- Công cụ sử dụng eBPF để thu thập lưu lượng đi qua nhân Linux trước và sau khi mã hóa
- Hook vào các hàm TLS/SSL để thu thập ngữ cảnh lưu lượng (tiến trình, container, máy chủ, người dùng, giao thức, v.v.) phong phú hơn so với cách bắt gói truyền thống
- Có thể nắm bắt dữ liệu mạng gốc và thông tin tiến trình mà không cần sửa đổi ứng dụng, dựng proxy hay quản lý chứng chỉ
- Có thể áp dụng cho nhiều mục đích như kiểm toán bảo mật, gỡ lỗi mạng, phát triển API, xử lý sự cố tích hợp bên thứ ba, học và phân tích giao thức, phân tích hệ thống legacy
- Với overhead thấp, có thể xem lưu lượng thực theo thời gian thực ngay trên terminal
- Dễ phát triển/tích hợp plugin tùy chỉnh, nên có thể dễ dàng tích hợp với các hệ thống quan sát hiện có hoặc dùng làm nền tảng cho giải pháp mới
- Hiện đang ở giai đoạn phát triển ban đầu và cung cấp đồng thời mã nguồn mở AGPLv3 cùng giấy phép thương mại
3 bình luận
Tôi tò mò ngoài hack ra thì còn có thể ứng dụng vào những việc gì khác.
Dạo này cứ thấy BPF là tôi lại nghĩ đến vụ SKT bị hack
Viện Phát triển Xã hội Thông tin Hàn Quốc (KISA) xác nhận thêm 8 biến thể mã độc trong quá trình kiểm tra vụ SKT bị hack
Vì vậy họ cũng đã phát hành hướng dẫn kiểm tra mã độc BPFDoor.
Xem tin tức gần đây về SKT thì nghe nói lại phát hiện thêm 25 loại, nâng tổng số lên 37 loại. "Còn nhiều hơn cả số virus cài trên những máy tính không được quản lý" là một bình luận như vậy.