eCapture旁观者支持Golang tls/https加密明文捕获

2023/03/122023/03/12 CFC4N 4 Comments 所谓技术

云原生生态中，golang语言开发的项目越来越多，例如Docker和K8s、etcd等。作为SRE、RD，偶尔需要在生产环境抓网络通讯包，用来分析排查故障。很多时候，都是tls/https加密协议，如何在不重启业务保留现场，不改为自定义CA证书的情况下，分析明文通讯内容呢？

如何使用Delve和eBPF更快地调试Go程序

2023/02/142023/02/22 CFC4N 所谓技术

Delve 的目标是为开发人员提供愉快且高效的 Go 调试体验。因此，本文重点介绍了我们如何优化函数跟踪子系统，以便您可以更快地检查程序并找到根本原因分析。Delve 的跟踪实现有两个不同的后端，一个是基于 ptrace 的，另一个使用 eBPF。

2022虎年总结

2023/01/192023/01/20 CFC4N 3 Comments 生活

年度总结这件事，我跟别人的不同，我更喜欢以春节作为分割，而不是阳历的元旦。毕竟春节的假期太长，仪式感更强，更让我认为一年的起始是春节后的正月和临近春节的腊月。

eCapture支持boringssl TLS 1.3明文数据包捕获

2023/01/082023/01/09 CFC4N 所谓技术

一个多月前，有网友反馈Android上，TLS 1.2明文网络包正常捕获，而1.3的密钥无法捕获。笔者得知这个问题后，花了几个周末时间修复、添加了这个功能。在这期间，笔者工作繁忙以及感染新冠，整个功能拖了1个月才完成。精力与体力，支撑起来越来越吃力。搞开源，全是靠爱发电，实属不易。

使用 eBPF-TC 在内核中安全地改变数据包

2023/01/07 CFC4N 所谓技术

eBPF 允许你在 OS 内核中安全地运行沙箱程序，用于安全性和网络等功能，而无需修改内核源代码或加载内核模块。eBPF-TC 具有牢固的数据包处理能力，并支持入口和出口操作，而且性能很高。

使用eBPF实现基于DWARF的堆栈遍历

2022/12/012022/12/01 CFC4N 所谓技术

我们是 BPF 的忠实信徒，有很多原因。从广义上讲，它允许 Linux 内核以更高的安全保证和更低的学习门槛进行编程。
在 BPF 中开发分析器非常有意义，因为一旦实现了堆栈遍历机制，我们就可以利用 perf 子系统来获取有关 CPU 周期、指令、L3 缓存未命中或我们机器中可用的任何其他性能计数器的样本。它还有助于开发其他工具，如分配跟踪器、off-CPU分析器等。

实战eBPF kprobe函数插桩

2022/11/212022/11/21 CFC4N 所谓技术

说起eBPF大家都不陌生，在实际使用时，基于各种需求场景，kprobe的出场机会比较多。在eBPF kprobe实战过程中，你遇到过因为业务需求kprobe 需要获取多个参数的场景吗？如果你也纠结过如何取得超过6个的参数，本文尝试带你一起揭开这层面纱。

如何使用eBPF观测用户空间应用程序

2022/10/272023/01/20 CFC4N 所谓技术

很多刚接触eBPF的朋友会问我，eCapture的原理是什么，为什么区分OpenSSL、Gnutls、Nspr等类库实现？为什么要设定OpenSSL类库地址？为什么C、JAVA、Go实现的https通讯程序，在eCapture上实现却不一样。对于这些问题，我觉得核心问题是大家对「eBPF实现用户空间的行为跟踪」原理不了解，