홈으로 돌아가기

Little Snitch Linux: eBPF 트래픽 모니터링

Linux용 Little Snitch는 프로세스 바인딩으로 발신 연결을 모니터링하고 차단하기 위해 eBPF를 사용합니다. 웹 인터페이스는 편리한 제어, 블록리스트 및 사용자 지정 규칙 지원을 제공합니다. 도구는 프라이버시에 중점을 두며, 오픈 eBPF 모듈과 무료 데몬을 갖춥니다.

Linux의 Little Snitch: 발신 트래픽 완전 제어
Advertisement 728x90

리눅스용 리틀 스니치: 프로세스 모니터링과 트래픽 차단 기능을 갖춘 eBPF 방화벽

리틀 스니치가 이제 리눅스에서도 사용 가능해졌습니다. eBPF를 활용해 모든 외부 네트워크 연결을 가로채며, 커널 수정 없이 특정 프로세스와 직접 연결된 트래픽 데이터를 수집합니다. 로컬호스트의 웹 인터페이스(localhost:3031)에서는 실시간 활동 상태를 확인할 수 있습니다 — 활성 연결, 이력 로그, 트래픽량까지 모두 표시됩니다. 프로세스 이름, 활동 수준, 대역폭 기준으로 필터링하여 이상 징후를 빠르게 탐지할 수 있습니다. 단 한 번의 클릭으로 트래픽을 차단하고, 규칙은 다음 세션에도 자동 저장됩니다.

트래픽 그래프는 부하 급증을 시각화하며, 분석을 위해 특정 시간대를 고립해 깊이 있는 조사를 가능하게 합니다. 서버나 데스크톱 환경에서 앱 텔레메트리가 무제한으로 나가는 상황을 관리하는 중급 이상 개발자에게 필수적입니다.

사용자 정의 규칙 및 차단 목록 구성

사용자 정의 규칙

규칙은 /var/lib/littlesnitch/config/ 폴더 내의 TOML 설정 파일로 정의됩니다. /var/lib/littlesnitch/overrides/ 폴더에 있는 오버라이드 파일이 우선 적용되므로, 기본 설정을 위험 없이 안전하게 테스트할 수 있습니다. 예: 모든 파이어폭스 트래픽은 허용하지만, 특정 CLI 도구의 외부 연결은 차단하기.

Google AdInline article slot

차단 목록

사전 구축된 목록이 통합되어 있습니다: Hagezi, Peter Lowe, Steven Black, oisd.nl. 지원 형식은 줄당 도메인, /etc/hosts, CIDR 등 다양합니다. 참고: 맥OS용 .lsrules 파일은 호환되지 않으며, 마이그레이션 시 변환 작업이 필요합니다.

  • 프로세스 기반 차단: IP 주소가 아닌 PID 또는 실행 파일 기준으로 차단됩니다.
  • 포트/프로토콜 제어: 세밀한 TCP/UDP 필터링이 가능합니다.
  • 이력 및 통계: 도메인별 전송 바이트 수와 요청 빈도를 추적합니다.
  • PWA 지원: 크롬이나 파이어폭스에서 인터페이스를 독립형 앱처럼 설치할 수 있습니다.

단점: 고부하 상황에서 eBPF의 캐시 크기가 제한되어 패킷 속성 추적이 다소 정확도가 낮아질 수 있지만, 개인정보 보호 측면에서는 거의 100% 커버리지를 유지합니다.

아키텍처와 성능 트레이드오프

커널 내 eBPF 프로그램은 메타데이터를 데몬에 전달하고, 데몬은 이를 집계하여 필터링을 수행합니다. 맥OS와 달리 깊은 패킷 검사 기능은 없으며, 리눅스 버전은 프로세스 ID, 목적지 포트/도메인 같은 연결 메타데이터에 집중합니다. 고부하 상황(초당 수천 건의 연결)에서는 eBPF 맵이 가득 차 일부 패킷의 출처 정보가 손실될 수 있습니다.

Google AdInline article slot

eBPF의 장점: 복사 없는 데이터 전송, 최소한의 오버헤드, 멀티코어 시스템에서도 우수한 확장성.

제한 사항: 프로그램 크기 제한(최대 1MB, JIT 후), 페이로드 검사 불가. 개발팀은 이 도구가 공격 대비 방어 체계의 일부가 아니라, 개인 정보 보호를 위한 도구임을 강조합니다. 생산 환경에서는 nftables와 함께 사용하는 것이 권장됩니다.

헤드리스 서버 배포: SSH 터널(ssh -L 3031:localhost:3031) 또는 nginx 역방향 프록시를 통해 접근 가능합니다. GUI 의존성이 없으며, 데몬은 백그라운드에서 조용히 작동합니다.

Google AdInline article slot

라이선스 및 맞춤 설정

  • eBPF 모듈: GPLv2, GitHub 소스 공개.
  • 웹 인터페이스: GPLv2, 오픈소스.
  • 데몬: 비공개, 개인 및 상업적 사용 무료.

TOML 설정을 통해 스크립팅이 가능하며, Ansible이나 Chef를 활용해 규칙 관리를 자동화할 수 있습니다. CI/CD 파이프라인이나 컨테이너가 무제한 트래픽을 생성하는 쿠버네티스 파드 환경에서 텔레메트리 제어가 필요한 고급 개발자에게 매우 유용합니다.

핵심 요약

  • eBPF는 커널 모듈 없이 프로세스 인식 모니터링을 가능하게 하며, 낮은 오버헤드를 제공합니다.
  • 웹 UI + PWA로 편의성 제공, 헤드리스 모드로 서버에 적합합니다.
  • 차단 목록과 규칙으로 90% 이상의 개인정보 보호 사용 사례를 커버하지만, DPI(딥 패킷 인스펙션) 대체는 불가능합니다.
  • 맥OS 버전(€59)과 달리 완전 무료입니다.
  • 단점: 극한 부하 상황에서 eBPF 제약으로 인해 정확도가 다소 저하됩니다.

— Editorial Team

Advertisement 728x90

다음 읽기