作为hids功能的一部分,进程审计以及外连检测,我了解的有
三种实现方式:
1,通过 kprobe 编写内核代码,加载 ko 模块,检测内核运行中的网络外连代码
2,使用 netlink 协议与内核通信,获取 链接跟踪 以及 connector 模块的信息
3,使用 eBPF 跟踪 _do_fork / exit 函数,对外连跟踪?tcp_connect 函数
优缺点比较:
| 方案 | 运行位置 | 优点 | 缺点 |
| 基于kprobe 内核模块 | linux内核 | 数据准确 | 可能宕机+版本维护 |
| 基于netlink协议 | 应用层 | 数据可能丢失 | 稳定 |
| 基于eBPF | 内核eBPF虚拟机 | 数据准确 | 低版本不友好 |
????????目前业界比较常用的是基于 netlink 协议做进程审计,主要的是基于易于维护,稳定性以及对内核无侵入性的考虑。
eBPF有哪些优点:
首先看看通过netlink获取进程审计为什么可能会丢失数据?
看上面的connector模块的内核代码,问题出在应用层仅能拿到pid的信息,应用层做进程关联时,系统的 /proc/pid 文件可能已经消失了。而eBPF能克服信息不足的缺点。
使用eBPF做网络外连检测:
????????通过跟踪 tcp_connect 函数,我能直接拿到外连进程的pid信息,五元组信息,以及task名称。明天国庆我就直接贴代码了:
#include "ebpf_agent.h"
#include <net/inet_sock.h>
#define F_OUTBOUND 0x1
#define F_CONNECTED 0x10
struct tcp_connect_event_t {
? ? u32 pid;
? ? u32 laddr;
? ? u16 lport;
? ? u32 raddr;
? ? u16 rport;
? ? char task[TASK_COMM_LEN];
? ? u16 family;
} __attribute__((packed));
struct bpf_map_def SEC("maps") tcp_connect_counts = {
?? ?.type = BPF_MAP_TYPE_HASH,
?? ?.key_size = sizeof(u64),
?? ?.value_size = sizeof(u64),
?? ?.max_entries = 10,
};
// struct {
// ? ? __uint(type, BPF_MAP_TYPE_PERF_EVENT_ARRAY);
// } events SEC("maps");
struct bpf_map_def SEC("maps") tcp_connect_events = {
? ? .type = BPF_MAP_TYPE_PERF_EVENT_ARRAY,
? ? .key_size = sizeof(int),
? ? .value_size = sizeof(int),
};
SEC("kprobe/tcp_connect")
int kprobe__tcp_connect(struct pt_regs *ctx) {
? ? struct sock *sk = (struct sock *)PT_REGS_PARM1(ctx);
? ? if (!sk) return 0;
? ? u64 *val, one = 1, key = 1;
? ? struct inet_sock *inet = (struct inet_sock *)(sk);
? ? struct tcp_connect_event_t data = {};
? ? bpf_probe_read(&data.family, sizeof(data.family), &sk->__sk_common.skc_family);
? ? if (data.family != AF_INET){
? ? ? ? return 0;
? ? }
? ? bpf_probe_read(&data.laddr, sizeof(data.laddr), &inet->inet_saddr);
? ? bpf_probe_read(&data.raddr, sizeof(data.raddr), &inet->inet_daddr);
? ? // 忽略本机通信
? ? if ((data.laddr & 0xff) == 0x7f && (data.raddr & 0xff) == 0x7f){
? ? ? ? return 0;
? ? }
? ? bpf_probe_read(&data.lport, sizeof(data.lport), &inet->inet_sport);
? ? bpf_probe_read(&data.rport, sizeof(data.rport), &inet->inet_dport);
? ? bpf_get_current_comm(&data.task, sizeof(data.task));
? ? data.pid = bpf_get_current_pid_tgid() >> 32;
? ? val = bpf_map_lookup_elem(&tcp_connect_counts, &key);? //仅在性能调试使用
?? ?if (val){
? ? ? ? (*val)++;
? ? ? ? if ((*val) % 1000 == 0){
? ? ? ? ? ? my_bpf_printk("tcp state send count:%llu\n", (*val));
? ? ? ? }
? ? } else{
? ? ? ? bpf_map_update_elem(&tcp_connect_counts, &key, &one, BPF_NOEXIST);
? ? }
? ? my_bpf_printk("tcp_connect %s dport:%d\n", data.task, data.rport);
? ? bpf_perf_event_output(ctx, &tcp_connect_events, BPF_F_CURRENT_CPU, &data, sizeof(data));
? ? return 0;
}
实现效果
?