eCapture开源项目三周年, v1.0.0 稳定版发布

CFC4N

eCapture旁观者是一款基于 eBPF 技术的高级网络工具,专注于 SSL/TLS 协议的明文数据捕获与解密。凭借其强大的功能和丰富的特性,eCapture 已成为网络调试和安全分析领域的重要工具。自2022年3月发布至今三年,累计1.4万颗星。

核心功能

1. 多协议支持

  • 加密库支持:兼容 OpenSSL、GnuTLS、BoringSSL 等多种加密库,支持 HTTP/2 和 QUIC 协议捕获。
  • 协议兼容性:涵盖 TLS 1.2 和 TLS 1.3,确保对最新协议的全面支持。

2. 智能数据捕获

  • eBPF 引擎:基于 eBPF 技术实现高效的网络数据捕获和协议解析。
  • 双栈支持:支持 IPv4 和 IPv6 的双栈模式,确保在不同网络环境中的灵活应用。
  • 四元组过滤:提供灵活的过滤功能,精准捕获目标流量。

3. 主密钥捕获

  • 自动化捕获:自动检测并捕获 TLS 1.2 和 TLS 1.3 的主密钥,实现加密流量的实时解密。
  • Wireshark 集成:生成与 Wireshark 兼容的流量文件,支持离线解密和分析。

4. 多种捕获模式

  • Pcap 模式:生成 Pcapng 格式的流量文件,便于后续分析。
  • Keylog 模式:捕获通信密钥,生成与 Wireshark 兼容的密钥日志文件。
  • Text 模式:实时输出明文数据,方便开发者快速调试和分析。

5. 跨平台支持

  • 操作系统:支持 Linux 和 Android 系统,确保在不同操作环境中的稳定运行。
  • 架构兼容:兼容 x86_64 和 ARM64 架构,适用于多种设备和服务器环境。

6. 自动化与智能检测

  • 智能模式选择:自动识别 CO-RE 和非 CO-RE 模式,优化运行性能。
  • 内存优化:提供灵活的内存配置选项,提升资源利用率和系统稳定性。

7. 高性能与兼容性

  • 高效处理:基于 eBPF 的高效数据处理,支持大规模并发和长时间抓包。
  • 稳定性提升:经过多次版本迭代和优化,v1.0.0 版本具有更高的稳定性和兼容性。

8. 灵活配置

  • 自定义过滤:支持灵活的数据过滤配置,精准捕获目标流量。
  • 多种输出格式:支持多种数据输出格式,满足不同场景的需求。
  • 日志管理:提供详细的日志记录,方便后续分析和审计。

9. 命令审计

  • Shell 审计:捕获 Bash 和 Zsh 命令行的输入和输出,支持实时监控和记录。
  • 数据库监控:监控 MySQL 和 PostgreSQL 的 SQL 查询,提供数据库操作审计功能。

10. Wireshark 插件支持

  • 流量分析:生成兼容 Wireshark 的流量文件,方便使用 Wireshark 进行深入分析。
  • 密钥日志集成:支持在 Wireshark 中加载密钥日志,实现加密流量的实时解密。

技术特点

1. 模块化架构

  • 功能扩展:采用模块化设计,便于功能扩展和维护。
  • 灵活配置:支持多种配置选项,满足不同用户的需求。

2. 多语言开发

  • 内核空间:使用 C 语言实现内核空间功能,确保高效和稳定。
  • 用户空间:使用 Golang 和 CGO 实现用户空间功能,提升开发效率和代码维护性。

3. 交叉编译支持

  • 多架构支持:支持在 amd64 和 ARM64 两种架构下进行交叉编译,生成适用于不同平台的二进制文件。
  • 工具链支持:提供丰富的交叉编译工具链,方便用户根据需求进行编译和配置。

版本更新

v1.0.0 版本

  • 新增功能
    • 支持 Docker 镜像,简化部署和使用。
    • 新增对 OpenSSL 3.4.0 和 GnuTLS 的密钥捕获支持。
    • 支持 IPv6 数据包捕获,扩展网络协议支持。
    • 增加 Zsh 命令审计功能,提升安全监控能力。
  • 关键修复
    • 修复 Ubuntu 24.04 系统上初始化脚本的兼容性问题。
    • 解决 ARM64 版本无法正常工作的问题。
    • 优化构建过程,提升整体稳定性和性能。

社区与开发

开源社区

  • 项目星数:自 2022 年 3 月创建以来,累计获得 14,000+ 颗星,社区活跃度高。
  • 贡献者:吸引了众多开发者参与贡献,共同推动项目发展。

作者信息

  • 开发者:由陈驰(CFC4N)开发,详见其个人博客 www.cnxct.com
  • 开源精神:秉持开源精神,欢迎更多开发者加入社区,共同改进和完善项目。

部署与使用

易用部署

  • 二进制文件:提供预编译的二进制文件,支持 Linux 和 Android 系统。
  • Docker 镜像:发布 Docker 镜像,简化部署和使用过程。
  • 文档支持:提供详细的使用文档和配置指南,帮助用户快速上手。

总结

eCapture v1.0.0 是一款功能强大、技术先进的网络工具,凭借其多协议支持、智能数据捕获、跨平台兼容性和高性能,成为开发者和安全研究人员的得力助手。通过三年的不断开发和优化,eCapture 在网络调试和安全分析领域树立了良好的口碑。

未来,随着社区的不断贡献,eCapture 将继续保持其技术领先,服务于更多用户。

知识共享许可协议CFC4N的博客CFC4N 创作,采用 署名—非商业性使用—相同方式共享 4.0 进行许可。基于https://www.cnxct.com上的作品创作。转载请注明转自:eCapture开源项目三周年, v1.0.0 稳定版发布

相关文章:
  1. ecapture v0.7.4发布,支持Pcap FIlter包过滤语法
  2. eCapture v0.9.0支持IPv6、GnuTLS密钥捕获、Zsh审计,国内CDN上线
  3. eCapture v0.7.3新版性能提升10倍,支持OpenSSL 3.2
  4. 详解:L4LB四层负载均衡IP伪造漏洞
  5. Tetragon进程阻断原理

发表回复

这个站点使用 Akismet 来减少垃圾评论。了解你的评论数据如何被处理