去年报告过IP源地址伪造漏洞,到今天快过去一年了,到底是如何实现的?跟阿里的安全专家 pyn3rd 发现的是同一个漏洞吗?有人说简单的HTTP的Header追加伪造?有人说是修改返回包内容,本地欺骗?有人说这是装神弄鬼,炒冷饭? 今天就来聊下吧。
Linux
eBPF在Golang中的应用介绍
很多时候,在开发软件时,都是在操作系统的安全范围内进行操作,我们不知道网络接口如何黑醋栗IP数据包,也不知道文件系统如何处理这些inode。本文用Golang语言以及eBPF技术,演示了对内核行为进行监控的实现,希望对你有帮助。
eCapture v0.8.0:CO-RE、非CO-RE二合一,交叉编译amd64、arm64双版本
使用eBPF技术实现的软件,总会分不清CO-RE(一次编译,到处运行),在选择CORE、非CORE版本而烦恼吗?这下你不用纠结了,eCapture 0.8.0起,会自动选择CORE版本。不论内核是否支持CORE,eCapture都可以兼容。
eCapture v0.7.3新版性能提升10倍,支持OpenSSL 3.2
击败 eBPF Uprobe 监控
这篇文章介绍了一种可以用于监控用户空间程序的 eBPF 程序。它首先向您介绍了 eBPF 和 uprobes,然后探讨了我们在 uprobes 中发现的缺陷,演示了绕过eBPF uprobe监控的方法。
GitHub万星项目进度70%,eCapture旁观者7K Stars达成
如何给eBPF程序写单元测试
eBPF程序还很年轻,周边质量建设体系还刚起步,常用于Linux内核上的监控跟踪,本身比较底层,测试成本很高。对于常写eBPF的同学,特别头疼的是快速迭代的项目,如何保证功能正常。如何给eBPF程序写单元测试呢?
eCapture旁观者支持Golang tls/https加密明文捕获
云原生生态中,golang语言开发的项目越来越多,例如Docker和K8s、etcd等。作为SRE、RD,偶尔需要在生产环境抓网络通讯包,用来分析排查故障。很多时候,都是tls/https加密协议,如何在不重启业务保留现场,不改为自定义CA证书的情况下,分析明文通讯内容呢?
如何使用Delve和eBPF更快地调试Go程序
Delve 的目标是为开发人员提供愉快且高效的 Go 调试体验。因此,本文重点介绍了我们如何优化函数跟踪子系统,以便您可以更快地检查程序并找到根本原因分析。Delve 的跟踪实现有两个不同的后端,一个是基于 ptrace 的,另一个使用 eBPF。
使用eBPF实现基于DWARF的堆栈遍历
我们是 BPF 的忠实信徒,有很多原因。从广义上讲,它允许 Linux 内核以更高的安全保证和更低的学习门槛进行编程。
在 BPF 中开发分析器非常有意义,因为一旦实现了堆栈遍历机制,我们就可以利用 perf 子系统来获取有关 CPU 周期、指令、L3 缓存未命中或我们机器中可用的任何其他性能计数器的样本。它还有助于开发其他工具,如分配跟踪器、off-CPU分析器等。