シグネチャ

KEELチームの相原です。 今回はeBPFを利用してKubernetesクラスタの可観測性の隙間を埋めている話です。 前回のエントリではLLMにうつつを抜かしていたので本業(?)の話をしようと思います。 www.lifull.blog LIFULLの可観測性の現在地 eBPFとは 可観測性の隙間 NAT Loopback eBPFを実行するには BPF CO-RE libbpf-rsを利用したNAT Loopbackの検知 1. (ユーザ空間) コマンドライン引数として受け取ったDNSをTTLごとに名前解決してIPアドレスを取得する 2. (ユーザ空間) IPアドレスに変化がある度にカーネル空…

こんにちは！バックエンドエンジニアのjunyaUです。 社会人になって2回目の冬が来ましたが、どんなに寒くても暖房だけはつけない派です⛄️ 今回は明示的メモリ管理が引き起こす問題と、ガベージコレクションがどうやってこの問題に対処するのかについて書いていこうと思います〜！ はじめに 動機 結論 そもそもメモリ管理って？ プロセスのメモリ領域 テキストセグメント データセグメント スタックセグメント メモリ管理とは ヒープ領域の役割 メモリの枯渇問題 明示的メモリ管理とは 概要 明示的解放が引き起こす問題 メモリリーク ダングリングポインタ 二重解放 自動的メモリ管理 概要 ガベージコレクション …

こんばんわ！今日もCNDの勉強をしていきます。今回は、「IDSアラートのフォルスポジティブとフォルスポジティブ」についてまとめていきます IDSアラートのタイプ トゥルーポジティブ本当に攻撃が発生したときにアラートが発生しましたフォルスポジティブ攻撃が発生しなかったのにアラートが発生しましたフォルスネガティブ本当の攻撃が発生したのにアラートが発生しませんでしたフォルスポジティブ攻撃が発生しなかったのにアラートが発生しませんでした フォルスアラートの取り扱い フォルスアラート（誤診断）はできるだけ最小にする必要があります！IDSのチューニングをせずに展開していた場合、90％でフォルスアラートが発…

こんばんわ！今日もCNDの勉強をしていきます。今回は、「IDS/IPSのコンポーネント」についてまとめていきます IDSのコンポーネント IDSは大きく分けて5つのコンポーネント（部品）があります。それが下記です・ネットワークセンサ・アラートシステム・コマンドコンソール・対応システム・攻撃シグネチャデータベース ネットワークセンサ ネットワークセンサは、ネットワークのトラフィックを構築し、異常な動作が検知されるとアラートがトリガーするハードウェアのことです。 アラートシステム アラートシステムは、異常や不正使用が検知された場合にアラートメッセージを送信します。 コマンドコンソール コマンドコン…

こんばんわ！今日もCNDの勉強をしていきます。今回は、「トラフィック検査機能」についてまとめていきます フルデータトラフィックの正規化 大部分のファイアウォールはスループット指向（一定時間ごとの仕事）で、データトラフィックに対する完全な正規化を行えません。また、複雑で検知が難しいネットワークへの攻撃を検知できません。従い、ペイロード検査を実行する前に、すべてのプロトコル層に対してデータトラフィックを最大まで正規化をするファイアウォールを選択します。 データストリームベースの検査 大部分のファイアウォールは、セグメントや疑似パケットに基づいてデータトラフィックを検査するように設計されています。そ…

こんにちは、SWETグループの田熊です。 現在SWETグループでは書籍「単体テストの使い方/考え方」の輪読会を実施しています。 輪読会ではメンバー同士で活発に意見が交わされていますが、著者の主張に疑問を感じる箇所もあり、一度グループ外の方とも意見を交換したいと考えていました。 そこで、t_wadaさんをお招きし「単体テストの使い方/考え方」についてディスカッションする機会を設けました。 本記事では、SWETメンバーとt_wadaさんとのやりとりを紹介したいと思います。 ディスカッションの流れ ディスカッションは事前にSWETグループのメンバーが書籍を読んで疑問に感じたテーマを挙げてもらい、t_…

こんにちは、pixiv事業本部Webエンジニアリングチームでバックエンドエンジニアやデータ集計・整備などをやっているふぉのです。 先日、招待制にて開催されたPIXIV MEETUP 2023、LT1にて「pixivisionを動かし続けるために」というタイトルで発表しました。この記事は、その詳解版となりますので、スライドと併せて御覧ください。 speakerdeck.com ２つの「かいしゃく」で進めるアーキテクチャ改善着手までの道程〜pixivisionのバックエンドを託されて〜 pixivisionとは 機能のかいしゃく つぶさに調べてまとめる UMLでの表現 文章での表現 資料はめんどい…

やったこと GBAのエミュレータ(visualboyadvance-m)上の太陽センサー*1の値をエミュレータ内threadに立てたHTTPサーバによって操作できるようにした。 github.com 今回はRust FFIを利用してできるだけ元のコードを汚さずに、かつHTTPサーバの処理等はRustの世界で閉じたものにする、という方向で実装していた。 ちなみにFFIを触っているが自分はRustはまあともかくC/C++は多少読めるけどちゃんと書くのは無理、ぐらいのC/C++の習熟度です。 Rust FFIを実装する上で必要な作業 正直、割と曖昧なまま触っている部分も多いが概ね以下の作業が必要。U…

はじめに 人生初ライブ現地がAct-3でよかった〜！ 最高だったよ〜！！ にっPです（今日は仕掛け人モード） ちょうぜつ本_読書pyで『A Philosophy of Software Design』が話題に挙がりました（後述するClassitis）。 存在は知っていて永遠の積ん読という存在だったのですが、待ってても邦訳は出なさそう1、英語自体は平易ということでエイヤッと4章だけ読みました。 読んで理解したことをバックアップします 目次 はじめに 目次 4章「Modules Should Be Deep」 modules deep t-wadaさんによる解説 終わりに 4章「Modules S…

OSSのアンチウイルス/アンチマルウェアサービスとして、ClamAVというものがあり、そこそこ広く使われている(私も昔は物理サーバーに入れていたが、CPUやメモリ負荷がかなり高いサービスで、VPSにしてからはメモリあふれが多発してしまうので普段は使っていない)。 現在はCiscoがスポンサーしているようだ。 つい先日、このClamAVのデータベース更新で入ったパターンで、Mackerelエージェントのmackerel-agentバイナリがマルウェア判定されてしまうという現象が発生した。 私のほうでFalse Positiveとして報告したところ、今日の更新で解除になっていた。ほかにも多数報告が…

サービス概要 VPCトラフィックミラーリングとは、ミラー対象に指定したソースENIを通るトラフィックの中身をミラーリングしたパケットを、別のターゲットENIやNLB、GWLBに転送することができる機能です。 （https://d1.awsstatic.com/webinars/jp/pdf/services/20201021_AWS-BlackBelt-VPC.pdfより） 目的・やりたいこと インターネットから来た通信をALBで受けてECS/Fargateに流す通信があり、その通信をミラーリングして外部のIDSに流したいという要件がある。AWSで実装できる構成があるか検証する。 対象となる技…

今回はこちら。2022年10月にSANS Instituteから発行された調査論文です。産業制御システム（ICS：Industrial Control System）および制御/運用技術（OT：Operational Technology）のサイバーセキュリティがテーマです。 Dean Parsons, SANS Analyst Program もくじ どんな人におすすめ？ どんな内容？ 注目ポイント 感想 どんな人におすすめ？ ICS/OTのサイバーセキュリティに関わるすべての人に発見がある調査です。そもそもICSとかOTってどこからどこまでを指すのかという議論もありますが、すんごいざっくり…