है, जिन्हें अन्य बातों के अलावा, नेटवर्क ट्रैफ़िक का विश्लेषण करने की आवश्यकता होती है। यह डेटा लिंक परतों के लिए एक अपरिष्कृत इंटरफ़ेस प्रदान करता है, कच्चे लिंक-लेयर पैकेट को भेजने और प्राप्त करने की अनुमति देता है।[1]इसके अलावा, यदि नेटवर्क इंटरफ़ेस के लिए ड्राइवर अनेक मोड का समर्थन करता है, तो यह इंटरफ़ेस को उस मोड में डालने की अनुमति देता है ताकि संगणक संजाल पर सभी पैकेट प्राप्त किए जा सकें, यहां तक ​​कि अन्य होस्ट के लिए नियत किए गए पैकेट भी।

बीपीएफ फ़िल्टरिंग पैकेट का समर्थन करता है, एक उपयोक्ता स्थान प्रक्रिया (कंप्यूटिंग) को फ़िल्टर प्रोग्राम की आपूर्ति करने की इजाजत देता है जो निर्दिष्ट करता है कि कौन से पैकेट प्राप्त करना चाहते हैं। उदाहरण के लिए, एक tcpdump प्रक्रिया केवल उन पैकेटों को प्राप्त करना चाहती है जो एक TCP कनेक्शन आरंभ करते हैं। BPF केवल वे पैकेट लौटाता है जो उस फ़िल्टर को पास करते हैं जो प्रक्रिया आपूर्ति करती है। यह ऑपरेटिंग सिस्टम कर्नेल (कंप्यूटर साइंस) से अवांछित पैकेट को प्रक्रिया में कॉपी करने से बचाता है, जिससे प्रदर्शन में काफी सुधार होता है। फ़िल्टर प्रोग्राम एक आभासी मशीन के लिए निर्देशों के रूप में होता है, जिसे समय-समय पर संकलन | जस्ट-इन-टाइम (JIT) तंत्र द्वारा मशीन कोड में व्याख्या या संकलित किया जाता है और कर्नेल में निष्पादित किया जाता है।

BPF का उपयोग कभी-कभी संपूर्ण इंटरफ़ेस के बजाय केवल फ़िल्टरिंग तंत्र को संदर्भित करने के लिए किया जाता है। कुछ प्रणालियाँ, जैसे Linux और Tru64 UNIX, BPF कच्चे इंटरफ़ेस के अलावा डेटा लिंक परत को एक कच्चा इंटरफ़ेस प्रदान करती हैं, लेकिन उस कच्चे इंटरफ़ेस के लिए BPF फ़िल्टरिंग तंत्र का उपयोग करती हैं। बीपीएफ फ़िल्टरिंग तंत्र अधिकांश यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर उपलब्ध है।

लिनक्स कर्नेल BPF फ़िल्टरिंग तंत्र का एक विस्तारित संस्करण प्रदान करता है, जिसे eBPF कहा जाता है, जो JIT तंत्र का उपयोग करता है, और जिसका उपयोग पैकेट फ़िल्टरिंग के साथ-साथ कर्नेल में अन्य उद्देश्यों के लिए किया जाता है। eBPF Microsoft Windows के लिए भी उपलब्ध है।[2]


कच्चा डेटा-लिंक इंटरफ़ेस

बीपीएफ छद्म उपकरण प्रदान करता है जो एक नेटवर्क इंटरफेस के लिए बाध्य हो सकता है; डिवाइस से पढ़ता है नेटवर्क इंटरफ़ेस पर प्राप्त पैकेटों से भरे बफ़र्स को पढ़ेगा, और डिवाइस को लिखता है नेटवर्क इंटरफ़ेस पर पैकेट इंजेक्ट करेगा।

2007 में, रॉबर्ट वाटसन (कंप्यूटर वैज्ञानिक) और क्रिश्चियन पेरोन ने FreeBSD ऑपरेटिंग सिस्टम में BPF कार्यान्वयन के लिए शून्य-कॉपी बफर एक्सटेंशन जोड़े,[3] BPF डिवाइस के माध्यम से प्राप्त सभी पैकेट डेटा के लिए दो प्रतियों की आवश्यकता से बचने के लिए डिवाइस ड्राइवर में कर्नेल पैकेट कैप्चर की अनुमति सीधे उपयोगकर्ता प्रोसेस मेमोरी में लिखने के लिए हैंडलर को बाधित करता है। जबकि एक प्रति उपयोगकर्ता प्रक्रियाओं के लिए रसीद पथ में बनी हुई है, यह विभिन्न बीपीएफ डिवाइस उपभोक्ताओं की स्वतंत्रता को बरकरार रखती है, साथ ही साथ पैकेट डेटा को कॉपी करने के बजाय बीपीएफ बफर में हेडर की पैकिंग की अनुमति देती है।[4]


फ़िल्टरिंग

BPF की फ़िल्टरिंग क्षमताओं को BPF वर्चुअल मशीन के लिए एक मशीनी भाषा के लिए एक दुभाषिया के रूप में लागू किया जाता है, एक 32-अंश मशीन जिसमें निश्चित-लंबाई के निर्देश, एक संचायक (कंप्यूटिंग), और एक सूचकांक रजिस्टर होता है। उस भाषा में प्रोग्राम पैकेट से डेटा प्राप्त कर सकते हैं, पैकेट से डेटा पर अंकगणितीय संचालन कर सकते हैं, और परिणामों के परिणामों के आधार पर पैकेट को स्वीकार या अस्वीकार करते हुए परिणामों में स्थिरांक या पैकेट में डेटा के खिलाफ परिणामों की तुलना कर सकते हैं या बिट्स का परीक्षण कर सकते हैं। परीक्षण।

BPF को अक्सर लोड (ld) और स्टोर (str) निर्देशों को ओवरलोड करके बढ़ाया जाता है।

कर्नेल-स्पेस के लिए लिखे जाने के बावजूद, पारंपरिक यूनिक्स-जैसे BPF कार्यान्वयन का उपयोग यूजरस्पेस में किया जा सकता है। यह preprocessor स्थितियों का उपयोग करके पूरा किया जाता है।

एक्सटेंशन और अनुकूलन

कुछ प्रोजेक्ट BPF इंस्ट्रक्शन सेट या मूल से भिन्न निष्पादन तकनीकों का उपयोग करते हैं।

FreeBSD, NetBSD, और WinPcap सहित कुछ प्लेटफ़ॉर्म, प्रदर्शन को बेहतर बनाने के लिए BPF निर्देशों को देशी कोड में बदलने के लिए जस्ट-इन-टाइम संकलन|जस्ट-इन-टाइम (JIT) कंपाइलर का उपयोग करते हैं। लिनक्स में एक बीपीएफ जेआईटी कंपाइलर शामिल है जो डिफ़ॉल्ट रूप से अक्षम है।

उसी वर्चुअल मशीन भाषा के लिए कर्नेल-मोड दुभाषियों का उपयोग अन्य ऑपरेटिंग सिस्टमों में कच्चे डेटा लिंक परत तंत्र में किया जाता है, जैसे कि Tru64 यूनिक्स, और लिनक्स कर्नेल में सॉकेट फिल्टर के लिए और WinPcap और Npcap पैकेट कैप्चर तंत्र में।

संस्करण 3.18 के बाद से, लिनक्स कर्नेल में दस 64-बिट रजिस्टरों के साथ एक विस्तारित बीपीएफ वर्चुअल मशीन शामिल है, जिसे विस्तारित बीपीएफ (ईबीपीएफ) कहा जाता है। इसका उपयोग गैर-नेटवर्किंग उद्देश्यों के लिए किया जा सकता है, जैसे कि ईबीपीएफ प्रोग्राम को विभिन्न ट्रेसपॉइंट्स से जोड़ने के लिए।[5][6][7] कर्नेल संस्करण 3.19 के बाद से, eBPF फ़िल्टर को नेटवर्क सॉकेट से जोड़ा जा सकता है,[8][9] और, कर्नेल संस्करण 4.1 के बाद से, प्रवेश और निकास नेटवर्किंग डेटा पथ के लिए टीसी (लिनक्स) क्लासिफायर के लिए।[10][11] मूल और अप्रचलित संस्करण को पूर्वव्यापी प्रभाव से बदलकर क्लासिक BPF (cBPF) कर दिया गया है। आजकल, लिनक्स कर्नेल केवल ईबीपीएफ चलाता है और लोड किए गए सीबीपीएफ बायटेकोड को प्रोग्राम निष्पादन से पहले कर्नेल में ईबीपीएफ प्रतिनिधित्व में पारदर्शी रूप से अनुवादित किया जाता है।[12] डिनायल-ऑफ़-सर्विस हमलों को रोकने के लिए चलाने से पहले सभी बायटेकोड सत्यापित किए जाते हैं। लिनक्स 5.3 तक, सत्यापनकर्ता ने संभावित असीमित निष्पादन समय को रोकने के लिए लूप के उपयोग को प्रतिबंधित किया; परिबद्ध निष्पादन समय के साथ लूप्स को अब हाल ही के कर्नेल में अनुमति दी गई है।[13] बीपीएफ के लिए एक उपयोगकर्ता-मोड दुभाषिया को pcap अप्लिकेशन प्रोग्रामिंग अंतरफलक के libpcap/WinPcap/Npcap कार्यान्वयन के साथ प्रदान किया जाता है, ताकि, उस फ़िल्टरिंग तंत्र के लिए कर्नेल-मोड समर्थन के बिना सिस्टम पर पैकेट कैप्चर करते समय, पैकेट को उपयोगकर्ता मोड में फ़िल्टर किया जा सके; pcap API का उपयोग करने वाला कोड दोनों प्रकार के सिस्टम पर काम करेगा, हालाँकि, उन सिस्टम पर जहाँ फ़िल्टरिंग उपयोगकर्ता मोड में की जाती है, फ़िल्टर किए जाने वाले पैकेट सहित सभी पैकेट, कर्नेल से यूज़र स्पेस में कॉपी किए जाते हैं। उस दुभाषिया का उपयोग तब भी किया जा सकता है जब pcap का उपयोग करके कैप्चर किए गए पैकेट वाली फ़ाइल को पढ़ा जाता है।

एक अन्य उपयोगकर्ता-मोड दुभाषिया uBPF है, जो JIT और eBPF (बिना cBPF) का समर्थन करता है। गैर-लिनक्स सिस्टम में ईबीपीएफ समर्थन प्रदान करने के लिए इसका कोड पुन: उपयोग किया गया है।[14] विंडोज़ पर माइक्रोसॉफ्ट का eBPF uBPF और PREVAIL औपचारिक सत्यापनकर्ता पर निर्मित है।[15] rBPF, uBPF का रस्ट रीराइट, सोलाना (ब्लॉकचैन प्लेटफॉर्म) ब्लॉकचैन प्लेटफॉर्म द्वारा निष्पादन इंजन के रूप में उपयोग किया जाता है।[16]


प्रोग्रामिंग

क्लासिक बीपीएफ आमतौर पर मैच के पैटर्न का वर्णन करने वाले कुछ बहुत ही उच्च-स्तरीय पाठ्य नियम से एक कार्यक्रम द्वारा उत्सर्जित होता है। ऐसा ही एक प्रतिनिधित्व libpcap में पाया जाता है।[17] क्लासिक बीपीएफ और ईबीपीएफ को या तो सीधे मशीन कोड के रूप में लिखा जा सकता है, या पाठ्य प्रतिनिधित्व के लिए असेंबली भाषा का उपयोग किया जा सकता है। उल्लेखनीय असेंबलरों में लिनक्स कर्नेल शामिल हैं bpf_asm उपकरण (सीबीपीएफ), bpfc (सीबीपीएफ), और ubpf असेंबलर (ईबीपीएफ)। bpftool }} कमांड बीपीएफ के दोनों स्वादों के लिए डिस्सेबलर के रूप में भी कार्य कर सकता है। असेंबली लैंग्वेज एक दूसरे के साथ जरूरी नहीं हैं।

ईबीपीएफ बाइटकोड हाल ही में उच्च स्तरीय भाषाओं का लक्ष्य बन गया है। LLVM ने 2014 में eBPF समर्थन जोड़ा, और 2019 में GNU कंपाइलर संग्रह का पालन किया। दोनों टूलकिट C (प्रोग्रामिंग भाषा) और अन्य समर्थित भाषाओं को eBPF में संकलित करने की अनुमति देते हैं। P4 (प्रोग्रामिंग लैंग्वेज) का एक सबसेट भी BCC, एक LLVM- आधारित कंपाइलर किट का उपयोग करके eBPF में संकलित किया जा सकता है।[18]


इतिहास

मूल पेपर 1992 में लॉरेंस बर्कले प्रयोगशाला में स्टीवन मैककैन और जैकबसन से द्वारा लिखा गया था।[1][19] अगस्त 2003 में, एससीओ समूह ने सार्वजनिक रूप से दावा किया कि लिनक्स कर्नेल उनके स्वामित्व वाले यूनिक्स कोड का उल्लंघन कर रहा था।[20] प्रोग्रामर्स को जल्दी पता चला कि उन्होंने जो एक उदाहरण दिया वह बर्कले पैकेट फ़िल्टर था, जो वास्तव में एससीओ के पास कभी नहीं था।[21] एससीओ ने गलती की व्याख्या या स्वीकार नहीं किया है लेकिन एससीओ-लिनक्स विवाद अंततः जवाब देने के लिए मजबूर कर सकता है।[22][needs update?]


सुरक्षा चिंताएं

स्पेक्टर (सुरक्षा भेद्यता) हमला अन्य कर्नेल प्रक्रियाओं से डेटा निकालने के लिए लिनक्स कर्नेल के eBPF दुभाषिया या JIT कंपाइलर का लाभ उठा सकता है।[23] कर्नेल में एक जेआईटी सख्त सुविधा इस भेद्यता को कम करती है।[24] चीनी कंप्यूटर सुरक्षा समूह पंगु लैब ने कहा कि राष्ट्रीय सुरक्षा एजेंसी ने एक जटिल लिनक्स पिछले दरवाजे (कंप्यूटिंग) के हिस्से के रूप में नेटवर्क संचार को छिपाने के लिए बीपीएफ का इस्तेमाल किया।[25]


यह भी देखें

संदर्भ

  1. 1.0 1.1 McCanne, Steven; Jacobson, Van (1992-12-19). "The BSD Packet Filter: A New Architecture for User-level Packet Capture" (PDF).
  2. "Microsoft embraces Linux kernel's eBPF super-tool, extends it for Windows". The Register. 2021-05-11. Archived from the original on 2021-05-11.
  3. "bpf(4) Berkeley Packet Filter". FreeBSD. 2010-06-15.
  4. Watson, Robert N. M.; Peron, Christian S. J. (2007-03-09). "Zero-Copy BPF" (PDF).
  5. "Linux kernel 3.18, Section 1.3. bpf() syscall for eBFP virtual machine programs". kernelnewbies.org. December 7, 2014. Retrieved September 6, 2019.
  6. Jonathan Corbet (September 24, 2014). "The BPF system call API, version 14". LWN.net. Retrieved January 19, 2015.
  7. Jonathan Corbet (July 2, 2014). "Extending extended BPF". LWN.net. Retrieved January 19, 2015.
  8. "Linux kernel 3.19, Section 11. Networking". kernelnewbies.org. February 8, 2015. Retrieved February 13, 2015.
  9. Jonathan Corbet (December 10, 2014). "Attaching eBPF programs to sockets". LWN.net. Retrieved February 13, 2015.
  10. "Linux kernel 4.1, Section 11. Networking". kernelnewbies.org. June 21, 2015. Retrieved October 17, 2015.
  11. "BPF and XDP Reference Guide". cilium.readthedocs.io. April 24, 2017. Retrieved April 23, 2018.
  12. "BPF and XDP Reference Guide — Cilium 1.6.5 documentation". docs.cilium.io. Retrieved 2019-12-18.
  13. "bpf: introduce bounded loops". git.kernel.org. June 19, 2019. Retrieved August 19, 2022.
  14. "generic-ebpf/generic-ebpf". GitHub (in English). 28 April 2022.
  15. "microsoft/ebpf-for-windows: eBPF implementation that runs on top of Windows". GitHub. Microsoft. 11 May 2021.
  16. "Overview | Solana Docs".
  17. "BPF syntax". biot.com.
  18. "Dive into BPF: a list of reading material". qmonnet.github.io.
  19. McCanne, Steven; Jacobson, Van (January 1993). "The BSD Packet Filter: A New Architecture for User-level Packet Capture". USENIX.
  20. "SCOsource update". 15 Obfuscated Copying. Archived from the original on August 25, 2003. Retrieved September 5, 2019.
  21. Bruce Perens. "Analysis of SCO's Las Vegas Slide Show". Archived from the original on February 17, 2009.
  22. Moglen, Eben (November 24, 2003). "SCO: Without Fear and Without Research". GNU Operating System. The Free Software Foundation. Retrieved September 5, 2019.
  23. "Reading privileged memory with a side-channel". Project Zero team at Google. January 3, 2018. Retrieved January 20, 2018.
  24. "bpf: introduce BPF_JIT_ALWAYS_ON config". git.kernel.org. Archived from the original on 2020-10-19. Retrieved 2021-09-20.
  25. "Anatomy of suspected top-tier decade-hidden NSA backdoor". The Register. February 23, 2022. Retrieved February 24, 2022.


अग्रिम पठन


बाहरी संबंध