查看“︁搬瓦工 VPS 进阶网络安全方案：从基础加固升级到高性能自动化防御”︁的源代码

== 前言 ==
在维护 VPS 时，传统的防火墙（如 iptables 或 nftables）在面对大规模网络攻击时，往往会因为消耗大量 CPU 资源进行包过滤而导致系统 SI 指数（软中断占用） 飙升，最终导致 SSH 断连或服务宕机。

Auto XDP 是一款利用 Linux 内核 eBPF/XDP 技术的高性能防火墙。它遵循 “最小暴露面” 安全原则，在网卡驱动层直接清洗流量，绕过复杂的网络协议栈，在极低的 CPU 占用下实现百万级的丢包处理。相比于现有防火墙，可在达到更高的丢包效率的同时有效减轻核心负载。

非常优雅～

=== '''核心优势''' ===

* '''极致性能 (High SI Efficiency)'''：在网卡层进行过滤，处理延迟仅为 40ns - 65ns。在遭遇高频攻击时，能将系统 SI 指数（软中断占用）从 85.9% 降至最低 3.0%，确保服务器在极端环境下依然响应如初。
* '''最小暴露面控制 (Minimum Attack Surface)'''：基于“非放行即丢弃”的原则，仅针对系统当前活跃业务开放端口。
* '''全自动端口同步'''：内置守护进程实时感知系统监听状态，自动实现“业务上线即开门，业务下线即关门”，无需手动维护繁琐的防火墙规则。
* '''智能连接跟踪'''：利用状态检测识别合法的 TCP 响应包和 UDP 回包，确保正常业务流量不受影响。
* '''高兼容性回退'''：若内核不支持 XDP，系统会自动回退至 nftables 后端，维持一致的自动化白名单逻辑。
* '''多维度防护'''：内置 ICMP 令牌桶算法防止 Ping 洪水，并针对 SSH SYN 包进行频率限制，有效缓解暴力爆破风险。

=== '''部署步骤''' ===
在搬瓦工的虚拟机实例上，可以通过以下一键脚本进行部署：

<nowiki>curl --proto '=https' --tlsv1.2 -sSfL https://raw.githubusercontent.com/Kookiejarz/Auto_XDP/main/setup_xdp.sh | sudo bash</nowiki>

注意：在某些纯净版系统上，如果遇到编译错误（如缺少 gnu/stubs-32.h），请先安装开发环境支持：

Ubuntu/Debian: sudo apt-get install gcc-multilib

CentOS/Fedora: sudo dnf install glibc-devel.i686

=== '''管理与监控''' ===
部署完成后，可以使用内置的 bxdp 工具实时监控系统安全状态与 SI 指数：

实时统计（PPS/BPS 与 SI 趋势）：sudo bxdp stats --live

手动触发端口同步：sudo bxdp sync

查看服务状态与当前后端：sudo bxdp status

=== '''常见问题''' ===
Q: 为什么显示后端是 nftables 而不是 XDP？

A: 这通常是因为 VPS 的内核版本较低或网卡驱动不支持 XDP。脚本会自动切换到 nftables 模式以维持基本的 “最小暴露面” 自动化功能。


Q: 开启后会影响 SSH 吗？

A: 不会。系统会自动识别 SSH 监听端口（包括自定义端口）并将其动态加入白名单。

'''''欲了解更多信息请前往：[https://github.com/Kookiejarz/Auto_XDP https://github.com/Kookiejarz/Auto_XDP']'''''