Sparen Sie 15% bei allen Hosting-Diensten

Teste deine Fähigkeiten und erhalte Rabatt auf jeden Hosting-Plan

Benutze den Code: Skills Anfangen
Abschnitte
Linux Sicherheit Verwaltung

Was ist XDP und wie kann es beim Aufbau von Anti-DDoS-Schutz helfen?

XDP-Einführung und wie es beim Aufbau von Anti-DDoS-Schutz helfen kann

whatis

Wenn Sie eine öffentliche API, einen Reverse-Proxy, einen Spieledienst oder eine andere internetbasierte Anwendung betreiben, können Sie an einen schmerzhaften Punkt gelangen, an dem der Server mit Datenverkehr beschäftigt ist, der von Anfang an nutzlos war. Die Anwendung versagt nicht unbedingt, weil sie echte Benutzer nicht bewältigen kann. Sie versagt, weil der Host CPU-Zeit damit verbringt, Junk-Pakete zu empfangen, zu analysieren, zu klassifizieren und tiefer in Linux zu befördern, bevor irgendetwas „Nein” sagt. Viele Anti-DDoS-Probleme beginnen dort: nicht als Bandbreitenproblem, sondern als Problem der Paketverarbeitungskosten.

Das ist für mehr als nur Kernel-Spezialisten relevant. Entwickler, Self-Hoster, VPS- und Dedicated-Server-Betreiber und sogar Geschäftsleser, die Resilienzoptionen vergleichen, stoßen alle auf dieselbe grundlegende Frage: Wie früh kann schlechter Datenverkehr abgelehnt werden, bevor er Zeit und Ressourcen verbraucht, die für echte Arbeit bestimmt sind? Einige Angriffe überlasten den Uplink selbst, aber viele schädliche Situationen treten früher als Pakete-pro-Sekunde-Druck auf dem Host auf, lange bevor die Leitung vollständig gesättigt ist.

Genau dort wird XDP verständenswert. Es ersetzt keine vorgelagerte Mitigation, keine Firewall und keine anwendungsbewussten Kontrollen. Was es bietet, ist ein viel früherer Kontrollpunkt im Linux-Paketpfad. Dieser Artikel erklärt, was XDP ist, warum diese „frühere” Position für Anti-DDoS-Arbeit wichtig ist und wo es in einen realistischen Stack passt. Um dem Rest zu folgen, benötigen Sie zunächst nur ein sehr kleines Vokabular.

XDP-Schlüsselbegriffe, die Sie in 2 Minuten benötigen

Mehrere der Begriffe rund um XDP überschneiden sich, und auf den ersten Blick klingen sie einschüchternder als sie wirklich sind. Das ist normal. Der Zweck dieses Glossars ist nicht, den Artikel in eine Linux-Interna-Lektion zu verwandeln. Es ist gerade genug Sprache, damit der Rest der Erklärung klar verständlich wird.

BegriffBedeutung in einfacher Sprache
📦 XDPEin Linux-Paketverarbeitungs-Hook, der eine frühe Entscheidung über ein eingehendes Paket treffen kann, bevor der normale Netzwerk-Stack mehr Arbeit damit verrichtet.
🧩 eBPFEin sicherer programmierbarer Mechanismus innerhalb des Linux-Kernels, der es kleinen Programmen ermöglicht, an bestimmten Hook-Punkten zu laufen.
🔌 NIC-TreiberDie Softwareschicht, die Linux ermöglicht, mit einer Netzwerkkarte zu kommunizieren und Pakete von ihr zu empfangen.
🛠️ Kernel-Netzwerk-StackDer normale Pfad, den Linux zur Verarbeitung von Paketen nach deren Ankunft verwendet, einschließlich Routing, Firewalling, Sockets und Zustellung an Anwendungen.
🐧 nativer ModusDer schnellere XDP-Pfad, bei dem das Programm im Treiber-Empfangspfad so früh läuft, wie Hardware und Treiber es unterstützen.
📥 skb / generischer ModusEin Kompatibilitätsmodus, bei dem XDP konzeptionell noch funktioniert, aber später im Pfad und mit weniger Leistungsvorteil als im nativen Modus.
🔑 BPF-MapsGemeinsam genutzte Schlüssel-Wert-Tabellen, die es einem laufenden XDP-Programm und User-Space-Tools ermöglichen, Daten wie Regeln oder Zähler auszutauschen.
🚦 xdp-loaderEin User-Space-Tool zum Anhängen, Inspizieren und Verwalten von XDP-Programmen auf Interfaces.
🧹 xdp-filterEin einfaches XDP-basiertes Filterdienstprogramm, das XDP-Verhalten leichter demonstrierbar macht, ohne benutzerdefinierten eBPF-Code schreiben zu müssen.

Wenn Sie nur eine mentale Abkürzung aus dieser Tabelle behalten, dann diese: eBPF ist der programmierbare Mechanismus, und XDP ist ein spezifischer Ort, an dem dieser Mechanismus ausgeführt werden kann. Mit diesem Verständnis ist der nächste Schritt eine einfachere und nützlichere Frage: Was macht XDP eigentlich?

Was XDP eigentlich ist

whatis

XDP ist ein früher Paketverarbeitungs-Hook in Linux. Er ermöglicht es dem System, ein kleines eBPF-Programm auf einem Paket auszuführen, sobald dieses Paket an einem Netzwerk-Interface ankommt. In diesem Moment kann Linux eine schnelle Entscheidung treffen: das Paket weiterleiten (XDP_PASS), es sofort verwerfen (XDP_DROP) oder es auf eine andere definierte Weise behandeln. Für diesen Artikel ist der wichtige Teil einfach: XDP kann sehr früh „durchlassen” oder „hier stoppen” sagen.

Linux verwendet eBPF in verschiedenen Kontexten, nicht nur im Netzwerkbereich. XDP ist die netzwerkfokussierte Version, die für die sehr frühe Verarbeitung eingehender Pakete entwickelt wurde. XDP ist also kein anderes Wort für eBPF. Es ist ein eBPF-basiertes Tool mit einer sehr spezifischen Rolle.

Diese Rolle macht XDP für Anti-DDoS-Arbeit nützlich. XDP läuft, bevor Pakete die normalen, schwergewichtigeren Teile des Linux-Netzwerkpfads durchlaufen. Daher kann Linux über bestimmten Datenverkehr entscheiden, bevor es mehr Aufwand für Firewalling, Verbindungsverfolgung, Sockets und schließlich die Anwendung selbst aufwendet. Deshalb liegt der eigentliche Vorteil von XDP nicht nur im Filtern – es ist das frühere Filtern.

Darüber hinaus ist XDP für mehr als Anti-DDoS nützlich. Es kann auch Traffic-Steuerung und andere Paketverarbeitungsaufgaben unterstützen. Aber Anti-DDoS ist der einfachste Ort, um seinen Wert zu erkennen, denn der Vorteil lässt sich auf eine praktische Idee reduzieren: Je früher schlechter Datenverkehr abgelehnt wird, desto weniger nutzlose Arbeit muss der Server leisten. Und um zu verstehen, warum das so wichtig ist, ist der nächste Schritt, genau zu betrachten, wo XDP im Paketempfangspfad sitzt.

Das mentale Modell: XDP ist das Tor, nicht der Empfang

model

Der einfachste Weg, XDP zu verstehen, ist als Sicherheitsbeamter am Tor, nicht als Empfangsdame tiefer im Gebäude. Wenn ein offensichtlich unerwünschter Besucher am Tor abgewiesen wird, vermeidet das Gebäude eine lange Kette sinnloser Arbeit. Niemand öffnet die innere Tür, checkt ihn in ein System ein oder führt ihn durch den Flur. Wenn Sie bis zum Empfang warten, um ihn abzuweisen, hat das Gebäude bereits Zeit und Aufmerksamkeit für die falsche Person aufgewendet.

Die Linux-Paketverarbeitung funktioniert genauso. In einem vereinfachten Empfangspfad kommt das Paket von NIC und Treiber an, erreicht XDP und setzt dann erst seinen Weg in den reichhaltigeren Kernel-Netzwerk-Stack fort, der conntrack, Firewalling, Sockets und schließlich die Anwendung versorgt. Visuell dargestellt sieht der Pfad so aus:

NIC / driver
    ↓
XDP  ← earliest checkpoint
    ↓
kernel networking stack
    ↓
conntrack / firewall
    ↓
socket
    ↓
application

Im nativen Modus kann XDP agieren, bevor Linux die übliche sk_buff-Struktur allokiert und befüllt – das reichhaltigere Kernel-Paketobjekt, das der Rest des Stacks erwartet. Dieses Detail klingt klein, ist aber das Herzstück der Leistungsgeschichte. Wenn das Paket offensichtlich unerwünscht ist, bedeutet das Verwerfen vor dem Aufbau dieser normalen Struktur weniger CPU-Arbeit, weniger Speicherbelastung und weniger nachgelagerten Druck. XDP_PASS existiert, weil nicht jedes Paket schlecht ist; es ist die „weitermachen”-Aktion, die legitimen Datenverkehr weiterleiten lässt. XDP_DROP ist der Anti-DDoS-Star, weil er die Reise beendet, bevor der teure Teil beginnt. Andere Aktionen wie REDIRECT existieren ebenfalls, sind aber für diese Erklärung nicht ausschlaggebend.

Sobald die Platzierung klar ist, lassen sich der Anti-DDoS-Wert – und die Einschränkungen – viel leichter realistisch beurteilen.

Wie XDP bei Anti-DDoS hilft – und wo seine Grenzen beginnen

model

Der Anti-DDoS-Fall für XDP ist unkompliziert: Es ist eine kostengünstige Möglichkeit, offensichtlichen Müll abzulehnen, bevor Linux Ressourcen für conntrack, Socket-Handling und User-Space-Zustellung aufwendet. Wenn ein Host mit hochfrequentem Datenverkehr überflutet wird, der die Anwendung ohnehin nie erreichen sollte, ist jedes früh verworfene Paket Arbeit, die der Server später nicht mehr erledigen muss. Deshalb ist XDP am stärksten am L3/L4-Rand des Problems: Quelladressen, denen Sie bereits misstrauen, Protokolle, die Sie nicht möchten, oder Verkehrsmuster, die für die Arbeitslast eindeutig nicht legitim sind.

Dies ist am wichtigsten bei Junk-Floods, bei denen der schmerzhafte Teil nicht das rohe Datenvolumen ist, sondern die wiederholte Paketverarbeitung. Ein Reverse-Proxy, ein UDP-lastiger Dienst oder eine öffentliche API kann langsam werden, lange bevor der Uplink vollständig gesättigt ist, wenn der Host damit beschäftigt ist, Unsinn zu klassifizieren. XDP gibt Ihnen eine Möglichkeit, einen Teil dieses Aufwands nahe an der Eingangstür abzuschneiden.

📝 Hinweis: XDP schützt Host-Ressourcen besser als einen gesättigten Upstream-Link. Wenn der providerseitige Link bereits voll ist, kommt das frühe Verwerfen auf Host-Ebene zu spät, um den Netzwerkpfad allein zu reparieren.

Diese Unterscheidung ist der Hauptgrund, warum XDP in ein mehrschichtiges Design gehört und nicht auf einem Podest steht. Die folgende Tabelle ist die praktische Version von XDP vs. nftables vs. Upstream-/Provider-Mitigation:

SchichtWo sie wirktWas sie am besten schütztWas sie allein nicht lösen kannBeste Rolle im Stack
XDPAm frühesten Host-EmpfangskontrollpunktCPU- und Paketpfadkosten durch offensichtlich unerwünschten DatenverkehrEinen gesättigten Uplink, zustandsbehaftete Richtlinien oder anwendungsbewusstes FilternErste-Durchgang-Früh-Verwurf-Schicht
nftablesTiefer im Host-Netzwerk-StackZustandsbehaftetes Firewalling, reichhaltigere Richtlinien, dienstbewusste Host-KontrollenDen zusätzlichen Host-Aufwand, der bereits aufgewendet wurde, um Pakete so weit zu bringenHaupt-Host-Firewall- und Richtlinienschicht
Upstream- / Provider-MitigationBevor Datenverkehr Ihren Server vollständig erreichtLink-Sättigung, größere volumetrische Floods, breiteres Edge-FilteringFeingranularen Host-Kontext oder app-spezifische lokale RichtlinienÄußere Mitigationsschicht vor dem Server

Mit anderen Worten: XDP und nftables sind keine Feinde. Sie lösen verschiedene Teile des Pfads. nftables ist reichhaltiger und zustandsbehaftet. xdp-filter – das in diesem Artikel verwendete Demo-Tool – ist absichtlich einfach und zustandslos, was genau der Grund ist, warum es nützlich ist, um das XDP-Modell zu zeigen, ohne vorzugeben, eine vollständige Firewall zu ersetzen. Wenn Sie Verbindungsverfolgung, geschichtete Allowlists, Antwort-Zustands-Handling oder anwendungsbewusste Regeln benötigen, beschreiben Sie bereits Probleme, die tiefer als dieses Demo-Dienstprogramm gehören.

Produktionsbetreiber verwenden XDP-artiges Verwerfen, weil frühes Verwerfen die nachgelagerte Arbeit reduziert. Cloudflares L4Drop-Geschichte ist ein bekanntes Beispiel dafür, warum dieses Modell im realen Betrieb attraktiv wurde. Aber die wichtige Lektion ist nicht nur die Schlagzeilen-Pakete-pro-Sekunde-Zahl. Es ist die Designlogik: Schlechten Datenverkehr früher ablehnen, damit der Rest der Maschine echten Datenverkehr länger bedienen kann.

Reale Ergebnisse hängen stark von der Umgebung ab. NIC- und Treiber-Unterstützung, ob XDP im nativen oder skb-Modus läuft, und die Form des eingehenden Datenverkehrs beeinflussen alle, wie viel Nutzen Sie tatsächlich erzielen. Deshalb sollten Schlagzeilen-Pakete-pro-Sekunde-Zahlen von Anbietern oder Hyperscalern am besten als Beweis behandelt werden, dass das Früh-Verwurf-Modell funktioniert, nicht als Zahlen, die jeder VPS erwarten sollte. Mit diesem Gedanken zeigt der nächste Abschnitt, wie XDP auf einem echten Ubuntu-Host durch einige sichere Operator-Snapshots aussieht.

Wie XDP in der Praxis aussieht – Befehls-Snapshots

practice

Dieser Abschnitt ist ein Proof-of-Concept-Snapshot. Das Ziel ist es, XDP auf Ubuntu 24.04 mit dem relevanten Befehlssatz real erscheinen zu lassen: genug, um einen Filter zu laden, zu inspizieren, was angehängt wurde, eine risikoarme Regel hinzuzufügen und die relevanten Zähler zu lesen.

Bevor Sie mit der XDP-Einrichtung fortfahren, müssen Sie zunächst den Interface-Namen ermitteln und auswählen.

ip -br link

interfaces

Installieren Sie die Voraussetzungen.

sudo apt update
sudo apt install -y xdp-tools

install

Ersetzen Sie im folgenden Befehl <ifname> durch Ihren tatsächlichen Netzwerk-Interface-Namen, wie z. B. eth0 oder ens3.

sudo xdp-filter load -m skb <ifname>

Die ersten beiden Befehle sind für die Installation der erforderlichen Tools verantwortlich und stellen sicher, dass die Umgebung alles hat, was zum Ausführen der Demo benötigt wird.

Der dritte Befehl lädt dann xdp-filter im skb-Modus mit der Standard-allow-Richtlinie. Auf dem für diesen Artikel verwendeten Ubuntu-Host erzeugte das die xdpfilt_alw_all-Variante mit dem vollständigen tcp,udp,ipv6,ipv4,ethernet,allow-Feature-Set. Die Wahl von -m skb vermeidet die Annahme nativer XDP-Unterstützung in Ihrer NIC oder Ihrem Treiber und macht es zum sichereren Pfad für einen ersten Proof of Concept.

Um zu überprüfen, ob das Programm tatsächlich angehängt wurde, führen Sie aus:

sudo xdp-filter status
ip -details link show dev <ifname>

In xdp-filter status möchten Sie Ihr Interface mit skb mode aufgelistet sehen; auf dem hier verwendeten Testhost zeigte das geladene Feature-Set tcp,udp,ipv6,ipv4,ethernet,allow. In ip -details link show bestätigen eine xdpgeneric-Anhängung und das xdp_dispatcher-Programm, dass generisches XDP auf diesem Interface aktiv ist.

check

⚠️ Warnung: Testen Sie keine Deny-Default-Richtlinien oder breite Drop-Regeln auf einem live Remote-Interface, das Ihre SSH-Sitzung trägt, es sei denn, Sie haben eine Konsolen-Wiederherstellungsmöglichkeit. Dieser Artikel bleibt aus genau diesem Grund bei einer allow-Richtlinie und einer Dokumentationsadressen-Regel.

Inspizieren Sie als nächstes die Fähigkeitserkennung. Dies zeigt Ihnen, was NIC und Treiber in der XDP-Oberfläche bereitstellen, nicht was Ihre endgültige Leistung sein wird.

sudo xdp-loader features <ifname>

Die genaue Ausgabe variiert je nach Hardware, aber ein repräsentatives Ergebnis enthält oft Zeilen wie diese:

feature

Was hier am wichtigsten ist, ist NETDEV_XDP_ACT_BASIC, denn das zeigt Ihnen, dass der Pfad das grundlegende XDP-Aktionsmodell bereitstellt. Zusätzliche Flags wie Redirect-Unterstützung sind nützlich, aber für einen einfachen Anti-DDoS-Proof-of-Concept nicht erforderlich.

Überprüfen Sie als nächstes, wie der XDP-Loader das Programm verwaltet und in welchem Modus es läuft.

sudo xdp-loader status

Auf einem funktionierenden System kann eine Statusansicht so aussehen:

loader

Dies ist eine kleine, aber wichtige Operator-Prüfung. Sie bestätigt, dass XDP nicht nur ein Regelkonzept ist, das im User-Space lebt – es gibt ein geladenes Programm auf dem Interface, und die Modusspalte zeigt Ihnen, ob Sie native oder skb betrachten.

Fügen Sie nun eine sichere Beispielregel mit einer Dokumentations-IP-Adresse hinzu. Das -s-Flag ist hilfreich, weil es den resultierenden Regelzustand sofort ausgibt, anstatt Sie mit einem stillen Erfolg zurückzulassen.

sudo xdp-filter ip -s -m src 192.0.2.1

Eine repräsentative Antwort kann so aussehen:

filter

📝 Hinweis: xdp-filter verwendet standardmäßig eine allow-Richtlinie. Mit anderen Worten: Pakete, die der Regel entsprechen, werden verworfen, und Pakete, die der Regel nicht entsprechen, setzen ihren Weg durch den normalen Pfad fort.

Dieses Beispiel ist absichtlich unspektakulär. In Anti-DDoS-Begriffen zeigt es auch die einfachstmögliche Version einer frühen Drop-Regel: Datenverkehr von einer Quelle, die Sie nicht möchten, kann abgelehnt werden, bevor der Rest des Hosts viel Arbeit damit investiert.

Inspizieren Sie abschließend den Gesamtzustand an einem Ort.

sudo xdp-filter status

Auf einem typischen System ist das Ausgabemuster das informativste.

filter-status

Diese Statusansicht ist der Punkt, an dem der Proof of Concept operativ nützlich wird. Sie können das geladene Interface, den aktiven Modus, die aktive xdp-filter-Variante, das effektive Feature-Set und den Zählerzustand pro Regel in einem Befehl sehen. XDP_ABORTED, falls es erscheint, ist hauptsächlich ein Fehler-/Debug-Bucket und nicht die Aktion, um die Sie planen. Wichtiger: Wenn der Drop-Zähler bei 0 bleibt, bedeutet das nicht, dass der Filter fehlgeschlagen ist. Es bedeutet nur, dass kein passendes Paket die Regel während des Erfassungsfensters getroffen hat.

💡 Fazit: Behandeln Sie xdp-filter als einfaches, zustandsloses Proof-of-Concept-Tool, nicht als Ersatz für nftables. Beachten Sie auch, dass Pakete, die auf der XDP-Schicht verworfen werden, möglicherweise nie im üblichen tcpdump-Pfad erscheinen, was die XDP-native Statusausgabe und Zähler zur zuverlässigeren Validierungsmethode macht. Wenn Sie später eine Live-Ansicht möchten, ist sudo xdp-filter poll -i 2000 ein sinnvoller optionaler nächster Schritt – aber nur, wenn das Interface bereits genug interessanten Datenverkehr hat, um diese Ausgabe nützlich zu machen.

Eine sichere Demo zu sehen macht die Idee konkret. Die eigentliche Entscheidung ist jedoch nicht, ob die Befehle ausgeführt werden. Es ist, ob diese zusätzliche Schicht die operative Komplexität auf der Art von Infrastruktur wert ist, die Sie tatsächlich verwalten.

Wann XDP für VPS und Dedicated Server in Betracht gezogen werden sollte

choice

XDP wird interessant, wenn eine öffentlich zugängliche Arbeitslast bedeutende CPU-Zeit durch unerwünschte Pakete verliert, bevor die Anwendung normal reagieren kann. Gute Kandidaten sind öffentliche APIs, Reverse-Proxies, Gateways, internetexponierte UDP-lastige Dienste und Hosts, die regelmäßig genug Junk-Datenverkehr sehen, um den Netzwerkpfad zu belasten, auch wenn die Anwendung selbst nicht der Engpass ist. In diesen Umgebungen kann früheres Ablehnen echten Server-Spielraum zurückgewinnen.

Es gibt auch viele Fälle, in denen einfacheres Filtern ausreicht. Eine Website mit geringem Datenverkehr, ein internes Tool, eine Staging-Box oder ein Dienst, dessen eigentliche Anforderung zustandsbehaftetes Host-Firewalling statt Paketrate-Entlastung ist, benötigt normalerweise kein XDP zuerst. Wenn nftables das Risiko bereits ohne merklichen Paketpfad-Druck abdeckt, kann das Hinzufügen einer weiteren Schicht mehr bewegliche Teile als Wert schaffen.

Als schnelles Entscheidungsrahmenwerk:

  • Firewalling ist normalerweise ausreichend, wenn der Datenverkehr gering ist, die Richtlinie Zustand oder reichhaltigere Dienstlogik benötigt und der Host nicht sichtbar CPU für Junk-Pakete verbrennt.
  • XDP wird es wert, evaluiert zu werden, wenn unerwünschter Datenverkehr den Host häufig genug erreicht, dass frühes Verwerfen CPU, conntrack und Socket-Kapazität schützen könnte.
  • Upstream-Mitigation bleibt obligatorisch, wenn der eigentliche Ausfallmodus Provider-Link-Sättigung oder größere volumetrische Floods sind, bevor die Pakete überhaupt Ihren Server erreichen.

VPS-Benutzer sollten einen Vorbehalt im Hinterkopf behalten: Virtuelle NIC-Pfade und Provider-Abstraktion können native-Modus-Erwartungen einschränken, auch wenn der skb-Modus für eine Demo gut funktioniert. Dedicated Server geben Ihnen normalerweise mehr Kontrolle über Treiber, Hardware und Beobachtbarkeit, sodass die Chancen auf sinnvolle native-Modus-Unterstützung dort besser sind – aber selbst auf Bare Metal ist XDP immer noch eine Schicht, nicht die ganze Antwort. Wenn Sie AlexHost oder einen anderen Provider evaluieren, stellen Sie drei separate Fragen, anstatt sie zusammenzufassen: Welches Upstream-DDoS-Handling existiert, wie viel Host-Spielraum bietet der Plan und welche Host-Level-Kontrollen sind auf dieser Plattform realistisch?

Fazit: XDP ist eine Früh-Verwurf-Schicht, nicht der gesamte Schutzschild

decisions

Der klarste Weg, über XDP nachzudenken, ist dieser: Es gibt Linux einen schnellen ersten Kontrollpunkt für offensichtlich schlechten Datenverkehr und Paket-Floods, was bedeutet, dass es Server-Ressourcen besser schützt als einen gesättigten Upstream-Link. Deshalb ist XDP in Anti-DDoS-Gesprächen wichtig. Es ersetzt keine Upstream-Mitigation, kein zustandsbehaftetes Firewalling und keine anwendungsbewussten Kontrollen. Es hilft, indem es den Host weniger sinnlose Arbeit erledigen lässt.

Die Faustregel ist also einfach. Wenn unerwünschter Datenverkehr Host-CPU verschwendet, bevor echte Workloads reagieren können, ist XDP es wert, als Früh-Verwurf-Schicht evaluiert zu werden. Wenn das Hauptproblem ein voller Uplink oder eine Richtlinie ist, die von Zustand und Anwendungslogik abhängt, gehört XDP hinter Upstream-Mitigation und tieferes Filtern, anstatt als vollständige Antwort davor zu stehen. Ein natürlicher nächster Schritt von hier aus wäre ein Follow-up zum Schreiben benutzerdefinierter XDP-Programme oder zum Aufbau einer reichhaltigeren mehrschichtigen Verteidigung rund um dieselbe Früh-Verwurf-Idee.