本文是在kernel space内核态,hook内核态函数,更改内核态返回用户态缓冲区数据,欺骗用户态进程,实现容器逃逸与rootkit。用户态进程拿到被篡改的数据,从而被骗通过认证。在此过程,不改变任何文件、进程、网络行为,不产生日志。 常规HIDS、HIPS产品无法感知。
docker
[译]使用eBPF(绕过 TCP/IP)加速云原生应用程序的经验教训
本文对比了eBPF绕过TCP/IP栈与普通TCP协议两种模式下,网络通讯的吞吐量、延迟、事务量等指标。译者以边学边练的方式来学习额BPF新内核知识,并以网络安全产品研发的视角,结合容器化编排领域发展趋势,谈主机安全产品HIDS的演进方向。