[原创]内核，容器，与eBPF攻防初探-二进制漏洞-看雪论坛-安全社区|安全招聘|bbs.pediy.com

最新回复 (12)
34r7hm4n 雪币： 13494 活跃值： (9403) 能力值： ( LV12，RANK：360 ) 在线值：发帖 19 回帖 35 粉丝 244 关注私信	34r7hm4n 7 2022-1-10 12:32 2 楼 0 gls太强了
saloyun 雪币： 66 活跃值： (930) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 169 粉丝 0 关注私信	saloyun 2022-1-10 19:17 3 楼 0 不知道eBPF会不会被废除掉，感觉这东西跟是个后门一样。
有毒雪币： 11428 活跃值： (14852) 能力值： (RANK：730 ) 在线值：发帖 55 回帖 450 粉丝 272 关注私信	有毒 10 2022-1-10 19:20 4 楼 0 saloyun 不知道eBPF会不会被废除掉，感觉这东西跟是个后门一样。短期内不会，未来不好说。早搞早享受吧～
Roland_ 雪币： 4348 活跃值： (15505) 能力值： (RANK：710 ) 在线值：发帖 41 回帖 67 粉丝 278 关注私信	Roland_ 12 2022-1-10 21:58 5 楼 0 saloyun 不知道eBPF会不会被废除掉，感觉这东西跟是个后门一样。废除我个人觉得不可能，eBPF是一个很有用很有用的子模块，不可能因为这点安全风险就废除的。性能调优、监控、包过滤、还有基于eBPF实现的很多安全机制。绝对是利大于弊的
CFCCN 雪币： 217 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 3 关注私信	CFCCN 2022-1-21 16:15 6 楼 0 前段时间，写了一个类似的，eBPF在系统运行时的恶意利用视频，地址：内核态eBPF程序实现容器逃逸与隐藏账号rootkit 。在网络层面，也可以使用XDP、TC等hook点，完成流量修改。利用对外的web服务，针对黑客的流量，进行透传到SSHD（22）端口，绕过防火墙的同时，也绕过了大部分NIDS的检测策略，绕过了webIDS的流量检测。视频地址：https://weibo.com/1377342605/Lbe4chOH5 ，原理用下面这张图来解释：楼主有兴趣来一起研究吗？防御检测思路，打算在春节后跟大家分享。最后于 2022-1-21 16:31 被CFCCN编辑，原因：
Roland_ 雪币： 4348 活跃值： (15505) 能力值： (RANK：710 ) 在线值：发帖 41 回帖 67 粉丝 278 关注私信	Roland_ 12 2022-1-25 10:52 7 楼 0 CFCCN 前段时间，写了一个类似的，eBPF在系统运行时的恶意利用视频，地址： 内核态eBPF程序实现容器逃逸与隐藏账号rootkit 。在网络层面，也可以使用XDP、TC等 ... 好的，没问题呀，怎么联系您呢
freddychi 雪币： 0 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	freddychi 2022-3-14 14:02 8 楼 0 其他大佬再把文贴上来
suuuuu 雪币： 665 活跃值： (4019) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 278 粉丝 7 关注私信	suuuuu 2022-3-16 11:05 9 楼 0 来晚一步
freddychi 雪币： 0 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	freddychi 2022-4-7 19:54 10 楼 0 大佬
wx_瑞彪雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_瑞彪 2022-8-30 11:59 11 楼 0 大佬忘了贴嘛
Roland_ 雪币： 4348 活跃值： (15505) 能力值： (RANK：710 ) 在线值：发帖 41 回帖 67 粉丝 278 关注私信	Roland_ 12 2022-8-31 17:30 12 楼 0 wx_瑞彪大佬忘了贴嘛没有忘，还在搞
Grav1ty 雪币： 806 活跃值： (1259) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	Grav1ty 2022-8-31 18:53 13 楼 0 mark
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (12)
34r7hm4n 雪币： 13494 活跃值： (9403) 能力值： ( LV12，RANK：360 ) 在线值：发帖 19 回帖 35 粉丝 244 关注私信	34r7hm4n 7 2022-1-10 12:32 2 楼 0 gls太强了
saloyun 雪币： 66 活跃值： (930) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 169 粉丝 0 关注私信	saloyun 2022-1-10 19:17 3 楼 0 不知道eBPF会不会被废除掉，感觉这东西跟是个后门一样。
有毒雪币： 11428 活跃值： (14852) 能力值： (RANK：730 ) 在线值：发帖 55 回帖 450 粉丝 272 关注私信	有毒 10 2022-1-10 19:20 4 楼 0 saloyun 不知道eBPF会不会被废除掉，感觉这东西跟是个后门一样。短期内不会，未来不好说。早搞早享受吧～
Roland_ 雪币： 4348 活跃值： (15505) 能力值： (RANK：710 ) 在线值：发帖 41 回帖 67 粉丝 278 关注私信	Roland_ 12 2022-1-10 21:58 5 楼 0 saloyun 不知道eBPF会不会被废除掉，感觉这东西跟是个后门一样。废除我个人觉得不可能，eBPF是一个很有用很有用的子模块，不可能因为这点安全风险就废除的。性能调优、监控、包过滤、还有基于eBPF实现的很多安全机制。绝对是利大于弊的
CFCCN 雪币： 217 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 3 关注私信	CFCCN 2022-1-21 16:15 6 楼 0 前段时间，写了一个类似的，eBPF在系统运行时的恶意利用视频，地址：内核态eBPF程序实现容器逃逸与隐藏账号rootkit 。在网络层面，也可以使用XDP、TC等hook点，完成流量修改。利用对外的web服务，针对黑客的流量，进行透传到SSHD（22）端口，绕过防火墙的同时，也绕过了大部分NIDS的检测策略，绕过了webIDS的流量检测。视频地址：https://weibo.com/1377342605/Lbe4chOH5 ，原理用下面这张图来解释：楼主有兴趣来一起研究吗？防御检测思路，打算在春节后跟大家分享。最后于 2022-1-21 16:31 被CFCCN编辑，原因：
Roland_ 雪币： 4348 活跃值： (15505) 能力值： (RANK：710 ) 在线值：发帖 41 回帖 67 粉丝 278 关注私信	Roland_ 12 2022-1-25 10:52 7 楼 0 CFCCN 前段时间，写了一个类似的，eBPF在系统运行时的恶意利用视频，地址： 内核态eBPF程序实现容器逃逸与隐藏账号rootkit 。在网络层面，也可以使用XDP、TC等 ... 好的，没问题呀，怎么联系您呢
freddychi 雪币： 0 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	freddychi 2022-3-14 14:02 8 楼 0 其他大佬再把文贴上来
suuuuu 雪币： 665 活跃值： (4019) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 278 粉丝 7 关注私信	suuuuu 2022-3-16 11:05 9 楼 0 来晚一步
freddychi 雪币： 0 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	freddychi 2022-4-7 19:54 10 楼 0 大佬
wx_瑞彪雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_瑞彪 2022-8-30 11:59 11 楼 0 大佬忘了贴嘛
Roland_ 雪币： 4348 活跃值： (15505) 能力值： (RANK：710 ) 在线值：发帖 41 回帖 67 粉丝 278 关注私信	Roland_ 12 2022-8-31 17:30 12 楼 0 wx_瑞彪大佬忘了贴嘛没有忘，还在搞
Grav1ty 雪币： 806 活跃值： (1259) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	Grav1ty 2022-8-31 18:53 13 楼 0 mark
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复