我正在阅读有关在安全上下文中将 eBPF 程序附加到内核中的内容。虽然我读到 kprobes 容易受到检查时间到使用时间攻击,但我想知道 fentry/fexit 探针(也称为BPF-蹦床。据我了解,fentry/fexit 探针的开销较低,并且不会捕获 eBPF 程序,而是直接执行它。然而,我不完全确定最后一部分以及这是否足以防止 TOCTTOU 攻击。
我正在阅读有关在安全上下文中将 eBPF 程序附加到内核中的内容。虽然我读到 kprobes 容易受到检查时间到使用时间攻击,但我想知道 fentry/fexit 探针(也称为BPF-蹦床。据我了解,fentry/fexit 探针的开销较低,并且不会捕获 eBPF 程序,而是直接执行它。然而,我不完全确定最后一部分以及这是否足以防止 TOCTTOU 攻击。