eCapture 是一款基于 eBPF 技术的开源工具,它能够在无需安装 CA 证书的情况下,直接捕获 Linux 和 Android 系统上的 SSL/TLS 加密流量明文。这一特性使其在网络安全分析、应用性能测试和安全审计等场景中具有重要价值。
核心功能
-
SSL/TLS 明文捕获:通过 eBPF 在内核层面拦截 SSL/TLS 握手过程,实时解析加密流量,支持 OpenSSL、GnuTLS、NSPR、BoringSSL 和 GoTLS 等多种加密库。
-
多捕获模式:
- Text 模式:直接输出明文数据,适用于快速调试 HTTPS API 调用。
- Keylog 模式:生成 Wireshark 兼容的密钥日志,支持深度流量分析。
- PCAP 模式:生成标准 PCAP 文件,便于网络取证和流量重放。
-
跨平台支持:兼容 Linux 和 Android,支持 x86_64 和 aarch64 架构,最低内核要求 Linux 4.18+ 或 Android 5.5+。
-
高性能与低侵入性:捕获速率可达 1000+ 包/秒,系统性能影响低于 5%,且无需修改应用或安装证书,保持环境纯净。
技术优势
-
eBPF 驱动架构:利用预编译的 eBPF 程序在 Linux 内核中建立监控点,直接拦截 SSL/TLS 函数调用,确保高效准确。支持 CO-RE(Compile Once - Run Everywhere)特性,无需 BTF(BPF Type Format)即可运行。
-
模块化设计:工具包含 8 个模块,支持不同加密库的捕获,并扩展至 Bash、MySQL 和 PostgreSQL 等应用的审计。
-
格式兼容性:输出 pcap/pcapng 格式,与 Wireshark、tcpdump 等主流网络分析工具无缝对接,便于后续处理。
应用场景
-
网络安全分析:捕获生产环境加密流量,检测漏洞并验证防护措施。例如,在网络安全分析中,重放攻击流量以发现传统工具难以检测的深层风险。
-
应用性能测试:在压力测试中捕获加密流量,为系统极限性能评估提供精准数据,结果更贴近实际业务场景。
-
安全审计与合规性检查:长期监控加密通信内容,满足合规要求,支持自动化轮转和归档策略,确保数据完整性和可追溯性。
-
开发与调试:实时调试 HTTPS API 调用,监控应用层协议交互,快速定位加密通信问题,提升开发效率。
安装与使用
eCapture 支持通过 Docker 快速部署。以下是基于 Linux 系统的安装步骤:
-
安装 Docker:
sudo apt update
sudo apt install -y docker.io docker-compose
-
拉取镜像:
sudo docker pull gojue/ecapture:latest
-
启动服务:
sudo docker run --rm --privileged=true --net=host -v ${HOST_PATH}:${CONTAINER_PATH} gojue/ecapture ARGS
服务启动后,可根据官方文档输入具体指令使用。下图展示了 eCapture 的工作流程:
资源链接
| 
发表于 前天 22:25
|
查看: 6|
回复: 0
