去年报告过IP源地址伪造漏洞,到今天快过去一年了,到底是如何实现的?跟阿里的安全专家 pyn3rd 发现的是同一个漏洞吗?有人说简单的HTTP的Header追加伪造?有人说是修改返回包内容,本地欺骗?有人说这是装神弄鬼,炒冷饭? 今天就来聊下吧。
linux kernel
如何使用eBPF观测用户空间应用程序
很多刚接触eBPF的朋友会问我,eCapture的原理是什么,为什么区分OpenSSL、Gnutls、Nspr等类库实现?为什么要设定OpenSSL类库地址?为什么C、JAVA、Go实现的https通讯程序,在eCapture上实现却不一样。对于这些问题,我觉得核心问题是大家对「eBPF实现用户空间的行为跟踪」原理不了解,
eBPF网络程序新手指南 By Liz Rice
eCapture:无需CA证书抓https网络明文通讯
eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。eCapture系统用户态程序使用Golang语言开发,具有良好的系统兼容性,无依赖快速部署,更适合云原生场景。内核态代码使用C编写,使用clang/llvm编译,生产bpf字节码后,采用go-bindata转化为golang语法文件,之后采用ehids/ebpfmanager类库,调用bpf syscall进行加载、HOOK、map读取。
Linux中基于eBPF的恶意利用与检测机制
[译]使用eBPF per-CPU Cgroup本地存储进行低功耗统计
本文使用eBPF per-cpu的map类型,以及cilium的golang eBPF类库实现了对ingress以及egress网络流量的大小统计,以一个最简单demo,实现更精细、高效的监控统计。在容器化下场景下,用更少的资源损耗,完成精准、实时的统计,更能符合场景需求。
[译]使用eBPF(绕过 TCP/IP)加速云原生应用程序的经验教训
本文对比了eBPF绕过TCP/IP栈与普通TCP协议两种模式下,网络通讯的吞吐量、延迟、事务量等指标。译者以边学边练的方式来学习额BPF新内核知识,并以网络安全产品研发的视角,结合容器化编排领域发展趋势,谈主机安全产品HIDS的演进方向。