Show HN: Shibuya – 基于 Rust 的高性能 WAF，使用 eBPF 和 ML Engine

Source: Hacker News

概览

我一直在开发 Shibuya，这是一款基于 Rust 从零构建的下一代 Web 应用防火墙（WAF）。目标是打造一种不单纯依赖传统正则签名的 WAF，能够理解意图，并利用现代内核特性在行速率下运行。

关键特性

多层管道

• 将高性能代理（基于 Pingora）与速率限制、机器人检测和威胁情报集成。

eBPF 内核过滤

• 对于大流量攻击，Shibuya 可以使用 XDP 在内核层面丢弃恶意数据包，防止它们消耗用户空间资源。

双重机器学习引擎

• 基于 ONNX 的引擎用于异常检测。
• 随机森林 分类器用于识别特定攻击类型，如 SQL 注入（SQLi）、跨站脚本（XSS）和远程代码执行（RCE）。

API 与 GraphQL 防护

• 对 GraphQL 进行深度检查（深度和复杂度分析）。
• OpenAPI 架构验证。

WASM 可扩展性

• 使用 WebAssembly 插件编写并热加载自定义安全逻辑。

Ashigaru 实验室

• 一个故意设置漏洞的实验环境，包含六个不同的服务和一个 “红队机器人”，用于对 WAF 进行 100 多种模拟负载的测试。

仪表盘

仪表盘使用 SvelteKit 构建，提供：

• 实时监控（ECharts）
• “紧急模式”用于即时加固
• 用于 YAML 配置的可视化编辑器

反馈请求

我希望获得关于架构以及 Rust‑eBPF 集成性能的反馈。

Comments on Hacker News (Points: 6)