授權(quán)協(xié)議 AGPL

開發(fā)語言 C/C++ Google Go

操作系統(tǒng) 跨平臺

軟件類型 開源軟件

所屬分類 程序開發(fā)、 網(wǎng)絡(luò)工具包

軟件簡介

eCapture 是一款基于 eBPF 技術(shù)實現(xiàn)的用戶態(tài)數(shù)據(jù)捕獲工具。不需要 CA 證書，即可捕獲 https/tls 的通訊明文。

項目在2022年3月中旬創(chuàng)建，一經(jīng)發(fā)布，廣受大家喜愛，至今不到兩周已經(jīng)1200多個Star。

作用

不需要CA證書，即可捕獲HTTPS/TLS通信數(shù)據(jù)的明文。

在bash審計場景，可以捕獲bash命令。

數(shù)據(jù)庫審計場景，可以捕獲mysqld/mariadDB的SQL查詢。

官網(wǎng)

代碼倉庫見：https://github.com/ehids/ecapture?。

產(chǎn)品架構(gòu)

eCapture系統(tǒng)用戶態(tài)程序使用Golang語言開發(fā)，具有良好的系統(tǒng)兼容性，無依賴快速部署，更適合云原生場景。 內(nèi)核態(tài)代碼使用C編寫，使用clang/llvm編譯，生產(chǎn)bpf字節(jié)碼后，采用go-bindata轉(zhuǎn)化為golang語法文件，之后采用ehids/ebpfmanager類庫，調(diào)用bpf syscall進行加載、HOOK、map讀取。 golang編譯后，無其他任何依賴即可運行，兼容linux kernel 4.18以上所有版本。

eBPF加載機制

關(guān)于eBPF詳細(xì)加載機制，可到https://ebpf.io/ 查閱相關(guān)原理。

實現(xiàn)原理

如工作原理的圖所示，在用戶態(tài)的加密解密函數(shù)中下鉤子。 tcpdump(libpcap)是在數(shù)據(jù)包接收到，XDP處理后，進行clone packet，進行包的復(fù)制，發(fā)送給用戶態(tài)進程。二者工作的所在層不一樣。

功能介紹

eCapture有三個模塊

tls/ssl明文數(shù)據(jù)捕獲

bash命令審計

mysqld數(shù)據(jù)庫審計

第一個功能適用于基于tls/ssl解密需求的運維監(jiān)控、故障排查、抽樣分析場景。

第二個功能適用于安全領(lǐng)域的bash入侵發(fā)現(xiàn)場景，這里只是簡單的功能，可以在此基礎(chǔ)上增加其他功能。

第三個功能適用于數(shù)據(jù)庫審計場景，尤其是做數(shù)據(jù)安全、數(shù)據(jù)防泄漏，甚至入侵檢測等。同樣，可以在此基礎(chǔ)上擴充其他功能。?