详解：L4LB四层负载均衡IP伪造漏洞 前言去年11月，在国家信息安全漏洞共享平台CNVD、国家信息安全漏洞库CNNVD报告过TOA的IP伪造漏洞，到今天快过去1年了，各受影响方也基本修复完毕，今天聊一下细节吧。回顾当初演示时，使用... 2024-8-17 15:27:30 | 阅读: 18 | 收藏 | CFC4N的博客 - www.cnxct.com toa l4lb 漏洞 安全 信息

eBPF在Golang中的应用介绍 大多数时候，我们在开发软件甚至使用软件时，都是在操作系统的安全范围内进行游戏。我们甚至不知道网络接口如何欢迎该 IP 数据包，也不知道当我们保存文件时文件系统如何处理这些 inode。该边界称为 u... 2024-8-6 17:38:7 | 阅读: 5 | 收藏 | CFC4N的博客 - www.cnxct.com ebpf 数据 xdp github ozansz

eCapture v0.8.0：CO-RE、非CO-RE二合一，交叉编译amd64、arm64双版本 eCapture是什么eCapture旁观者是一个无需CA证书，无侵入的HTTPS/TLS明文抓包工具。可以在Linux 4.18以上版本使用，同时也支持Andr... 2024-5-6 10:0:58 | 阅读: 14 | 收藏 | CFC4N的博客 - www.cnxct.com ecapture ebpf 头文件 btf aarch64

ecapture v0.7.4发布，支持Pcap FIlter包过滤语法 eCapture是什么eCapture旁观者一个无需CA证书，无侵入的HTTPS/TLS明文抓包工具。可以在Linux 4.18以上版本使用，同时也支持Andro... 2024-2-29 13:18:45 | 阅读: 18 | 收藏 | CFC4N的博客 - www.cnxct.com ecapture cfc4n ebpf pcapng

ecapture v0.7.4发布，支持Pcap FIlter包过滤语法 eCapture是什么eCapture旁观者一个无需CA证书，无侵入的HTTPS/TLS明文抓包工具。可以在Linux 4.18以上版本使用，同时也支持Andro... 2024-2-29 13:18:45 | 阅读: 4 | 收藏 | CFC4N的博客 - www.cnxct.com ecapture ebpf cfc4n pcapng

eCapture v0.7.3新版性能提升10倍，支持OpenSSL 3.2 eCapture是什么eCapture旁观者一个无需CA证书，无侵入的HTTPS/TLS明文抓包工具。可以在Linux 4.18以上版本使用，同时也支持Androi... 2024-1-30 07:28:4 | 阅读: 20 | 收藏 | CFC4N的博客 - www.cnxct.com ecapture client 小朋友 捕获 春节

探索aarch64架构上使用ftrace的BPF LSM 译者注笔者在MacBook M2上搭建Linux虚拟机上开发eBPF程序时，遇到一些LSM eBPF类型程序无法运行的问题。 在笔者尝试定位这些差异时，看到这篇文章，可以让大家更直观地了解LSM e... 2024-1-26 23:54:5 | 阅读: 20 | 收藏 | CFC4N的博客 - www.cnxct.com funcgraph tokio 1666 1318 11886

美团RASP大规模研发部署实践总结 背景RASP是Runtime Application Self-Protection（运行时应用自我保护）的缩写，是一种应用程序安全技术。RASP 技术能够在应用程序运行时检测并阻止应用级别的攻击。... 2024-1-16 10:0:56 | 阅读: 10 | 收藏 | CFC4N的博客 - www.cnxct.com 注入 安全 qps tp9999 busy

手机镜头下的2023年 by CFC4N 去年的这个时候，你在干什么，你还记得吗？半年前呢？上个月呢？恍惚之间，一年又过去了。那时的记忆还清晰吗？笔者挑选了2023年自己手机拍摄的一些照片，分享给大家。设... 2023-12-30 16:20:15 | 阅读: 13 | 收藏 | CFC4N的博客 - www.cnxct.com 九寨沟 出差 鹦鹉 九寨 草原

击败 eBPF Uprobe 监控 这篇文章介绍了一种可以用于监控用户空间程序的 eBPF 程序。它首先向您介绍了 eBPF 和 uprobes，然后探讨了我们在 uprobes 中发现的缺陷，所有演示示例都适用于 Linux 和 x8... 2023-11-27 16:30:54 | 阅读: 18 | 收藏 | CFC4N的博客 - www.cnxct.com uprobe uprobes ebpf vma 指令

GitHub 7K星：eCapture新版支持Android 13、14 eCapture是一个无需CA证书，即可捕获HTTPS/TLS明文的抓包工具，常用语网络分析、故障定位等。最初定位是Linux上的抓包工具，在2022年9月支持了An... 2023-11-14 16:0:47 | 阅读: 15 | 收藏 | CFC4N的博客 - www.cnxct.com ecapture 捕获 网络 boringssl 端口

eBPF应用程序开发：快人一步 这篇文章提供了关于eBPF应用程序开发的指南。正如标题所示，文章主要关注eBPF 201的概念，而不是提供另一篇关于eBPF技术是什么的入门级文章。我们提供了简短的介绍，但主要关注需要部署生产eBPF... 2023-10-24 08:0:35 | 阅读: 15 | 收藏 | CFC4N的博客 - www.cnxct.com ebpf libbpf 数据 头文件

eCapture支持流量转发的进展同步 大家好，eCapture项目距上次新版发布也已经过去2-3个月了，在这期间，社区论坛里很多网友提了一些问题以及需求，等我来解决。这几个月博主工作特别忙，一直没时间更... 2023-9-25 22:42:31 | 阅读: 43 | 收藏 | CFC4N的博客 - www.cnxct.com ebpf ecapture 信息 流量 数据

GitHub万星项目进度70%，eCapture旁观者7K Stars达成 简述是的，一年半时间，笔者的首个7000星的GitHub开源项目来了，它就是eCapture旁观者。未来一年，争取过万星。项目背景eCapture一个无需CA... 2023-8-28 10:54:27 | 阅读: 35 | 收藏 | CFC4N的博客 - www.cnxct.com ecapture ebpf 网络 捕获 开源

eBPF挂钩TC egress时，被TCP Checksum搞死了 译者注我最近也在尝试用eBPF TC类型程序，挂钩egress网络包，修改IP包、TCP包内容，实现路由跟踪的功能。除了eBPF验证器的奇葩问题外，剩下的就是skb_buff修改后，被客户端内核丢弃... 2023-7-24 10:44:8 | 阅读: 40 | 收藏 | CFC4N的博客 - www.cnxct.com csum psum 0xffff 1216218 pseudo

golang uretprobe的崩溃与模拟实现 前言在eCapture最初支持golang的https明文捕获时，是不支持request\response完整的匹配的。这点不同于C语言编写的程序，是因为golang的uretprobe类型钩子有个... 2023-6-12 11:11:18 | 阅读: 20 | 收藏 | CFC4N的博客 - www.cnxct.com countcc uretprobe 指令 观测

Linux上文件监控的踩坑分享 Linux上文件监控的踩坑分享前言在Linux主机安全产品HIDS中，文件监控是特别常见的需求，在实现方案上，Linux内核层提供了文件变动的通知机制fsnotify，然而，在高磁盘IO的主机上、... 2023-6-5 09:3:43 | 阅读: 68 | 收藏 | CFC4N的博客 - www.cnxct.com dentry 监控 lockup soft fsnotify

如何给eBPF程序写单元测试 前言eBPF程序还很年轻，周边质量建设体系还刚起步，常用于Linux内核上的监控跟踪，本身比较底层，测试成本很高。对于常写eBPF的同学，特别头疼的是快速迭代的项目，如何保证功能正常。如何给eBPF... 2023-5-20 20:0:40 | 阅读: 26 | 收藏 | CFC4N的博客 - www.cnxct.com fib ebpf skel opts prog

eBPF verifier验证器与编译器inline内联 笔者在二月份编写eCapture的GoTls密钥捕获功能时，遇到了一个小bug，就是在UBUNTU 21.04的Linux上运行时，遇到eBPF verifier的报错，无法启动，笔者后来通过启用al... 2023-4-3 09:30:45 | 阅读: 35 | 收藏 | CFC4N的博客 - www.cnxct.com gotls btf ebpf verifier bf

漩涡：EDR内核回调、钩子和调用堆栈 译者序本文来自：Maelstrom: EDR Kernel Callbacks, Hooks, and Call Stack，版权归原作者所有。译者从事HIDS/HIPS等领域，与EDR安全产品场... 2023-3-26 00:51:7 | 阅读: 77 | 收藏 | CFC4N的博客 - www.cnxct.com windows pldrentry2 堆栈 植入 植入物