去年报告过IP源地址伪造漏洞,到今天快过去一年了,到底是如何实现的?跟阿里的安全专家 pyn3rd 发现的是同一个漏洞吗?有人说简单的HTTP的Header追加伪造?有人说是修改返回包内容,本地欺骗?有人说这是装神弄鬼,炒冷饭? 今天就来聊下吧。
Author: CFC4N
eBPF在Golang中的应用介绍
很多时候,在开发软件时,都是在操作系统的安全范围内进行操作,我们不知道网络接口如何黑醋栗IP数据包,也不知道文件系统如何处理这些inode。本文用Golang语言以及eBPF技术,演示了对内核行为进行监控的实现,希望对你有帮助。
eCapture v0.8.0:CO-RE、非CO-RE二合一,交叉编译amd64、arm64双版本
使用eBPF技术实现的软件,总会分不清CO-RE(一次编译,到处运行),在选择CORE、非CORE版本而烦恼吗?这下你不用纠结了,eCapture 0.8.0起,会自动选择CORE版本。不论内核是否支持CORE,eCapture都可以兼容。
ecapture v0.7.4发布,支持Pcap FIlter包过滤语法
eCapture v0.7.4版本发布支持Pcap Filter Syntax,你可以像tcpdump一样使用pcap filter表达式来过滤网络包。在tls或gotls模块中,当运行模式参数-m为pcap时,在命令行最后的参数中设定。
eCapture v0.7.3新版性能提升10倍,支持OpenSSL 3.2
探索aarch64架构上使用ftrace的BPF LSM
笔者在MacBook M2上搭建Linux虚拟机上开发eBPF程序时,遇到一些LSM eBPF类型程序无法运行的问题。 在笔者尝试定位这些差异时,看到这篇文章,可以让大家更直观地了解LSM eBPF在ARM64、AMD64 内核上的差异。
美团RASP大规模研发部署实践总结
本文主要介绍了美团RASP在研发过程中遇到的问题和解决方案。首先介绍了RASP的痛点问题,包括业务场景复杂、升级变更难、对业务性能影响大和缺少监控等。对于RASP的升级问题,引入了插件热更新的技术,可以在不重启Java进程的情况下,即时地更新RASP的功能。
手机镜头下的2023年 by CFC4N
击败 eBPF Uprobe 监控
这篇文章介绍了一种可以用于监控用户空间程序的 eBPF 程序。它首先向您介绍了 eBPF 和 uprobes,然后探讨了我们在 uprobes 中发现的缺陷,演示了绕过eBPF uprobe监控的方法。