Lmst

XDP + Jenkins: высокоскоростной фильтр по TLS-отпечаткам

В период массового импортозамещения средств защиты от DDoS один из провайдеров перевёл свои центры очистки трафика на отечественное решение. Помимо стандартной защиты на уровне L4, провайдер позиционировал его нам как эффективную защиту от L7-атак за счёт механизма фильтрации по TLS-отпечаткам (тогда это был ещё JA3). Однако на практике мы показали, что рандомизация параметров отпечатка (cipher suites, extensions, порядок) позволяет обойти этот механизм и существенно снижает его эффективность против L7-атак. Стоит ли использовать механизмы защиты по отпечаткам JA3/JA4, зная о возможности обхода? Да, стоит. Процесс обхода требует от атакующего значительных ресурсов — кастомного TLS-клиента для генерации уникальных отпечатков. При дополнительной настройке, например, добавлении счётчика с разными лимитами для новых и известных отпечатков (более высокие лимиты для «белых» отпечатков), можно добиться высокой эффективности против ботовых L7-атак (флуд от ботов с повторяющимися отпечатками). В этой статье мы реализуем защиту на основе фильтрации TLS-отпечатков, вдохновлённую подходом JA4, но в упрощённой версии FST1 (по отсортированным cipher suites с использованием Jenkins-хэша). Почему не полноценный JA4? Из-за жёстких ограничений eBPF (ограниченный стек, запрет на сложные циклы, отсутствие динамической памяти и строгие правила верификатора ядра) реализация полного JA4 (с учётом всех расширений, ALPN и других параметров) становится крайне сложной.

https://habr.com/ru/articles/994962/

#xdp #ebpf #ddos #linux

#eBPF Tracing of #PostgreSQL Spinlocks | Jan’s website and blog https://jnidzwetzki.github.io/2026/02/08/postgresql-spinlocks.html

Learn how #opensource tools can make gathering and making sense of observability data instant and painless with #Coroot co-founder Peter Zaitsev 👇 🐝 🐧

📊 Try out-of-the-box #opensource observability insights with no-code setup: https://github.com/coroot/coroot

#Stackconf #observability #Linux #DevOps #SRE #Coroot #DevOps #SRE #monitoring #eBPF #Linux #tech #AI #softwarelibre #opensource

Sneak peek: LBR based stacks in tracing spans for failed syscalls through ebpf_exporter.

Think "retsnoop, but more structured". It be attached to existing traces too.

Also pictured: SRSO sadness.

#ebpf #kernel #ebpf_exporter

[BLOG] Offensive eBPF - Building a Keylogger with libbpf #Linux #OffensiveSecurity #eBPF https://cylab.be/blog/482/offensive-ebpf-building-a-keylogger-with-libbpf

Noice.

APT using an eBPF rootkit: https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/

H/T https://techhub.social/@Techmeme/116017915898308530

#linux #ebpf

If you want to catch up with eBPF Devroom presentations from FOSDEM (last Saturday), all videos and slides are now available online:
https://fosdem.org/2026/schedule/track/ebpf/

We had a great session, thanks to all who organised, participated, or attended! ⚙️ 🐝 ♥️

#fosdem #fosdem2026 #eBPF

Great catching up with @macias at OTel Unplugged EU after FOSDEM, and discussing #OpenTelemetry, #eBPF instrumentation and more.
Check out my recent OpenObservability Talks 🎙️ episode with Mario:
https://horovits.medium.com/unveiling-opentelemetry-ebpf-instrumentation-377cb0432bf1

#fosdem #otelUnplugged

#DevOps movement co-founder Kris Buytaert explains why “Everything is a Freaking #DNS Problem” and what to check to fix yours: https://www.youtube.com/watch?v=q-jZJxf50_0

Join Kris at #CfgMgmtCamp on Feb. 2nd after @fosdem https://cfgmgmtcamp.org/ghent2026/

#observability #Linux #Coroot #DevOps #SRE #monitoring #eBPF #Linux #tech #AI #softwarelibre #opensource #DNS #FOSDEM

If you have a lot of ebpf programs and you have any sort of monitoring that looks at /proc/kallsyms regularly, you might want to have my patch applied: https://lore.kernel.org/bpf/20260129-ivan-bpf-ksym-cache-v1-1-ca503070dcc0@cloudflare.com/T/#u

Upstream kernel does a silly thing with quadratic pointer chasing under RCU, which is not great.

Testing the patch in production on v6.12 series (with ~10k bpf ksyms):

* On AMD EPYC 9684X (Zen4): ~870ms -> ~100ms
* On Ampere Altra Max M128-30: ~4650ms -> ~70ms

#kernel #ebpf

eBPF в Linux: когда писать код в ядре — неплохая идея

eBPF давно перестал быть узкоспециализированной игрушкой для kernel-энтузиастов и исследователей внутренностей Linux. Сегодня с ним так или иначе сталкиваются не только SRE, но вообще все, кто разрабатывает системы, близкие к сети, производительности или безопасности: от авторов сетевых плагинов (CNI) и прокси, до разработчиков кастомных агентских решений, observability-инструментов и low-level инфраструктурных компонентов. Даже если вы никогда не писали eBPF-код руками, есть хороший шанс, что он уже работает в вашей системе — тихо, незаметно и с довольно широкими полномочиями. Чаще всего eBPF проявляется через удобные CLI, библиотеки и дашборды: установили агент, включили, и внезапно система знает о происходящем больше, чем strace, tcpdump и половина метрик вместе взятых. Но за этим комфортом скрывается нетривиальный механизм исполнения пользовательского кода прямо внутри ядра Linux — с жёсткими правилами валидации, ограниченной моделью исполнения и целым набором архитектурных компромиссов, о которых обычно не принято говорить в маркетинговых описаниях.

https://habr.com/ru/companies/gnivc/articles/990402/

#ebpf #linux_kernel #network #linux

My little #eBPF and @haproxy project is growing.

Now it has advanced features to label traffic it statically detected for ML training.

This way I can manually label traffic as good or bad and the #ML picks it up on the next training run.

#AI

Решаем архитектурную проблему nginx с HTTP/3: опыт Angie и магия eBPF

Для пользователя может показаться, что переход с HTTP/2 на HTTP/3 — это просто замена TCP на UDP в конфиге. Но для серверного ПО с многопроцессной архитектурой этот шаг превращается в настоящую «головную боль». Классическая схема с accept() , на которой годами строилась работа с TCP‑соединениями, в мире QUIC попросту не существует. Пакеты летят в UDP‑порт, и ядро ОС больше не знает, какому именно рабочему процессу их отдать. В оригинальном nginx это привело к тому, что поддержка HTTP/3 уже долгое время остается «экспериментальной» и ограниченной: она страдает от проблем с обрывами сессий при миграции клиентов и деградации сервиса при обновлении конфигурации. Для многих это стало стоп‑фактором для внедрения протокола в реальный продакшен. В этой статье мы расскажем, как в Angie 1.11 нам удалось устранить эти фундаментальные недостатки. Мы не просто добавили поддержку протокола, а пересмотрели механику взаимодействия с ядром. Путь от простых хешей до создания полноценного аналога accept() для QUIC с помощью BPF‑программ позволил нам заявить: реализация HTTP/3 в Angie закончена, лишена «детских болезней» nginx и полностью готова к эксплуатации в высоконагруженных средах. Добро пожаловать под капот современного транспорта данных.

https://habr.com/ru/articles/989748/

#http3 #nginx #quic #сетевое_программирование #ebpf #bpf #angie #h3 #многопроцессность #udp

[BLOG] eBPF CO-RE - Portable Tools Setup & Testing #Linux #eBPF https://cylab.be/blog/478/ebpf-co-re-portable-tools-setup-testing

A huge thank you to our #opensource community for landing Coroot in the top 30 most popular observability project on Github (out of 3,300+ entries!)

Love #Coroot and want to help share it with a world? Add your ⭐️ to the galaxy: https://github.com/coroot/coroot

#linux #ebpf #observability #softwarelibre #devops #sre #tech

🚀 Phát hành InfraLens v1.0.0 – công cụ quan sát “Zero Instrumentation”. Dùng eBPF, hỗ trợ node Kubernetes và máy Linux, tự động phát hiện giao thức (Postgres, Redis, HTTP) và hiển thị luồng traffic giữa VM và K8s mà không cần Istio. Tài liệu AI‑generated cho dịch vụ. Rất mong phản hồi từ cộng đồng hạ tầng hỗn hợp! #InfraLens #Observability #eBPF #Kubernetes #Linux #HybridInfra #OpenSource #TheoDõi #CôngCụ

https://github.com/Herenn/Infralens

#eBPF is awesome... as long as you stay on x86_64.

Screenshot of a serial console session in a terminal showing a "Kernel NULL pointer dereference" kernel oops output on a PowerPC p1020 system.

Built a real-time File I/O heatmap on Linux using eBPF and Java 25. It hooks into vfs_read and vfs_write, aggregates data in-kernel, and visualizes hot files live in a terminal UI.

https://ozkanpakdil.github.io/posts/my_collections/2026/2026-01-21-ebpf-java-heatmap/

#eBPF #Linux #Observability #Java

[BLOG] Offensive eBPF - From Input Events to a Basic bpftrace Keylogger #Linux #OffensiveSecurity #eBPF https://cylab.be/blog/476/offensive-ebpf-from-input-events-to-a-basic-bpftrace-keylogger