Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

3장. DDoS 공격을 방지하기 위해 고성능 트래픽 필터링에 xdp-filter 사용

nftables, Express Data Path(XDP) 프로세스와 같은 패킷 필터와 비교하여 네트워크 패킷을 네트워크 인터페이스에서 바로 삭제합니다. 따라서 XDP는 방화벽 또는 기타 애플리케이션에 도달하기 전에 패키지의 다음 단계를 결정합니다. 결과적으로 XDP 필터는 더 적은 리소스가 필요하며, 분산 서비스 거부(DDoS) 공격을 방어하기 위해 기존 패킷 필터보다 훨씬 더 높은 속도로 네트워크 패킷을 처리할 수 있습니다. 예를 들어, 테스트 중에 Red Hat은 단일 코어에서 초당 26만 개의 네트워크 패킷을 삭제했으며 동일한 하드웨어에서 nftables 의 드롭 속도보다 상당히 높습니다.

xdp-filter 유틸리티는 XDP를 사용하여 들어오는 네트워크 패킷을 허용하거나 삭제합니다. 특정 간에 트래픽을 필터링하는 규칙을 생성할 수 있습니다.

  • IP 주소
  • MAC 주소
  • 포트

xdp-filter 에 상당히 높은 패킷 처리 속도가 있더라도 nftables 와 동일한 기능이 없습니다. XDP를 사용하여 패킷 필터링을 시연하려면 xdp-filter 를 개념적 유틸리티로 고려해 보십시오. 또한 자체 XDP 애플리케이션을 작성하는 방법을 더 잘 이해하기 위해 유틸리티 코드를 사용할 수 있습니다.

중요

AMD 및 Intel 64비트 이외의 아키텍처에서 xdp-filter 유틸리티는 기술 프리뷰로만 제공됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있으며 Red Hat은 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 프리뷰를 통해 향후 제품 기능에 조기에 액세스할 수 있으므로 고객은 개발 과정에서 기능을 테스트하고 피드백을 제공할 수 있습니다.

기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 Red Hat 고객 포털의 기술 프리뷰 기능 지원 범위를 참조하십시오.

3.1. xdp-filter 규칙과 일치하는 네트워크 패킷 삭제
링크 복사

xdp-filter 를 사용하여 네트워크 패킷을 삭제할 수 있습니다.

  • 특정 대상 포트
  • 특정 IP 주소
  • 특정 MAC 주소

xdp-filterallow 정책은 모든 트래픽이 허용되고 필터는 특정 규칙과 일치하는 네트워크 패킷만 삭제하도록 정의합니다. 예를 들어 삭제할 패킷의 소스 IP 주소를 알고 있는 경우 이 방법을 사용합니다.

사전 요구 사항

  • xdp-tools 패키지가 설치되어 있습니다.
  • XDP 프로그램을 지원하는 네트워크 드라이버입니다.

절차

  1. xdp-filter 를 로드하여 enp1s0 과 같은 특정 인터페이스에서 들어오는 패킷을 처리하십시오. 

    # xdp-filter load enp1s0
    Copy to Clipboard Toggle word wrap

    기본적으로 xdp-filterallow 정책을 사용하고 유틸리티는 모든 규칙과 일치하는 트래픽만 삭제합니다.

    선택적으로 -f 기능 옵션을 사용하여 tcp,ipv4 또는 ethernet 과 같은 특정 기능만 활성화합니다. 필요한 기능만 로드하면 패킷 처리 속도가 향상됩니다. 여러 기능을 활성화하려면 쉼표로 구분합니다.

    오류와 함께 명령이 실패하면 네트워크 드라이버는 XDP 프로그램을 지원하지 않습니다.

  2. 일치하는 패킷을 삭제하는 규칙을 추가합니다. 예를 들면 다음과 같습니다.

    • 포트 22 로 들어오는 패킷을 삭제하려면 다음을 입력합니다. 

      # xdp-filter port 22
      Copy to Clipboard Toggle word wrap

      이 명령은 TCP 및 UDP 트래픽과 일치하는 규칙을 추가합니다. 특정 프로토콜만 일치시키려면 -p protocol 옵션을 사용합니다.

    • 192.0.2.1 에서 들어오는 패킷을 삭제하려면 다음을 입력합니다. 

      # xdp-filter ip 192.0.2.1 -m src
      Copy to Clipboard Toggle word wrap

      xdp-filter 는 IP 범위를 지원하지 않습니다.

    • MAC 주소 00:53:00:07:BE 에서 들어오는 패킷을 삭제하려면 다음을 입력합니다. 

      # xdp-filter ether 00:53:00:AA:07:BE -m src
      Copy to Clipboard Toggle word wrap

검증

  • 다음 명령을 사용하여 삭제 및 허용된 패킷에 대한 통계를 표시합니다. 

    # xdp-filter status
    Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat