Comments 8
Представим: сервер может отправлять легитимные запросы, но IP, на
которые он будет их слать, неизвестны. В журнале сетевого фильтра видно
что запросы таки да, идут. Но не ясно - это как раз легитимные или
информация уже утекает к злоумышленникам?
Неправильная постановка задачи, кмк. Учиться отличать своих от злоумышленников нужно до передачи информации.
Если бы мне такую задачу поставили, то я бы настроил мирроринг DNS-трафика (например, через ovs, который бы делал mirror на порт по каким-то flow-правилам - ip/порт и т.д.). По сути это было бы близко к обычному pcap'у, но обеспечивало бы большую видимость и управляемость.
Имея уже отфильтрованный трафик для анализа его можно хоть писать целиком, хоть парсить.
У ovs'а (с момента появления megaflow) довольно высокая производительность (20Гбит на современных машинах вполне переваривает).
eBPF хорош с точки зрения производительности (и возможности повесить на сокет приложения), но очень плох с точки зрения observability. Что-то где-то там работает, что именно не понятно, почему - тоже не понятно.
я так понял - идея не только парсить трафик, но еще и знать какой процесс его генерировал.
dsc так и работает для целей сбора статистики https://github.com/DNS-OARC/dsc
Сделал мой день! Спасибо за статью!
Как не быть программистом, раскурить eBPF за сутки и начать мониторить DNS