jjzjj

BPF

全部标签

python - Scapy BPF 过滤器不工作

我正在使用Scapy并希望根据目标mac地址进行过滤。但是,我得到显示的数据包,其中目标MAC地址不是过滤器中指定的地址。这是一个代码片段:fromscapy.allimport*sniff(iface="eth1",filter="etherdsthost91:e0:f0:01:00:00",count=3,prn=lambdax:x.show())我正在运行Scapy2.2.0关于这里的问题有什么想法吗? 最佳答案 Scapy需要许多不同系统的大量依赖项。您很可能没有BPF过滤器工作所需的依赖项。http://www.secde
pythonScapysectionstackoverflow

c - 通过 bpf 系统调用加载 eBPF 程序时参数列表太长

我正在尝试通过Go中的bpf系统调用加载eBPF程序,但我看到系统调用返回了一个错误。为了限制问题,我使用了以下最小的eBPF程序,它什么都不做:structtask_group{};Go程序的重要部分如下:b,err:=ioutil.ReadFile("bpf/bbf_tty.o")iferr!=nil{fmt.Print(err)}progType:=BPF_PROG_TYPE_KPROBEinsns:=unsafe.Pointer(&b)insnCnt:=len(b)lba:=struct{progTypeuint32pad0[4]byteinsnCntuint32pad1[4]
eBPFbpfstructcodeincludecgo

eBPF代码流程分析

0x1:应用层流程基于Linuxkernelsourcev5.131.加载bpf.o文件并处理elfsection信息1.intbpf_object__open(char*path)//参数是bpf.o文件路径--__bpf_object__open(constchar*path,constvoid*obj_buf,size_tobj_buf_sz,conststructbpf_object_open_opts*opts)//读取obj文件,解析elf中section信息。 -- obj=bpf_object__new(path,obj_buf,obj_buf_sz,obj_name); //
eBPF代码BPFbpfTYPE企业信息化

eBPF-AntiRootkit

背景:针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击,需要考虑如何收敛服务器ebpf相关权限,防止被黑客利用。静态方案:宿主机层面:非root用户不赋予CAP_BPF及CAP_SYS_ADMIN注:3.15-5.7内核不赋予CAP_SYS_ADMIN即可5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限非root用户禁止调用ebpf功能/proc/sys/kernel/unprivileged_bpf_disabled设置为1值为0表示允许非特权用户调用bpf值为1表示禁止非特权用户调用bpf且该值不可再修改,只能重启后修改值为2表示禁止非特权用
eBPF-AntiRootkitAntiRootkitlibpfCAP_SYS_ADMIN企业信息化

eBPF代码流程分析

0x1:应用层流程基于Linuxkernelsourcev5.131.加载bpf.o文件并处理elfsection信息1.intbpf_object__open(char*path)//参数是bpf.o文件路径--__bpf_object__open(constchar*path,constvoid*obj_buf,size_tobj_buf_sz,conststructbpf_object_open_opts*opts)//读取obj文件,解析elf中section信息。 -- obj=bpf_object__new(path,obj_buf,obj_buf_sz,obj_name); //
eBPF代码BPFbpfTYPE企业信息化

eBPF-AntiRootkit

背景:针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击,需要考虑如何收敛服务器ebpf相关权限,防止被黑客利用。静态方案:宿主机层面:非root用户不赋予CAP_BPF及CAP_SYS_ADMIN注:3.15-5.7内核不赋予CAP_SYS_ADMIN即可5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限非root用户禁止调用ebpf功能/proc/sys/kernel/unprivileged_bpf_disabled设置为1值为0表示允许非特权用户调用bpf值为1表示禁止非特权用户调用bpf且该值不可再修改,只能重启后修改值为2表示禁止非特权用
eBPF-AntiRootkitAntiRootkitlibpfCAP_SYS_ADMIN企业信息化

eunomia-bpf 0.3.0 发布:只需编写内核态代码,轻松构建、打包、发布完整的 eBPF 应用

eunomia-bpf0.3.0发布:只需编写内核态代码,轻松构建、打包、发布完整的eBPF应用eunomia-bpf简介eBPF源于BPF,本质上是处于内核中的一个高效与灵活的虚拟机组件,以一种安全的方式在许多内核hook点执行字节码,开发者可基于eBPF开发性能分析工具、软件定义网络、安全等诸多场景。但是,目前对于开发和使用eBPF应用而言还可能存在一些不够方便的地方:搭建和开发eBPF程序是一个门槛比较高、比较复杂的工作,必须同时关注内核态和用户态两个方面的交互和信息处理,有时还要配置环境和编写对应的构建脚本;目前不同用户态语言如C、Go、Rust等编写的工具难以兼容、难以统一管理,多种
eunomia-bpf编写eunomiabpfLinux

eunomia-bpf 0.3.0 发布:只需编写内核态代码,轻松构建、打包、发布完整的 eBPF 应用

eunomia-bpf0.3.0发布:只需编写内核态代码,轻松构建、打包、发布完整的eBPF应用eunomia-bpf简介eBPF源于BPF,本质上是处于内核中的一个高效与灵活的虚拟机组件,以一种安全的方式在许多内核hook点执行字节码,开发者可基于eBPF开发性能分析工具、软件定义网络、安全等诸多场景。但是,目前对于开发和使用eBPF应用而言还可能存在一些不够方便的地方:搭建和开发eBPF程序是一个门槛比较高、比较复杂的工作,必须同时关注内核态和用户态两个方面的交互和信息处理,有时还要配置环境和编写对应的构建脚本;目前不同用户态语言如C、Go、Rust等编写的工具难以兼容、难以统一管理,多种
eunomia-bpf编写eunomiabpfLinux

简析XDP的重定向机制

GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源。GreatSQL是MySQL的国产分支版本,使用上与MySQL一致。一.XDPSocket示例解析源码参见:https://github.com/xdp-project/xdp-tutorial/tree/master/advanced03-AF_XDP该示例演示了如何通过BPF将网络数据包从XDPHook点旁路到用户态的XDPSocket,解析过程中为突出重点,将只关注重点代码段,一些函数会被精简,比如:错误处理等二.BPF程序af_xdp_kern.cBPF程序是运行在内核态的一段代码,如下:structbpf_m
简析XDPcodemapbpf数据库

简析XDP的重定向机制

GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源。GreatSQL是MySQL的国产分支版本,使用上与MySQL一致。一.XDPSocket示例解析源码参见:https://github.com/xdp-project/xdp-tutorial/tree/master/advanced03-AF_XDP该示例演示了如何通过BPF将网络数据包从XDPHook点旁路到用户态的XDPSocket,解析过程中为突出重点,将只关注重点代码段,一些函数会被精简,比如:错误处理等二.BPF程序af_xdp_kern.cBPF程序是运行在内核态的一段代码,如下:structbpf_m
简析XDPcodemapbpf数据库
123