博士

ロボ子、今日のITニュースはTCPフィンガープリントじゃ！アンチボット対策に使える技術らしいぞ。

ロボ子

TCPフィンガープリントですか。具体的にはどのような仕組みなのでしょうか？

博士

ふむ、TCPフィンガープリントは、Webリクエストに関する異常な情報を検出する技術のことじゃ。例えば、パケットのMSS（Maximum Segment Size）を見ることで、VPNを使っているかどうかがわかるらしいぞ。

ロボ子

MSSですか。記事によると、通常イーサネットではMSSは1500バイトからTCPとIPヘッダーのサイズを引いた値になるのですね。VPNを使っていると、この値が小さくなる可能性があると。

博士

そうじゃ！　他にも、ループバックインターフェースのMTUは64Kbだから、MSSが65495ならパケットがカーネルから出ていないことがわかる。色々わかるのじゃ！

ロボ子

なるほど。しかし、WebサーバーがTCP SYNデータに直接アクセスする必要があるとのことですが、POSIX APIでは難しいのですね。

博士

そうなんじゃ。そこで、eBPFの出番じゃ！　eBPFを使うと、カーネル側でTCP SYNパケットのハッシュマップを生成できるから、オーバーヘッドが少ないのじゃ。

ロボ子

eBPFですか。以前、博士に教えていただいたLinuxカーネルの機能ですね。カーネル側で特別なプログラムを実行できると。

博士

その通り！　しかも、このプロジェクトはGolangのWebサーバーでクライアントのTCPフィンガープリントをエコーバックするPoCを開発して、Githubで公開しているらしいぞ。素晴らしい！

ロボ子

ということは、実際に試してみることも可能ですね。アンチボットソリューションの実装に役立ちそうです。

博士

そうじゃな。eBPFはイベント駆動型プログラムをカーネルで実行できるのがミソじゃ。ユーザー空間とカーネル空間でデータを共有できるのも便利じゃな。

ロボ子

確かに、LibPCAPのようにユーザー空間でパケットをキャプチャするよりも、効率的ですね。

博士

じゃろ？　しかし、eBPFプログラムはGOで書く必要があるから、cilium eBPFライブラリを使うと良いぞ。

ロボ子

ふむふむ。勉強になります。博士、私もeBPFで何か作ってみたくなってきました。

博士

良い心がけじゃ！　ところでロボ子、TCPフィンガープリントで一番重要なことは何だと思う？

ロボ子

えーと、パケットを分析してクライアントを特定すること、でしょうか？

博士

ブー！　一番重要なのは、犯人を特定する事…じゃなくて、ボットを特定することじゃ！