授權(quán)協(xié)議 AGPL

開(kāi)發(fā)語(yǔ)言 C/C++ Google Go

操作系統(tǒng) 跨平臺(tái)

軟件類型 開(kāi)源軟件

所屬分類 程序開(kāi)發(fā)、 網(wǎng)絡(luò)工具包

軟件簡(jiǎn)介

eCapture 是一款基于 eBPF 技術(shù)實(shí)現(xiàn)的用戶態(tài)數(shù)據(jù)捕獲工具。不需要 CA 證書，即可捕獲 https/tls 的通訊明文。

項(xiàng)目在2022年3月中旬創(chuàng)建，一經(jīng)發(fā)布，廣受大家喜愛(ài)，至今不到兩周已經(jīng)1200多個(gè)Star。

作用

不需要CA證書，即可捕獲HTTPS/TLS通信數(shù)據(jù)的明文。

在bash審計(jì)場(chǎng)景，可以捕獲bash命令。

數(shù)據(jù)庫(kù)審計(jì)場(chǎng)景，可以捕獲mysqld/mariadDB的SQL查詢。

官網(wǎng)

代碼倉(cāng)庫(kù)見(jiàn)：https://github.com/ehids/ecapture?。

產(chǎn)品架構(gòu)

eCapture系統(tǒng)用戶態(tài)程序使用Golang語(yǔ)言開(kāi)發(fā)，具有良好的系統(tǒng)兼容性，無(wú)依賴快速部署，更適合云原生場(chǎng)景。 內(nèi)核態(tài)代碼使用C編寫，使用clang/llvm編譯，生產(chǎn)bpf字節(jié)碼后，采用go-bindata轉(zhuǎn)化為golang語(yǔ)法文件，之后采用ehids/ebpfmanager類庫(kù)，調(diào)用bpf syscall進(jìn)行加載、HOOK、map讀取。 golang編譯后，無(wú)其他任何依賴即可運(yùn)行，兼容linux kernel 4.18以上所有版本。

eBPF加載機(jī)制

關(guān)于eBPF詳細(xì)加載機(jī)制，可到https://ebpf.io/ 查閱相關(guān)原理。

實(shí)現(xiàn)原理

如工作原理的圖所示，在用戶態(tài)的加密解密函數(shù)中下鉤子。 tcpdump(libpcap)是在數(shù)據(jù)包接收到，XDP處理后，進(jìn)行clone packet，進(jìn)行包的復(fù)制，發(fā)送給用戶態(tài)進(jìn)程。二者工作的所在層不一樣。

功能介紹

eCapture有三個(gè)模塊

tls/ssl明文數(shù)據(jù)捕獲

bash命令審計(jì)

mysqld數(shù)據(jù)庫(kù)審計(jì)

第一個(gè)功能適用于基于tls/ssl解密需求的運(yùn)維監(jiān)控、故障排查、抽樣分析場(chǎng)景。

第二個(gè)功能適用于安全領(lǐng)域的bash入侵發(fā)現(xiàn)場(chǎng)景，這里只是簡(jiǎn)單的功能，可以在此基礎(chǔ)上增加其他功能。

第三個(gè)功能適用于數(shù)據(jù)庫(kù)審計(jì)場(chǎng)景，尤其是做數(shù)據(jù)安全、數(shù)據(jù)防泄漏，甚至入侵檢測(cè)等。同樣，可以在此基礎(chǔ)上擴(kuò)充其他功能。?