2023-03-13 21:09:47 +08:00
|
|
|
|
# 第十章 系统集成开发eBPF
|
|
|
|
|
|
|
2023-04-13 16:01:07 +08:00
|
|
|
|
安卓系统的安全攻防技术日新月异,现如今进入了一个全新的高度。随着eBPF技术的崛起,国内外安全人员人业也在积极发掘eBPF技术在安全领域的应用场景。
|
|
|
|
|
|
|
|
|
|
|
|
本章将为安卓系统开发与定制人员,提供一种代码修改与eBPF可观测性相结合的系统定制细路,旨在为安全行业的发展发挥一点抛砖引玉的作用。
|
|
|
|
|
|
|
|
|
|
|
|
## 10.1 eBPF概述
|
|
|
|
|
|
|
|
|
|
|
|
eBPF(extended Berkeley Packet Filter) 是一种现代化的Linux内核技术,它允许开发人员对网络数据包进行更细粒度的过滤和修改。与传统的Berkeley Packet Filter(BPF)相比,eBPF具有更灵活、可扩展性和安全性的优势,因此得到了广泛的应用和认可。在实际应用中,eBPF可以实现网络流量监控、日志记录、流量优化和安全审计等功能,因此具有广泛的应用前景。
|
|
|
|
|
|
|
|
|
|
|
|
### 10.1.1 eBPF发展背景
|
|
|
|
|
|
|
|
|
|
|
|
在2008年,Linux内核开发者提出了BPF(Berkeley Packet Filter)的概念,它是一种用于过滤和修改网络数据包的内核模块。BPF是一种非常强大的工具,它允许开发人员对网络数据包进行细粒度的过滤和修改,从而实现网络流量监控、日志记录、性能优化等功能。
|
|
|
|
|
|
|
|
|
|
|
|
然而,BPF也有一些限制。首先,BPF模块需要由内核开发人员手动编写和编译,因此对于非专业开发人员来说,编写BPF模块是一项具有挑战性的任务。其次,BPF模块的编写需要一定的技术知识和经验,否则可能会导致内核崩溃或其他问题。最后,BPF模块的访问权限非常高,意味着它们可以访问系统的所有内存和网络资源,因此需要严格的安全控制。
|
|
|
|
|
|
|
|
|
|
|
|
为了解决这些问题,Linux内核开发者在2014年引入了eBPF(extended Berkeley Packet Filter) 技术。eBPF是一种扩展的BPF,它提供了更多的功能和权限控制,同时降低了内核开发人员的编写难度和风险。与传统的BPF相比,eBPF具有更灵活、可扩展性和安全性的优势,因此得到了广泛的应用和认可。
|
|
|
|
|
|
|
|
|
|
|
|
eBPF发展之初是为了用于高效的网络数据包的过滤。在发展过程中,除了对传统的数据包过滤字节码格式进行扩展外,还支持更多类型的eBPF程序,它们可以在整个操作系统的不同模块中运行。最初提倡的可观测性领域也扩展为支持数据的观测与修改(包括用户态数据与内核函数返回值)。这样的发展路径,让eBPF技术看起来更像是一个现代化的Hook技术框架。这也是安全从业人员其对爱不释手的原因。
|
|
|
|
|
|
|
|
|
|
|
|
相信,随着内核版本的更新,其内置的eBPF功能支持也会越来越丰富。而作为eBPF的能力核心-eBPF内核方法接口也会越来越多,基于这些接口实现的安全功能势必会影响到整个行业的发展。
|
|
|
|
|
|
|
|
|
|
|
|
### 10.1.2 eBPF的工作原理
|
|
|
|
|
|
|
|
|
|
|
|
eBPF的工作原理可以概括为三个步骤:解析、执行和卸载。
|
|
|
|
|
|
|
|
|
|
|
|
1. 解析
|
|
|
|
|
|
在系统启动时,内核会将eBPF符号表(eBPF symbol table) 加载到内存中。eBPF符号表是一个二进制文件,它包含了eBPF模块的所有符号和参数。内核还会将eBPF模块的二进制代码转换为机器码,并将其加载到内存中。
|
|
|
|
|
|
|
|
|
|
|
|
2. 执行
|
|
|
|
|
|
当网络数据包到达时,内核会首先检查数据包是否被匹配到eBPF模块。如果数据包被匹配到,内核会执行eBPF模块中的代码,对网络数据包进行过滤或修改。在执行期间,内核会使用eBPF的运行时数据结构体(runtime data structure)来存储和传递参数和上下文信息。
|
|
|
|
|
|
|
|
|
|
|
|
3. 卸载
|
|
|
|
|
|
当eBPF模块执行完毕后,内核会将其卸载并从内存中清除。卸载时,内核会将所有符号和参数还原成二进制码,并将其从内存中清除。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
### 10.1.3 eBPF的应用场景
|
|
|
|
|
|
|
|
|
|
|
|
eBPF是一种非常强大的技术,它可以实现许多网络流量监控、日志记录、性能优化等功能。下面列举了一些常见的eBPF应用场景:
|
|
|
|
|
|
|
|
|
|
|
|
1. 日志记录
|
|
|
|
|
|
eBPF可以用于记录网络流量、系统调用、错误事件等信息,从而实现全面的系统监控和日志记录。目前,这方面技术应用于云原生安全较多。如`sysdig`与`falco`这类安全监控工具,新版本就使用了eBPF来实现系统调用的监控。
|
|
|
|
|
|
|
|
|
|
|
|
2. 流量控制
|
|
|
|
|
|
eBPF 可以用于实现网络流量控制,例如限制同一主机的网络流量、限制同一端口的网络流量等。这个应用最多的就是防火墙,比如大名鼎鼎的`iptables`就有了基于eBPF的扩展版本。
|
|
|
|
|
|
|
|
|
|
|
|
3. 流量优化
|
|
|
|
|
|
eBPF可以用于优化网络流量,例如过滤重复数据包、压缩数据包、优化TCP/IP协议栈等。在网络应用上,典型的是可以使用eBPF开发透明代理工具、网络数据镜像转发工具、流量优化工具等。
|
|
|
|
|
|
|
|
|
|
|
|
4. 安全审计
|
|
|
|
|
|
eBPF可以用于实现安全审计功能,例如记录系统用户的操作、检查系统资源使用情况等。在这个应用领域,如主机安全类防护产品`HIDS`就有了发展的空间。安全工具`Tracee`就是属于这类应用。
|
2023-03-13 21:09:47 +08:00
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
## 10.2 什么是bcc
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
## 10.3 安卓系统中使用bcc
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
## 10.4 为系统打上补丁
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
## 10.5 测试eBPF便能
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
## 10.6 使用eBPF实现安卓系统进程跟踪
|
|
|
|
|
|
|
|
|
|
|
|
|
2023-04-13 16:01:07 +08:00
|
|
|
|
在这里不得不提一个两个功能强大的方法:`bpf_probe_read_user`与`bpf_probe_write_user`,这两个接口允许eBPF读取与写入内存地址指定的数据,它们拥有内核一样的能力,却有着比内核高得多的稳定性,功能不可谓不强大。
|
|
|
|
|
|
|
