BPF (Berkeley Packet Filter)는 네트워크 패킷을 필터링하는 데 사용되므로 시스템 관리자가 사용자 정의 필터를 기반으로 작업을 수행 할 수 있습니다.
반면에, 공격자들은 BPF를 사용하여 2018 년 이후 BPFDOor라는 기술을 사용하여 손상된 장치에 대한 스텔스 원격 액세스를 제공했습니다.
FALCO는 클라우드 네이티브 환경에서 런타임 이상 감지에 도움이되는 오픈 소스 도구로서 BPF를 사용하는 프로세스를 감지하여 BPFDOOR와 같은 백도어 사용을 경고 할 수 있습니다.
BPF는 루트 액세스가 필요하지만 권한 에스컬레이션 취약성이 존재하므로 자신을 보호하기가 어렵습니다.
뿌리가 아닌 사용자가 특정 Linux 시스템 기능을 제거하고 AppArmor 프로파일을 사용하여 원시 소켓의 패킷을 캡처하는 것을 방지하기위한 조치를 취할 수 있습니다.