Cloudflare 为 Magic Transit 推出基于 C 的定制 DDoS 防护盾

Cloudflare为Magic Transit客户推出了一项新的封闭测试版功能--可编程流量保护（Programmable Flow Protection），旨在缓解针对基于UDP协议的自定义或标准化第7层的DDoS攻击。Cloudflare表示，该功能可作为使用自带IP或Cloudflare租用IP的Magic Transit部署的附加功能。

根据Cloudflare 的文档，该功能适用于依赖专业 UDP 流量的环境，包括游戏、金融服务、VoIP、电信和流媒体工作负载。Cloudflare 将其定位为 Magic Transit 高级 DDoS 保护系统的一部分，与高级 TCP 保护和高级 DNS 保护并列。

客户可以用C#语言上传自定义数据包逻辑。

Cloudflare表示，可编程流量保护允许客户上传自己用C语言编写的有状态数据包处理程序，然后对这些程序进行验证、编译，并作为在用户空间运行的eBPF程序部署到Cloudflare的网络中。其目标是让操作员通过协议感知逻辑检查 UDP 应用流量，并决定是否允许或阻止数据包。

该公司称，该系统基于Flowtrackd平台上开发的。它支持非对称和对称拓扑结构，但 Cloudflare 指出，该功能只检查入口流量。配置通过 Cloudflare 的 API 进行，其中包括用于上传程序、创建规则、列出配置和删除配置的端点。

作为 Cloudflare 网络层 DDoS 平台的附加功能

Magic Transit是Cloudflare为内部部署、云托管和混合网络提供的网络安全和性能服务，在IP层提供DDoS保护和流量处理。通过可编程流量保护，Cloudflare 将扩展该平台，为那些基于 UDP 的服务可能不符合标准缓解配置文件的客户提供更多可定制的选项。

Cloudflare 的 DDoS 文档将可编程流量保护描述为在其网络中部署定制 eBPF 数据包逻辑的一种方式，用于检查和缓解针对基于 UDP 的第 7 层协议的攻击。该公司尚未列出全面可用性，在撰写官方文档时，该功能仍处于封闭测试阶段。