Minderbinder:一款基于eBPF的进程安全测试工具

关于Minderbinder

Minderbinder是一款基于eBPF的进程安全测试工具,在该工具的帮助下,广大研究人员可以通过注入噪声来测试目标进程的安全性。

Minderbinder 是一款使用 eBPF 将故障注入正在运行的进程的工具。当前版本的Minderbinder 可以通过将 kprobes 附加到系统调用处理程序来将故障注入系统调用,并通过将流量过滤器附加到 Linux 的流量控制子系统来将故障注入传出网络流量。

功能介绍

Minderbinder 旨在让将故障注入到进程中变得简单。我们可以编写一个 config.yaml 来描述要注入的故障以及要将其注入到的进程,然后启动 minderbinder,看看会发生什么。

运行机制

当前版本的Minderbinder运行机制如下:

1、用户空间应用程序读取配置文件,附加必要的探测器,并将配置写入syscall_target_configeBPFoutgoing_network_config映射;

2、kprobe execve会捕获新进程的启动。在找到与映射中的目标匹配的进程后_config,它们会将 PID 数据添加到目标配置并更新相应的_target映射。例如,匹配的元素syscall_target_config会导致将 PID+目标配置添加到syscall_targets;

3、然后,负责每个模块的 eBPF 会触发其特定的钩子,并在其映射中找到相关条目后_targets,“中断”相应正在考虑的操作;

工具要求

Go运行时环境

工具安装

由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

https://github.com/scottgerring/minderbinder.git

工具使用

Minderbinder 支持两种不同的干预措施 -syscall和outgoing_network:

agents_of_chaos:

  syscall:  

    # Stop curl from using `openat`

    - name: break_curl_openat

      syscall: openat

      ret_code: -2 # NOENT / no such file or directory

      targets:

        - process_name: curl

      delay_ms: 100 # Milliseconds to wait after the process starts. For openat, this gives the process a chance to start properly.

      failure_rate: 100

  outgoing_network:

    - name: break_wget_network

      targets:

        - process_name: wget

      delay_ms: 100 # Milliseconds. In this case, 100ms should be enough to get a DNS request through for the endpoint, before breaking the actual transfer to the HTTP server

      failure_rate: 100      

要运行 minderbinder,您需要指定配置文件,并且如果您正在使用outgoing_network,还要指定要附加的接口:

sudo ./minderbinder --interface enp67s0 config.yaml

除此之外,我们还可以使用Minderbinder为现有的单元测试框架提供后端,以便我们可以编写组件测试,以有趣的、与混乱相关的方式轻松破坏被测代码:

func TestYourAPIHandler_DownstreamFailure(t *testing.T) {

// Create a new request

req := httptest.NewRequest(http.MethodGet, "/your-api-endpoint", nil)

 

// Record the response

rec := httptest.NewRecorder()

 

// Failure configuration

cfg := FailureConfig{

OutgoingNetwork: [] OutgoingNetworkFailure {

            {

                Protocol: "TCP",

                DestPort: 443,

                FailureRate: 100

            }

        }

}

 

// Wrap the actual handler call with Minderbinder. Because Minderbinder is injecting

    // failures into this process using eBPF, we don't need to elaborately craft stubs here;

    // we can setup the

    minderbinder := &Minderbinder{}

minderbinder.WithFailures(cfg, func() (*http.Response, error) {

// Call the API handler

YourAPIHandler(rec, req)

return nil

})

 

// We should get a 502 / bad gateway back

assert.Equal(t, http.StatusBadGateway, rec.Code)

assert.Equal(t, "Downstream service failedn", rec.Body.String())

}

工具运行演示

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

Minderbinder:【GitHub传送门

参考资料

https://blog.scottgerring.com/introducing-minderbinder/

千百度
© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容