CVE-2022-47929:流量控制 noqueue 没有问题?
2023-01-31
在 6.1.6 之前的 Linux 内核中,流量控制子系统中的一个空指针解引用 bug 允许非特权用户通过用“tc qdisc”和“tc class”命令设置的精心设计的流量控制配置触发拒绝服务(系统崩溃)...
继续阅读 »
一个调试故事:AF_XDP 中的受损数据包;是内核错误还是用户错误?
2023-01-16
Linux 内核的虚拟以太网驱动程序中一个竞态条件造成偶尔的数据包内容损坏,进而导致我们的一个 DDoS 缓解系统出现不必要的丢包。本文介绍了我们排查这一复杂问题的思考过程和使用的技术...
Linux 内核密钥保留服务以及为何应该在下一个应用程序中使用该服务
2022-11-28
许多泄漏事件的发生是源于软件缺陷和安全漏洞。本文我们将学习 Linux 内核如何帮助保护加密密钥抵御这类潜在安全漏洞:内存访问违规...
窗口尚未完全开放时,TCP 堆栈能实现超预期的功能
2022-07-26
在这篇博客文章中,我准备谈一谈自己钻研 Linux 网络堆栈的过程,在这期间,我认真学习了 TCP 连接接收端的内存和窗口管理...
使用 eBPF Linux 安全模块实时修补 Linux 内核中的安全漏洞
2022-06-29
使用 LSM BPF,开发人员能够在无需配置或加载内核模块的情况下编写精细策略。LSM BPF 程序会在加载时进行验证,然后在调用路径中到达 LSM hook 时执行...
更多帖子
2021年3月18日 14:18
Cloudflare DDoS 防护深入剖析
今天,我很高兴能谈一下我们的自主 DDoS (分布式拒绝服务(DDoS)) 防护系统。这个系统已部署到 Cloudflare 全球所有 200 多个数据中心,正在积极保护我们的所有客户,防御 3-7 层 (OSI 模型)上的 DDoS 攻击,无需人工干预。作为我们不计量 DDoS 防护承诺的一部分,我们不会因为客户受到 DDoS 攻击而增加对客户的收费。...
- 作者
2019年5月18日 15:00
Cloudflare架构以及BPF如何占据世界
最近,在布拉格Linux网络会议Netdev 0x13上,我做了一个简短的演讲,题目是“Cloudflare上的Linux”。演讲最后主要是关于BPF(柏克莱封包过滤器)的。似乎,不管问题是什么——BPF都是答案。...
- 作者
2018年4月12日 13:00
充分利用Linux的防火墙:一个黑客行为,使我们得以构建Spectrum
今天,我们将介绍Spectrum:一个可为任意基于TCP的协议提供DDoS保护、负载均衡和内容加速的Cloudflare新特性。...
- 作者