Приложение может использовать в своей работе один из двух режимов перехвата сетевого трафика:
В режиме Использовать технологию eBPF приложение создает свое отдельное сетевое пространство имен (network linux namespace), куда перенаправляет сетевые пакеты с помощью eBPF-программ, привязанных к очередям tc (linux traffic control) локальных сетевых интерфейсов. Далее перенаправленный сетевой трафик проходит анализ в соответствии с активными сетевыми задачами и после этого возвращается на исходный сетевой интерфейс.
Для обмена данных между сетевыми простанствами имен используются пары виртуальных сетевых интерфейсов veth (каждый конец пары находится в своем сетевом пространстве имен):
Через эти пары интерфейсов сетевой трафик передается на проверку из пространства имен по умолчанию в пространство имен, созданное приложением, и через них же возвращается обратно после анализа.
Сетевой трафик попадает на эти интерфейсы с других сетевых интерфейсов в системе, только если приложение запущено и включен сетевой перехват. Они не могут использоваться для передачи данных по сети между удаленными устройствами.
Если ваше устройство чувствительно к атакам перечислением сетевых портов (например, на локальном устройстве настроен сетевой экран операционной системы с фильтрацией портов), то не рекомендуется выбирать режим Использовать технологию eBPF. Также не рекомендуется использовать этот режим перехвата трафика на устройствах периметра сети организации.
В случае если устройство находится в изолированном сегменте сети, в локальной сети или внутри периметра сети организации, допустимо выбирать режим перехвата трафика Использовать технологию eBPF.
Вы можете выбрать режим перехвата трафика в Web Console, в Консоли администрирования и в командной строке.
В начало