ja4-platform

code_public/ja4-platform

Fork 0

Commit Graph

Author	SHA1	Message	Date
toto	957918c565	fix(ja4ebpf): Rocky Linux RPM builder, remove correlated field, fix thesis - Dockerfile.package: migre go-builder de golang:bookworm (Debian) vers rockylinux:9, installe Go depuis le tarball officiel, remplace apt par dnf (clang llvm libbpf-devel bpftool) - Suppression du champ 'correlated' de l'agent ja4ebpf : avec eBPF/XDP, la corrélation L3/L4↔L7 est toujours implicite par présence des champs. Supprimé de : session.go, manager.go, main.go (x5), clickhouse.go - Thèse (6 corrections listées + cohérence correlated) : 1. §3.5 + §3.9.1 : SSL_read retourne des octets bruts sans respecter les frontières H2 → buffer circulaire de réassemblage en Go userspace 2. §3.1 : supprimé libpcap + CAP_NET_RAW, remplacé par définition uprobe 3. §4 + §7 : compte exact 96 features en 8 familles (Famille 1–8), supprimé taxonomie F1–F11 obsolète, tous les totaux mis à jour 4. §2.4 + §8 : remplacé 7 fausses URLs arXiv par [Référence à vérifier] 5. §4 Famille 2 : ja4_drift_ratio → renvoi à Famille 8 (définition complète) 6. §6.4 : ajouté limite 'Overhead de l'uprobe SSL_read' + §3.6 : supprimé correlated=0/1 du texte architectural Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>	2026-04-12 04:48:40 +02:00
toto	a1e4c1dad5	feat: add ja4ebpf service — eBPF-based TLS/TCP fingerprinting daemon - TC ingress hook captures TCP SYN (L3/L4) and TLS ClientHello - Uprobes on SSL_read/SSL_set_fd capture decrypted TLS data - Kprobes on accept4 correlate socket FDs to client IP:port - JA4 fingerprint computed from parsed TLS ClientHello - HTTP/2 SETTINGS and WINDOW_UPDATE extracted from decrypted streams - Session manager with sharded map (256 shards) and GC goroutine - Slowloris detection: sessions with no requests after 10s threshold - ClickHouse batch writer to ja4_logs.http_logs_raw (raw_json) - All tests pass: 17 parser + 10 correlation tests Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>	2026-04-11 22:43:26 +02:00

Author

SHA1

Message

Date

toto

957918c565

fix(ja4ebpf): Rocky Linux RPM builder, remove correlated field, fix thesis

- Dockerfile.package: migre go-builder de golang:bookworm (Debian) vers
  rockylinux:9, installe Go depuis le tarball officiel, remplace apt par
  dnf (clang llvm libbpf-devel bpftool)

- Suppression du champ 'correlated' de l'agent ja4ebpf : avec eBPF/XDP,
  la corrélation L3/L4↔L7 est toujours implicite par présence des champs.
  Supprimé de : session.go, manager.go, main.go (x5), clickhouse.go

- Thèse (6 corrections listées + cohérence correlated) :
  1. §3.5 + §3.9.1 : SSL_read retourne des octets bruts sans respecter les
     frontières H2 → buffer circulaire de réassemblage en Go userspace
  2. §3.1 : supprimé libpcap + CAP_NET_RAW, remplacé par définition uprobe
  3. §4 + §7 : compte exact 96 features en 8 familles (Famille 1–8),
     supprimé taxonomie F1–F11 obsolète, tous les totaux mis à jour
  4. §2.4 + §8 : remplacé 7 fausses URLs arXiv par [Référence à vérifier]
  5. §4 Famille 2 : ja4_drift_ratio → renvoi à Famille 8 (définition complète)
  6. §6.4 : ajouté limite 'Overhead de l'uprobe SSL_read'
  + §3.6 : supprimé correlated=0/1 du texte architectural

Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>

2026-04-12 04:48:40 +02:00

toto

a1e4c1dad5

feat: add ja4ebpf service — eBPF-based TLS/TCP fingerprinting daemon

- TC ingress hook captures TCP SYN (L3/L4) and TLS ClientHello
- Uprobes on SSL_read/SSL_set_fd capture decrypted TLS data
- Kprobes on accept4 correlate socket FDs to client IP:port
- JA4 fingerprint computed from parsed TLS ClientHello
- HTTP/2 SETTINGS and WINDOW_UPDATE extracted from decrypted streams
- Session manager with sharded map (256 shards) and GC goroutine
- Slowloris detection: sessions with no requests after 10s threshold
- ClickHouse batch writer to ja4_logs.http_logs_raw (raw_json)
- All tests pass: 17 parser + 10 correlation tests

Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>

2026-04-11 22:43:26 +02:00

2 Commits