客户端拿到的是L4LB的内网IP，难道把这些内网IP拉入黑名单吗？你确定敢这么干？内网IP再说了，内网IP一般会出现在你的各种风控策略、ACL策略中吗？思路这么多，那么到底该如何修复呢？TOA

https://facebookmicrosites.github.io/bpf/blog/2020/02/19/bpf-portability-and-co-re.html[3]eCapture

HOOK字节码中由内核加载全部eBPF字节码，实现表达式过滤依赖elibpcap[5]cbpfc[6]ebpfmanager

1，即需要在这个变量赋值后，被调用的函数，才能拿到符合要求的内存数据。state_machine函数内符合要求的就只有SSL_get_wbio了。当使用openssl的方式为异步

cache区域清零机制（可以认为是JDK的bug），大量热点代码的编译导致JIT编译线程将CPU打满，并且这种现象在CPU核数低于4核时表现尤为明显。Manifest-Version:

去年的这个时候，你还记得自己在做什么吗？半年前呢？上个月呢？恍惚之间，一年又过去了。那时的记忆还清晰吗？笔者挑选了2023年自己手机拍摄的一些照片，分享给大家。设备与软件摄影设备：iPhone

大家好，eCapture项目距上次新版发布也已经过去2-3个月了，在这期间，社区论坛里很多网友提了一些问题以及需求，等我来解决。这几个月博主工作特别忙，一直没时间更新eCapture。这个周末特地抽时间解决了社区中反应的一些bug、优化点等。至于新功能，主要的就是流量转发功能，这个功能还是比较复杂的。今天，博主先把发布一个修复bug的版本，等过段时间博主不是那么忙了，再构思流量转发功能，分享给大家。新版发布功能介绍增加了Linux

简述是的，一年半时间，笔者的首个7000星的GitHub开源项目来了，它就是eCapture旁观者[1]。未来一年，争取过万星。项目背景eCapture[2]一个无需CA证书，无侵入的HTTPS/TLS明文抓包工具。可以在Linux

http://www.tcpipguide.com/free/t_TCPChecksumCalculationandtheTCPPseudoHeader-2.htm[5]16位checksum:

前言在Linux主机安全产品HIDS中，文件监控是特别常见的需求，在实现方案上，Linux内核层提供了文件变动的通知机制fsnotify，然而，在高磁盘IO的主机上、不同版本的内核上以及海量监控目标中，将会面临哪些问题呢？业务性能与安全性如何做更好地取舍均衡？今天，我的小伙伴阿松xjas给大家分享以下文件监控系统的建设历程。文件监控的实现Linux系统上，常见的文件监控一般有如下几种实现方案。粗暴的周期性轮询，在内核不支持（比如伪文件系统），并且也没有特别好的方式的时候，轮询不失为一个办法，但是缺点如轮询字面表述的那样：无论轮询周期多短，总可能会有事件的丢失；当然了，对于丢失事件不敏感的应用来说，这个也能接受;为了减少事件的丢失，需要尽可能短的轮询周期，但是如果轮询周期太短，性能消耗就巨大，这是一个两难的选择；不过，如果仅仅是感知个别文件的变动，还是可以采用短周期轮询的方式，但是如果是需要感知大量文件变动呢？采用内核提供的fsnotify机制。在fsnotify的基础上，内核提供了给用户态使用的接口，这套接口从dnotify到inotify再到fanotify，也是经历了多次迭代；基于fsnotify机制，只需要watch

无论你喜欢与否，编写单元测试几乎已经成为你的代码的必需品。在进行更改时，它们为你提供了一个安全网，并在更改后全部通过时给你一种愉悦、温暖的感觉。在处理内核补丁时，我不得不研究为

职位简介职位隶属美团-基础研发平台-信息安全部，办公地点在北京望京、上海杨浦，两地任选。要求候选人需要在相关领域具备3年以上工作经验。部门介绍「基础研发平台」事业群是美团的核心技术平台，旨在打造公司级高性能技术架构、数据科学、服务运维、开发质效提升、信息安全、视觉智能以及企业办公数字智能化等系列关键能力，持续强化平台技术，保障基础设施稳定安全、低成本、高效可持续，全面赋能公司各个业务高速发展。岗位名称反爬蓝军对抗专家亮点视野决策：资源供给、政策导向、技术方案、情报能力技术对抗：研发工程能力、逆向能力、破解能力、网络分析能力、web/二进制安全攻防风控对抗：特征对抗、资源对抗、轨迹行为对抗、社会行为对抗全局的爬与反爬视角，快速提升反爬对抗思路，提升端侧逆向对抗

https://patchwork.ozlabs.org/project/netdev/patch/20200108072538.3359838-4-ast@kernel.org/[6]Always

前言云原生生态中，golang语言开发的项目越来越多，例如Docker和K8s、etcd等。作为SRE、RD，偶尔需要在生产环境抓网络通讯包，用来分析排查故障。很多时候，都是tls/https加密协议，如何在不重启业务保留现场，不改为自定义CA证书的情况下，分析明文通讯内容呢？适用场景eCapture

大家好，我是S，是一名大学三年级的美术生。今天，借用老舅的微信公众号，展示一下我的设计才华，给大家送一个红包封面。送给大家一个红包封面，吉祥物叫“烤火兔”，没有任何品牌标识，没有广告，你一定要收下呀。其实，我还设计好几个封面，反复修改很多次，只是这一个通过审核了。附上制作过程，希望大家喜欢。烤火兔钱兔送福制作过程记得给我点赞。

82857c8eb07c88b6c56c9d38759c23cc6d14d9dd23a37bb17fa41e5913cf211eSERVER_HANDSHAKE_TRAFFIC_SECRET

和内存使用情况产品，细化到行号和整个时间。节省基础架构成本、提高性能并提高可靠性。GitHub地址：https://github.com/parca-dev/parca原文：

本文作者为团队小伙伴阿松，在Linux文件监控领域实战经验丰富。本次引入eBPF在文件监控上应用，提升文件变更的关联进程信息等。在实现过程中，分享了eBPF

前言Android系统上抓包HTTPS是不是越来越难了？高版本无法添加CA证书，抓包软件依赖太多，VPN模式、或HOOK程序时，会被APP检测到。对抗成本愈加增高。有什么万能的工具吗？是的，eCapture

TL;DR文章较长，代码很多，可直接拖到文末看讲解视频。背景在云原生领域中，Cilium是容器管理上最著名的网络编排、可观察性、网络安全的开源软件。基于革命性技术eBPF实现，并用XDP、TC等功能实现了L3、L4层的防火墙、负载均衡软件，具备优秀的网络安全处理能力，但在运行时安全上，Cilium一直是缺失的。2022年5月，在欧洲举行的KubeCon技术峰会期间，Cilium的母公司Isovalent发布了云原生运行时防护系统Tetragon[1]，填补这一空缺。Tetragon的面世，意味着与falco、tracee、KubeArmor、datadog-agent等几款产品正面竞争，eBPF运行时防护领域愈加内卷。Tetragon介绍摘自Tetragon官方仓库[2]的产品介绍。eBPF实时性Tetragon

Socket针对目标的TCP服务（如SSH、Kubernetes、Nginx等）先正常完成TCP握手后，会关闭该TCP链接，以确保这个服务是正常启动的。之后，再重复该过程，将重置数据包中的TCP

eCapture介绍eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书，即可捕获https/tls的通讯明文。项目在2022年3月中旬创建，一经发布，广受大家喜爱，至今不到两周已经1200多个Star。作用不需要CA证书，即可捕获HTTPS/TLS通信数据的明文。在bash审计场景，可以捕获bash命令。数据库审计场景，可以捕获mysqld/mariadDB的SQL查询。官网代码仓库见：https://github.com/ehids/ecapture

危害这个rootkit不主动创建socket，借用其中一个网络发送包，把消息送达给后门使用者。对系统影响来说，只是一个不起眼的小网络响应。在万千HTTP包里，根本定位不到。iptables防火墙绕过

美国NSA方程式的顶级后门》的文章，里面提到后门使用BPF技术做通信信道的隐藏，本身不监听端口，通过特定SYN包唤醒后门。而且，此后门隐藏近二十年之久，至今才被发现。Bvp47

/etc/shadow演示视频检测防御视频演示了eBPF技术的强大，只使用了tracepoint一个bpf

"kretprobe/do_sendfile"maps在初始化的map中，分为两类，一类是BPF_MAP_TYPE_PERF_EVENT_ARRAY的map，但只有ConnCloseEventMap

目的本文面向eBPF开发者，旨在研究学习高质量开源产品设计思路、编码规范，学习更好地使用eBPF方法经验。内容比较干燥，谨慎阅读。本文涉及cilium代码版本为2021-08-17的1695d9c59a版本Cilium产品介绍Cilium是由革命性内核技术eBPF驱动，用于提供、保护和观察容器工作负载（云原生）之间的网络连接的网络组件。Cilium使用eBPF的强大功能来加速网络，并在Kubernetes中提供安全性和可观测性。现在