Qtap - 暗号化されたネットワークトラフィックをキャプチャする eBPF エージェント
(github.com/qpoint-io)- eBPF を使って Linux カーネルを通過するトラフィック を暗号化の前後でキャプチャするツール
- TLS/SSL 関数にフックして、従来のパケットキャプチャ方式よりも トラフィックコンテキスト(プロセス、コンテナ、ホスト、ユーザー、プロトコルなど) をより豊富に収集
- アプリケーションの修正やプロキシ構築、証明書管理なしで 元のネットワークデータおよびプロセス情報 を把握可能
- セキュリティ監査、ネットワークデバッグ、API 開発、サードパーティ統合の問題解決、プロトコルの学習と分析、レガシーシステム分析 など幅広く活用可能
- 低オーバーヘッドで実際の トラフィックをリアルタイムにターミナルで確認 可能
- カスタムプラグインの開発・連携が容易で、既存の観測システムと簡単に統合したり、新しいソリューションの基盤として活用可能
- 現在は初期開発段階で、AGPLv3 オープンソースと商用ライセンスを同時提供
3件のコメント
ハッキング以外にどんな活用先があるのか気になります。
最近はBPFを見るたびに、SKTハッキング事件を思い出しますね。
韓国インターネット振興院(KISA)、SKTハッキング確認中にマルウェアの亜種8種を確認
そのため、BPFDoorマルウェア点検ガイドの配布も行っていたようです。
最近のSKTのニュースを見ると、25種類がさらに追加で見つかって、合計37種類だそうです。
「管理していないコンピュータに入っていたウイルスの数よりも多い」というコメントが