《8.eCapture旁观者-CFC4N-首届中国eBPF研讨会.pdf》由会员分享,可在线阅读,更多相关《8.eCapture旁观者-CFC4N-首届中国eBPF研讨会.pdf(34页珍藏版)》请在三个皮匠报告上搜索。
1、首届中国eBPF研讨会eCapture 旁观者CA证书HTTPS抓包陈驰(CFC4N)首届中国eBPF研讨会录01我介绍02项介绍03运演示04实现原理05未来展望首届中国eBPF研讨会我介绍陈驰(CFC4N),美团-信息安全部从业经验:1.IDC/IT领域终端安全产品:HIDS/HIPS/EDR/WAF/RASP/2.游戏研发:MMORPC/MOBA/SLG3.个博客:https:/01首届中国eBPF研讨会项介绍eCapture 旁观者1.项官:https:/ecapture.cc2.CA证书HTTPS/TLS数据抓包3.eBPF技术驱动,持Linux/Android(x86_64/Aar
2、ch64)4.Golang/C 语研发02首届中国eBPF研讨会起源 BPF/eBPF的恶意利 eBPF在防御检测的利 疫情带来的碎化时间 规模化部署的预研 准确的业务痛点首届中国eBPF研讨会特点 零依赖 单件 双系统 三模块 四类库 五千星首届中国eBPF研讨会运依赖开启BPF开启BTF(可选)首届中国eBPF研讨会持系统Kernel 4.15 以上 X86_64 :Kernel 5.4 以上 Aarch64:首届中国eBPF研讨会持类库本模式(uprobe)GnuTLS NSS/NSPR OpenSSL 1.0.2(a-u 21个版本)OpenSSL 1.1.0(a-l 12个版本)Op
3、enSSL 1.1.1(19个版本)OpenSSL 3.0(8个版本)BoringSSL 1.1.1 定义的静态编译ELFPcap-NG模式(TC+uprobe)OpenSSL 1.0.2(12个版本)OpenSSL 1.1.0(21个版本)OpenSSL 1.1.1(19个版本)OpenSSL 3.0(8个版本)BoringSSL 1.1.1首届中国eBPF研讨会运结果展示首届中国eBPF研讨会运演示百闻不如03首届中国eBPF研讨会Linux X86_64 系统演示环境:Ubuntu 21.04,kernel 5.11,CO-RE首届中国eBPF研讨会Android Aarch64 系统演
4、示环境:Pixel 6,kernel 5.10,non CO-RE首届中国eBPF研讨会实现原理原理与机制类库、框架、架构04首届中国eBPF研讨会运原理 ELF 函数符号表定位 Offset 定位 Uprobe挂钩函数 Constant修改 BPF map传递数据 Traffic Control捕获流量 Uprobe 捕获SSL 密钥 PcapNG DSB密钥存储 WireShark DSB解析展示首届中国eBPF研讨会本模式/eBPF Uprobe函数原型内核空间首届中国eBPF研讨会被HOOK内存地址布局首届中国eBPF研讨会userspace 内存读取按版本区分内存布局偏移地址定制化读
5、取逻辑定制化首届中国eBPF研讨会流量包模式/eBPF TC原络流性能双向流量Traffic Control首届中国eBPF研讨会PcapNG Decryption Secrets BlockTLS密钥络流量eCapturepcapng数据包eBPF uprobeeBPF TCPcanNG DSB首届中国eBPF研讨会系统架构 CLI处理类库 模块业务逻辑 eBPF字节码打包 eBPF程序管理 eBPF 系统调 eBPF系统调 eBPF验证器 eBPF虚拟机首届中国eBPF研讨会Cli处理模块业务逻辑首届中国eBPF研讨会类库选型eBPF syscallcilium/ebpfebpf Mana
6、ger内核系统调编程语封装可配置化封装首届中国eBPF研讨会eBPF Manager内核空间常量管理内核空间用户空间首届中国eBPF研讨会eBPF Manager插桩挂钩内核空间用户空间首届中国eBPF研讨会eBPF ManagereBPF Map统管控内核空间用户空间首届中国eBPF研讨会eBPF字节码打包首届中国eBPF研讨会eBPF字节码打包首届中国eBPF研讨会展望未来05首届中国eBPF研讨会功能软件功能 信息:进程信息关联 类库:GnuTLS、NSS类库密钥捕获 协议:QUIC等UDP TLS加密Android ebpf再扩展 eBPF Uprobe运很完美 eBPF TC运很流畅 其他eBPF程序呢?首届中国eBPF研讨会能产环境也BCC?线上调试?.o兼容有CORE云原架构,快速发布部署?单机调试具?运时编译?CPU卡了?业务炸了?业务环境搞坏了?Python版本不对?没开BTF也要兼容?户空间程序也要跨系统?万、百万级agent产品?SLA降了?云端控制秒级更新?首届中国eBPF研讨会能基础类库封装类库框架产品啥我啥Cililum/ebpfehids/ebpfmanagereCapture?首届中国eBPF研讨会eCapture贡献者首届中国eBPF研讨会感谢聆听