Как не быть программистом, раскурить eBPF за сутки и начать мониторить DNS

[iig]

Представим: сервер может отправлять легитимные запросы, но IP, на
которые он будет их слать, неизвестны. В журнале сетевого фильтра видно
что запросы таки да, идут. Но не ясно - это как раз легитимные или
информация уже утекает к злоумышленникам?

Неправильная постановка задачи, кмк. Учиться отличать своих от злоумышленников нужно до передачи информации.

[MAH69IK]

Тогда представим что это тестовый сервер на котором как раз и тестируется ПО (-:

[amarao]

Если бы мне такую задачу поставили, то я бы настроил мирроринг DNS-трафика (например, через ovs, который бы делал mirror на порт по каким-то flow-правилам - ip/порт и т.д.). По сути это было бы близко к обычному pcap'у, но обеспечивало бы большую видимость и управляемость.

Имея уже отфильтрованный трафик для анализа его можно хоть писать целиком, хоть парсить.

У ovs'а (с момента появления megaflow) довольно высокая производительность (20Гбит на современных машинах вполне переваривает).

eBPF хорош с точки зрения производительности (и возможности повесить на сокет приложения), но очень плох с точки зрения observability. Что-то где-то там работает, что именно не понятно, почему - тоже не понятно.

[Ostapus]

я так понял - идея не только парсить трафик, но еще и знать какой процесс его генерировал.

[MAH69IK]

Да :) Ну и сама возможность что-то новое и очень интересное изучить тоже большую роль сыграла.

[amarao]

Да, OVS эту информацию, кажется, не предоставляет. Я сейчас поискал - нет, там слишком сильная абстракция. Пакет ушёл в интерфейс, всё, есть только пакет.

[gmelikov]

dsc так и работает для целей сбора статистики https://github.com/DNS-OARC/dsc

[pecmapm]

Сделал мой день! Спасибо за статью!