SORACOM Junctionのミラーリングでパケットキャプチャしよう

Transcript

1. SORACOM JunctionとeBPFで パケットキャプチャしようぜ factory SORACOM UG Online #16

2. SORACOM UG Online #16 パケットキャプチャ、お好きですか？

3. SORACOM UG Online #16 SORACOMのパケットキャプチャサービス SORACOM Peek for SIM SORACOM

   Peek for VPG UEやクラウドに手を入れずに好きなタイミングでパケットキャ プチャできちゃうってすごい便利ですよね！！！！

4. SORACOM UG Online #16 ところでみなさん、 SORACOM Junctionって覚えてますか？

5. SORACOM UG Online #16 SORACOM Junction SORACOM JunctionはVPGのネットワークを制御する 3つの機能を提供（要VPG） Inspection

   Mirroring Redirection パケットの分析 そのままミラー リダイレクト

6. SORACOM UG Online #16 SORACOM Junction SORACOM JunctionのMirroringを使うと「ミラーポート」が作れるんです！

7. SORACOM UG Online #16 EC2にパケットをミラーして リアルタイムにプロトコルやドメインごとの通 信量をカウントしたりできちゃうわけです ね！

8. SORACOM UG Online #16 EC2でどうやってパケットカウントする？ • tshark • tcpdump 分析用途ならこれでOK。

9. SORACOM UG Online #16 EC2にパケットをミラーして リアルタイムにプロトコルやドメインごと の通信量をカウントしたりと、Purpose Builtなネットワーク・ソフトウェアを書け ちゃうわけですね！

10. SORACOM UG Online #16 Linux Kernel内で動作するプログラムを動的にロードして実行してくれ る仕組み。System call、ネットワークイベントを始め、様々なフックポイ ントを提供してくれる。eBPFプログラムは直接ユーザースペースアプリ ケーションとやり取りできる。

    そこでeBPF(extended Berkeley Packet Filter) https://ebpf.io/what-is-ebpf/

11. SORACOM UG Online #16 Linux Kernelのネットワークスタッ クは遅いという話 http://highscalability.com/blog/2013/5/13/the-secret-to-10- million-concurrent-connections-the-kernel-i.html 参考

    CloudflareのホストはeBPFのお化 けみたいになってるという話 https://blog.cloudflare.com/cloudflare-architecture-and-ho w-bpf-eats-the-world/

12. SORACOM UG Online #16 やってみよう!!!

13. SORACOM UG Online #16 Virtual Private Cloud (VPC) SORACOM Junction

    Mirroring eth1 eth0 Ubuntu 22.04

14. SORACOM UG Online #16 RUSTでeBPF

15. SORACOM UG Online #16 RUSTでeBPF

16. SORACOM UG Online #16 eBPFとSORACOM Junction使ったら・・・ EC2にパケットをミラーして リアルタイムにプロトコルやドメインごとの通信量をカ ウントしたりと、Purpose Builtなネットワーク・ソフトウェ

    アを書けちゃうわけですね！