Детектирование атак на контейнеры с помощью eBPF

Все блоги / Про интернет 16 ноября 2023 188

Привет, Хабр!

Меня зовут Илья Зимин, я аналитик-исследователь угроз в компании R-Vision. Сегодня в статье я расскажу о возможностях обнаружения атак на контейнеризированные приложения с помощью такого инструмента, как eBPF, на примере приемов, связанных с побегом из Docker-контейнеров на Linux-системах.

eBPF (extended Berkeley Packet Filter) — это технология, которая предоставляет программный интерфейс в ядре Linux для обработки его событий в режиме реального времени. Он позволяет загружать и выполнять пользовательские программы в ядре без необходимости модификации самого ядра. Программы выполняются в виртуальной машине, что не позволяет ошибке в пользовательской программе повлиять на всю систему.

Используя возможности eBPF, мы можем отслеживать любое (или почти любое) взаимодействие в системе на уровне ядра, "присоединяясь" к вызовам системных функций, и получать информацию о них: контекст, аргументы, выходные значения и другие. Также на уровне пользователя можно добавить дополнительную логику для обработки этих данных.

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Тоня Самсонова, «Яндекс.Q»: о травле, трафике и нейросетях в UGC

Roem публикует текстовую версию интервью основательницы The Question и главы «Яндекс.Q» Тони Самсоновой подкасту «Медиасреда». Разговор состоялся в декабре 2019 года. В беседе Тоня рассказала о: Создании нового сервиса на базе TheQuestion и «Яндекс.Знатоков». Том каким будет «Яндекс.Q». Как

подробнее »

11 апреля 2020

Иван Макаров, Юлия Сапронова: Как журналистам РБК прививали любовь к диджиталу

Аудиоверсию подкаста можно послушать прямо сейчас на сайте Adindex.ru, на Яндекс.Музыке, в подкастах Apple, на SoundCloud, в сообществе Adindex.ru в VK. Текст отредактирован с целью повышения удобочитаемости. Синодов Ю.: Приветствую, дорогие слушатели. В эфире подкаст "Медиасреда", который делает

подробнее »

3 февраля 2020

Бакунов, «Яндекс»: Нужно прекращать думать о далеком будущем и пару лет подумать о том, как улучшать настоящее

23 декабря директор по распространению технологий Яндекса Григорий Бакунов представил тренды на ближайшие 2 года на конференции Feedback в #tceh. Roem.ru публикует расшифровку полностью. Фото: #tceh Григорий: Маленькое интро — такую презентацию я делаю последние 4-5 лет, до этого я делал её в

подробнее »

24 декабря 2015

Илья Сегалович, 13.09.1964 — 27.07.2013. Фильм воспоминание

О'кей. Меня зовут Илья Сегалович. Можно, я уже пишусь, да? Меня зовут Илья Сегалович, я работаю в Яндексе с тех лет еще, когда он не назывался Яндекс. Я один из тех, кто придумал это слово. https://vimeo.com/113919037 Илья Сегалович. 1964 — 2013 Основатель и директор по

подробнее »

27 июля 2015

Участники «Yota Digital Talks»: Дополнительная реальность уже среди нас, удобна и необходима ли она — большой вопрос

21 августа на базе Института «Стрелка» в Москве прошла открытая дискуссия на тему «Yota Digital Talks: Дополнительная реальность в городе». Участие в мероприятии приняли эксперты по AR (англ. augmented reality — «расширенная реальность»), среди которых — соучредитель и креативный директор

подробнее »

25 августа 2015

Илья Сегалович: "Нам придется стать осью зла"

Roem.ru предлагает полную расшифровку интервью 2008-го года с Ильей Сегаловичем, техническим директором "Яндекса", фрагменты которого впервые были показаны в эфире телепередачи Вести.NET 1. О лидерстве: "Стало намного интереснее работать" 2. О подражании: "Никто никого не копирует постоянно" 3. О

подробнее »

27 июля 2014