【A9】初探eBPF

文摘科技 2023-06-19 10:50 广东

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”

—

简介

eBPF（extended Berkeley Packet Filter）是一种在内核中运行用户定义程序的技术。它用于安全高效地扩展内核的功能，而无需更改内核源代码或加载内核模块。它起源于`BPF`（Berkeley Packet Filter），一个为网络数据包捕获提供高性能的过滤机制。`eBPF`通过扩展`BPF`的功能，使其能够在内核中执行更多类型的程序，提供了更强大的性能监控和安全功能。

—

eBPF程序工作原理

我们编写好的`eBPF`程序在执行的时候首先会在用户态通过`clang`/`LLVM`编译器编译成字节码，然后加载到内核空间，进入内核态后会经过验证器进行一系列的验证（进程权限，安全性），接着经过`JIT`编译器编译成机器码指令集加载到指定事件的触发勾子（系统调用，网络事件）上等待触发。

用户空间和内核空间的映射通过哈希表（键值对）共享数据并保持状态。它们是通过带有`BPF_MAP_CREATE`参数的`bpf_cmd`系统调用来创建的，和Linux世界中的其他东西一样，它们是通过文件描述符来寻址。

—
如何编写eBPF程序？

在多数情况下不会直接使用`eBPF`，而是通过像`Cilium`、`bcc`或`bpftrace`这样的项目间接使用它们，这些项目在`eBPF`之上提供了抽象层，并且不需要直接编写程序，而是提供了指定基于意图的定义的能力，然后开发者可以根据需求自己实现这些定义。如果不存在更高级别的抽象，则需要直接编写程序。Linux内核期望以字节码形式加载`eBPF`程序。虽然当然可以直接编写字节码，但更常见的开发实践是利用编译器套件如`LLVM`将伪`C`代码编译为`eBPF`字节码。

举个栗子，用python的`bcc`库实现一个文件生命周期监控的脚本：



from __future__ import print_functionfrom bcc import BPFimport argparsefrom time import strftime

# 参数相关examples = """examples:    ./filelife           # trace lifecycle of file(create->remove)    ./filelife -p 181    # only trace PID 181"""parser = argparse.ArgumentParser(    description="Trace lifecycle of file",    formatter_class=argparse.RawDescriptionHelpFormatter,    epilog=examples)parser.add_argument("-p", "--pid",    help="trace this PID only")parser.add_argument("--ebpf", action="store_true",    help=argparse.SUPPRESS)args = parser.parse_args()debug = 0

# 定义BPF程序bpf_text = """#include <uapi/linux/ptrace.h>#include <linux/fs.h>#include <linux/sched.h>

struct data_t {    u32 pid;    u64 delta;    char comm[TASK_COMM_LEN];    char fname[DNAME_INLINE_LEN];};

BPF_HASH(birth, struct dentry *);BPF_PERF_OUTPUT(events);

static int probe_dentry(struct pt_regs *ctx, struct dentry *dentry){    u32 pid = bpf_get_current_pid_tgid() >> 32;    FILTER

    u64 ts = bpf_ktime_get_ns();    birth.update(&dentry, &ts);

    return 0;}

// trace file creation timeTRACE_CREATE_FUNC{    return probe_dentry(ctx, dentry);};

// trace file security_inode_create timeint trace_security_inode_create(struct pt_regs *ctx, struct inode *dir,        struct dentry *dentry){    return probe_dentry(ctx, dentry);};

// trace file open timeint trace_open(struct pt_regs *ctx, struct path *path, struct file *file){    struct dentry *dentry = path->dentry;

    if (!(file->f_mode & FMODE_CREATED)) {        return 0;    }

    return probe_dentry(ctx, dentry);};

// trace file deletion and output detailsTRACE_UNLINK_FUNC{    struct data_t data = {};    u32 pid = bpf_get_current_pid_tgid() >> 32;

    FILTER

    u64 *tsp, delta;    tsp = birth.lookup(&dentry);    if (tsp == 0) {        return 0;   // missed create    }

    delta = (bpf_ktime_get_ns() - *tsp) / 1000000;    birth.delete(&dentry);

    struct qstr d_name = dentry->d_name;    if (d_name.len == 0)        return 0;

    if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0) {        data.pid = pid;        data.delta = delta;        bpf_probe_read_kernel(&data.fname, sizeof(data.fname), d_name.name);    }

    events.perf_submit(ctx, &data, sizeof(data));

    return 0;}"""

trace_create_text_old="""int trace_create(struct pt_regs *ctx, struct inode *dir, struct dentry *dentry)"""trace_create_text_new="""int trace_create(struct pt_regs *ctx, struct user_namespace *mnt_userns,        struct inode *dir, struct dentry *dentry)"""

trace_unlink_text_old="""int trace_unlink(struct pt_regs *ctx, struct inode *dir, struct dentry *dentry)"""trace_unlink_text_new="""int trace_unlink(struct pt_regs *ctx, struct user_namespace *mnt_userns,        struct inode *dir, struct dentry *dentry)"""

if args.pid:    bpf_text = bpf_text.replace('FILTER',        'if (pid != %s) { return 0; }' % args.pid)else:    bpf_text = bpf_text.replace('FILTER', '')if debug or args.ebpf:    print(bpf_text)    if args.ebpf:        exit()

if BPF.kernel_struct_has_field(b'renamedata', b'old_mnt_userns') == 1:    bpf_text = bpf_text.replace('TRACE_CREATE_FUNC', trace_create_text_new)    bpf_text = bpf_text.replace('TRACE_UNLINK_FUNC', trace_unlink_text_new)else:    bpf_text = bpf_text.replace('TRACE_CREATE_FUNC', trace_create_text_old)    bpf_text = bpf_text.replace('TRACE_UNLINK_FUNC', trace_unlink_text_old)

# 实例化BPF对象b = BPF(text=bpf_text)b.attach_kprobe(event="vfs_create", fn_name="trace_create")# 版本比较新的内核版本不会掉用 fire vfs_create,二是调用 vfs_open instead:b.attach_kprobe(event="vfs_open", fn_name="trace_open")

if BPF.get_kprobe_functions(b"security_inode_create"):    b.attach_kprobe(event="security_inode_create", fn_name="trace_security_inode_create")b.attach_kprobe(event="vfs_unlink", fn_name="trace_unlink")

# 打印结果头信息print("%-8s %-7s %-16s %-7s %s" % ("TIME", "PID", "COMM", "AGE(s)", "FILE"))

# 进程事件def print_event(data):    event = b["events"].event(data)    print("%-8s %-7d %-16s %-7.2f %s" % (strftime("%H:%M:%S"), event.pid,        event.comm.decode('utf-8', 'replace'), float(event.delta) / 1000,        event.fname.decode('utf-8', 'replace')))



if __name__ == "__main__":    b["events"].open_perf_buffer(print_event)    while True:        try:            b.perf_buffer_poll()        except KeyboardInterrupt:            exit()

输出结果：

脚本捕获了在`Linux`内核构建期间创建的短期文件。`PID`表示最后删除文件的进程ID，`COMM`是它的进程名。`AGE(s)`列显示文件存活的时间，以秒为单位。

上面示例代码是`eBPF`的一个编程的基本方法，它是在Python里向内核的某些事件挂载一段 “C语言” 的方式就是`eBPF`的编程方式。这样的代码非常难写，但是好在官方工具库里提供了丰富的样例，拿来改吧改吧或者直接使用都是没问题的。

—

写在最后

BCC（BPF Compiler Collection）是一套开源的工具集，我们可以根据业务需求的场景实现各种各样系统级的性能分析和监控。它为我们窥探高深的Linux内核提供了一个方便之门。

[参考]

1. https://www.infoq.com/articles/gentle-linux-ebpf-introduction/

2. https://ebpf.io/what-is-ebpf/

3. https://coolshell.cn/articles/22320.html

http://mp.weixin.qq.com/s?__biz=MzkzNzI2Mzc0Ng==&mid=2247485621&idx=1&sn=db8d217c550686ce3323ddcd5a995dbd

A9 Team

A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践，期望和朋友们共同进步，守望相助，合作共赢。

最新文章

安全自动化与人工智能：网络防御的新前沿

无文件攻击利用与防范

安全运营之告警如何区分自己人

如何有效防范网络钓鱼攻击

终端防病毒系统运营过程的常见问题及应对措施

以漏洞挖掘的思路看CVE-2023-46604-ActiveMQ反序列化RCE

AI 安全运营的新篇章：Dify 的应用与实践（一）

勒索病毒演练实践

利用域控机器账户进行DCSync权限维持

表哥被钓鱼中招，教表哥如何识别钓鱼网站

记一次基于 SO 解密 Jar 包的反编译破解思路

生成式人工智能

数据安全离职审计实践分享

常见协议数据包解析

Windows日志一把梭

原型污染漏洞的简析及利用

数据安全离职审计实践分享

终端安全漏洞运营

初探威胁情报平台

CVE-2023-41892 Craft-CMS-远程代码执行漏洞

【极思】五年安全运营实践总结与未来思考

【极思】以攻促防：勒索软件攻击实战演练

K8S集群自身组件的一些安全问题

钓鱼邮件：WPS 0Day漏洞的威胁和应对

WIFI渗透

泛微OA v10_20211213_Offline 未授权访问漏洞

sqlmap也能反制？我不信

【A9】请求加密后的渗透测试方法

【A9】简单聊聊前端加密

安全运营变革：SOAR与SIEM完美融合的最佳实践

【A9】安全运营之外部事件管理

【A9】certutil，wmic命令执行敏感操作

【A9】安全运营之内部事件管理

【A9】Electron 桌面应用程序 XSS到RCE 的学习

【A9】CVE-2022-21661-WORDPRESS-SQL-注入

【A9】xred病毒感染事件

【A9】终端安全风险主要来源及防范措施

【A9】数据安全运营告警处置实践分享

【A9】数据安全运营告警处置流程实践

【A9】rke 部署K8S集群及 Rancher部署

【A9】初探应急响应

【A9】某官网应急响应排查

实践｜病毒情报自动化闭环运营

【A9】基于IPDRR网络安全框架，浅谈数据安全运营

【A9】XES-killer

【A9】工作组织架构变更引发的思考

【A9】记一次漏洞修复过程中遇到yum命令行的问题

【A9】初探eBPF

RocketMQ 最新漏洞手把手复现 CVE-2023-33246

【A9】Fastjson反序列化漏洞原理

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉