JA3 与 JA4 指纹详解：TLS 流量识别的进化 本文详细介绍了 TLS 指纹技术 JA3 及其继任者 JA4 的工作原理、输出格式解析以及它们在网络安全与流量分析中的应用。 1. 概述 JA3/JA4 指纹：用于识别 TLS（传输层安全）客户端及其应用程序的被动指纹识别技术。 核心价值： 加密流量分析：在无法解密流量的情况下，通过握手特征识别恶意软...

iptables-save 详解与应用 本文详细介绍了 iptables-save 命令的用途、输出格式解析以及如何结合 iptables-restore 进行防火墙规则的高效备份与恢复。 1. 概述 iptables-save：Linux 中用于将 iptables 表的内容转储（dump）到标准输出的工具。 核心优势： 格式可解析：输出格式专门设计用...

kprobe 工作原理：函数内部插桩 本文解释了 kprobe 能够对函数内几乎任何指令地址（而不止是入口点）进行触发的底层机制。 核心原理：动态指令替换 其基本技术类似于调试器（如 GDB）设置断点的方法：在内存中修改可执行代码，插入一个陷阱（Trap）。 执行流程详解 (以 x86_64 为例) 假设我们要对 ip_rcv 函数偏移量 +4 的位置进行插桩。 1. 准备阶段 ...

kprobe vs fentry：eBPF 追踪性能对比 本文介绍了 eBPF 追踪中 kprobe 和 fentry 机制的技术差异，重点解释了为什么 fentry 是 pwru 等高性能工具的首选。 1. 概述 kprobe (Kernel Probe)：传统的动态追踪机制。可以挂载到内核中几乎任何指令位置。 fentry (Function Entry)：较新内核（5....

kprobe_multi：eBPF 批量追踪的高效利器 在 fentry 和标准 kprobe 之外，Linux 5.18 引入了一个名为 kprobe_multi 的新特性。它解决了在大规模追踪场景下（如 pwru 或系统级 profiler）面临的一个关键瓶颈：挂载耗时。 1. 为什么需要 kprobe_multi？ 在 kprobe_multi 出现之前，如果你想追踪内核中的 1...

DDoS 防护技术全景：从 XDP 到应用层清洗 分布式拒绝服务攻击 (DDoS) 是互联网最古老但也最难防御的攻击方式之一。它简单粗暴，通过海量流量淹没目标，导致正常用户无法访问服务。 防御 DDoS 没有“银弹”，通常需要构建一个多层级的纵深防御体系。本文将横跨基础设施层、内核层和应用层，盘点目前业界最主流的防护技术。 1. 基础设施层：对抗带宽饱和 (L3/L4) 当攻击流量达...

跨站请求伪造 (CSRF) 详解：原理、调试与防御 如果你在后端开发或接口调试中经常遇到 403 Forbidden 且错误信息包含 CSRF Token Missing，那么你正在与现代 Web 框架中最常见的安全机制打交道。 本文将深入解析 CSRF (Cross-Site Request Forgery) 的攻击原理，并解释为什么它被称为“睡眠中的杀手”。 1. 什么是 CSRF...

pwru 详解：基于 eBPF 的 Linux 网络丢包追踪神器 在复杂的 Linux 网络环境中（尤其是 Kubernetes, Docker, Cilium 场景），丢包排查往往是运维人员的噩梦。当常规的 tcpdump、ping、iptables-save 无法解释数据包为何消失时，你需要一把“手术刀”来剖析内核的网络协议栈。 这就是 pwru (Packet Where aRe ...

项目挑战：用 C 语言从零实现 eBPF 网络追踪器 (C-pwru) pwru 是一个神奇的工具，它能告诉你在 Linux 内核里“包去哪了”。虽然原版是用 Go 编写的，但作为追求极致性能和底层掌控力的开发者，我决定发起一个挑战：用纯 C 语言和 libbpf 实现一个功能对标的 C-pwru。 本文是该项目的里程碑计划书（TODO List）。 1. 项目目标 实现一个命令行工...

lsof 网络排查实战：不仅是查看端口，更是系统透视眼 在 Linux 的世界里，“Everything is a file”（一切皆文件）。这是理解 lsof (List Open Files) 强大之处的关键。 对于 socket、管道、设备、目录，内核都把它们当作文件来处理。因此，lsof 不仅仅是一个查看“谁占用了端口”的工具，它是一个能将网络连接、进程信息和文件系统关联起来的透...