ebpfkit:利用eBPF技术的强力安全工具

最新推荐文章于 2025-05-24 10:30:40 发布
最新推荐文章于 2025-05-24 10:30:40 发布
阅读量523 收藏 9
点赞数 11
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00167/article/details/141244532

ebpfkit:利用eBPF技术的强力安全工具

ebpfkitebpfkit is a rootkit powered by eBPF项目地址:https://gitcode.com/gh_mirrors/eb/ebpfkit

项目介绍

ebpfkit是一个基于eBPF(Extended Berkeley Packet Filter)的强大开源根套件,由独立开发者 Datadog 员工创建,并曾在Black Hat USA 2021和DEF CON 29上亮相。它整合了多种安全功能,包括但不限于文件操作掩饰、容器越界、持续接入能力,以及绕过Runtime Application Self-Protection系统,使研究人员能够深入探索系统底层的安全边界。此项目展示了eBPF技术在安全攻防两端的潜力,尤其适合网络安全专业人员及安全研究者。

项目快速启动

系统要求

  • Go版本1.13及以上
  • Ubuntu Focal 或具有相应内核(如Linux Kernel 5.4)
  • 已安装的内核头文件、clang、llvm (推荐11.0.1版本) 和 Graphviz
  • go-bindata工具(可通过 go get -u github.com/shuLhan/go-bindata/... 获取)

编译与安装

首先,确保满足上述所有依赖条件。然后,可以通过以下步骤构建并安装ebpfkit客户端:

# 全部构建过程
make

# 安装客户端至/usr/bin/
sudo make install_client

运行根套件前,请以root权限执行,并查看帮助了解参数详情:

# 查看帮助信息
sudo /bin/ebpfkit -h

# 默认参数启动根套件
sudo /bin/ebpfkit

应用案例和最佳实践

ebpfkit的应用广泛,例如:

  • 容器逃逸:打破容器沙盒限制,实现跨容器访问。
  • 网络扫描:实施监控网络流量,用于安全审计和威胁发现。
  • 持久化访问:设计恶意或测试场景下的远程控制和系统持久化。
  • RASP绕过:演示如何规避应用程序自我防护,适用于安全测试环境。

最佳实践

  • 在安全的实验室环境中测试ebpfkit,避免非法用途。
  • 使用ebpfkit辅助识别系统漏洞,增强系统防御策略。
  • 研究eBPF程序的运用,提升对内核级安全编程的理解。

典型生态项目

ebpfkit虽然是一个独立项目,但它的存在促进了eBPF生态系统的发展。其他相关项目和库,如bcc (Berkeley Packet Filter Compiler Collection)、libbpf,共同推动了eBPF技术的应用边界。这些工具和ebpfkit一起,为开发者和安全研究员提供了强大而灵活的框架,用于系统监控、故障诊断乃至安全防护策略的制定。

通过ebpfkit,我们不仅获得了一个强大的安全研究工具,也见证了eBPF如何成为现代操作系统管理和安全控制的新前沿。开发者应关注这一技术趋势,探索更多与之相关的开源项目,以促进自己的技术能力和系统安全性理解的深化。

ebpfkitebpfkit is a rootkit powered by eBPF项目地址:https://gitcode.com/gh_mirrors/eb/ebpfkit

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Buzzer:一款针对eBPF安全检测与模糊测试工具
FreeBuf_的博客
09-05 1458
Buzzer是一款功能强大的模糊测试工具链,该工具基于Go语言开发,可以帮助广大研究人员简单高效地开发针对eBPF的模糊测试策略。
eBPF 入门开发实践指南一:介绍 eBPF 的基本概念、常见的开发工具
云微的blog
01-23 1523
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。
基于eBPF技术构建一种应用层网络管控解决方案
统信软件的博客
08-15 557
引言随着网络应用的不断发展,在linux系统中对应用层网络管控的需求也日益增加,而传统的iptables、firewalld等工具难以针对应用层进行网络管控。因此需要一种创新的解决方案来提升网络应用的可管理性。本文将探讨如何使用eBPF技术构建一种应用层网络管控解决方案,为linux系统上的网络管控带来一种新的可能。相关技术介绍eBPF(Extended Berkeley Packet Filter)是一种在Linux内核中执行安全、可编程的字节码的技术
如何监控EBPF
最新发布
运维老生常谈
05-24 757
eBPF(Extended Berkeley Packet Filter)是一种强大的内核技术,允许在不修改内核源代码的情况下,运行安全、可验证的代码来监控和操作内核的各个方面。eBPF能够用于网络流量过滤、性能分析、系统安全、跟踪和调试等多个领域。要监控和使用eBPF,有几个常用的工具和方法,可以帮助你跟踪eBPF程序的运行、性能以及调试。1.使用bpftool监控 eBPFbpftool是一个原生的工具,用于与 eBPF 程序和对象交互。
基于ebpf的性能工具-bpftrace
Rice开发经验分享
10-16 406
这篇文章介绍一个基于ebpf技术的强大工具–bpftrace。在现代计算机系统中,了解系统的内部运行情况对于诊断问题、优化性能以及进行安全监控至关重要。bpftrace作为一款强大的跟踪工具,为开发人员和系统管理员提供了一种独特的方式来监视和分析Linux系统的内部运行。本文描述bpftrace的原理和使用。
擎创技术流 | 深入浅出运维可观测工具(一):聊聊eBPF的前世今生
智能运维及数据中台探索
07-27 459
这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。如果大家玩过乐高积木的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。而 eBPF 就像乐高积木一样,可以不断向内核添加 eBPF 模块来增强内核的功能。
bpf,ebpf,libbpf,在ubuntu22中ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
m0_74206992的博客
03-27 1608
bpf,ebpf,libbpf,ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
推荐开源项目:SysinternalsEBPF - 强大的eBPF工具
gitblog_00033的博客
05-30 579
推荐开源项目:SysinternalsEBPF - 强大的eBPF工具库 SysinternalsEBPFThe Linux port of the Sysinternals Sysmon tool.项目地址:https://gitcode.com/gh_mirrors/sy/SysinternalsEBPF 1、项目介绍 SysinternalsEBPF 是一个强大的Linux内核扩展工具库,...
eBPF学习笔记(二)—— eBPF开发工具
lzyddf的博客
11-14 3230
本篇记录对bpftrace、BCC、libbpf等eBPF常用开发工具的基本使用。
一文看懂eBPFeBPF的使用(超详细)
youzhangjing_的博客
04-14 3904
eBPF(extended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
eBPF学习 - 入门
成长之路
04-17 2492
BPF和eBPF是什么? BPF是Berkeley Packet Filter(伯克利数据包过滤器)得缩写,诞生于1992年,其作用是提升网络包过滤工具得性能,并于2014年正式并入Linux内核主线。 BPF提供一种在各种内核事件和应用程序事件发生时允许运行一小段程序的机制,使得内核完全可编程,允许用户定制和控制他们的系统以解决相应的问题。 BPF是一项灵活而高效的技术,由指令集、存储对象和辅助函数等几部分组成。其采用了虚拟指令集规范,运行时BPF模块提供两个执行机制:解释器和即时编译器(JIT)。在实际
eBPF编程指南(一):eBPF初体验
追寻梦想的青春
08-09 2747
EBPF是一种可以让程序员在内核态执行自己的程序的机制,但是,为了安全起见,无法像内核模块一样随意调用内核的函数,只能调用一些bpf提前定义好的函数。为了让内核执行程序员自己的代码,需要指定HOOK点,相当于当内核执行到某个地方时就会执行程序员的代码,这有点类似于ftrace。内核态代码:编译为.o文件,在内核态执行,将数据发送到队列用户态代码:将内核态代码的.o文件加载到内核,接收队列中的数据并分析。
eBPFGuard 开源项目教程
gitblog_01032的博客
09-24 375
eBPFGuard 开源项目教程 ebpfguard Rust library for writing Linux security policies using eBPF 项目地址: https://gitcode.com/gh...
利用eBPF探测Rootkit漏洞
Peter的专栏
07-11 617
作者简介:许庆伟,Linux Kernel Security Researcher & Performance Develope如今,云原生平台越来越多的使用了基于eBPF安全探测技术。这项技术通过创建安全的Hook钩子探针来监测内部函数和获取重要数据,从而支持对应用程序的运行时做监测和分析。Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBP...
eBPF系列学习(2)-eBPF工具BCC、bpftrace(文件相关操作跟踪点整理)\BCC和bpftrace 对比以及libbpf
西京刀客
08-27 1731
IO Visor 项目开源的 BCC、 BPFTrace : BCC 提供了更高阶的抽象,可以让用户采用 Python、C++ 和 Lua 等高级语言快速开发 BPF 程序;BPFTrace 采用类似于 awk 语言快速编写 eBPF 程序;
TripleCross:一款功能强大的Linux eBPF安全研究工具
FreeBuf_的博客
12-08 526
TripleCross是一款功能强大的LinuxeBPF安全研究工具,该工具提供了后门、C2、代码库注入、执行劫持、持久化和隐蔽执行等功能。
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2575
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
eBPF监控工具bcc系列三自定义工具trace
weixin_34072857的博客
05-08 425
上篇中是通用的直接可用工具。   trace工具可以指定跟踪函数并显示,可控制其输出格式来显示函数参数和返回值。 例如跟踪文件拥有者的属性更改,也就是跟踪三个文件系统调用chown,fchown,lchown。使用如下: trace.py 'p::SyS_chown "file = %s, to_uid = %d, to_gid = %d, ...
ebpf简介
热门推荐
qq_27749613的博客
05-04 1万+
@TOC[] 什么是eBPF eBPF 是什么呢? 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。顾名思义BPF来源于伯克利大学, 最早应用于网络数据包过滤器,它比当时最先进的抓包技术快20倍,其主要得利于它的两个设计: 内核态引入一个新的虚拟机,所有指令都在内核虚拟机中运行。 用户态使用 BPF 字节码来定义过滤表达式,然后传递给内核
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丁绮倩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值