这款免费工具无须CA证书也能捕获HTTPS明文流量，原理大揭秘！

Wireshark、Burp Suite、tcpdump等工具在没有CA证书的情况下只能抓到加密后的流量，无法捕获TLS的明文。而将下来我们将会介绍一款工具，它只需要root权限，即可捕获明文的HTTPS通信包。

1. eCapture介绍

eCapture是一个C语言开发的开源项目，于2022年3月创建，一经发布广受大家喜爱，截止目前已经超过1.3万个Star。它是基于eBPF技术的先进网络数据捕获工具，能够无需CA证书即可捕获HTTPS和TLS通信的明文内容，非常适合于网络监控、安全审计和故障排查等场景。

eCapture的中文名字为旁观者，意为"当局者迷，旁观者清"，与其本身功能旁路、观察契合。

核心特点

用户态捕获：主要在用户态进行数据捕获，减少了对系统内核的依赖；
内核态支持：内核态代码使用C语言编写，利用eBPF技术进行高效的数据捕获；
无依赖部署：编译后的程序无需其他依赖即可运行，简化了部署过程；
多语言支持：

eCapture有三个功能模块：

tls/ssl明文数据捕获：可捕获基于Openssl/Boringssl的加密通讯的明文内容，主要用于基于tls/ssl解密需求的运维监控、故障排查、抽样分析场景；
bash命令审计：可用于安全领域的bash入侵发现场景；
mysqld数据库审计：适用于数据库审计场景，尤其是做数据安全、数据防泄漏，甚至入侵检测等。

注：以上三个功能均支持自定义扩展。

2. eCapture工作原理

eCapture主要利用了eBPF和HOOK技术：

eBPF加载机制：利用eBPF技术进行数据包的捕获和处理，eBPF程序是事件驱动的，当内核或应用程序通过某个挂钩点时运行。预定义的钩子包括系统调用、函数入口/出口、内核跟踪点、网络事件和其他几个；
HOOK机制：使用eBPF uprobe相关函数进行用户态函数的HOOK，支持对不同编程语言实现的加密库进行HOOK，如OpenSSL、GnuTLS、NSS/NSPR。

eBPF（Extended Berkeley Packet Filter）是一项革命性的技术，起源于Linux内核，可以在特权上下文（如操作系统内核）中运行沙盒程序。它用于安全有效地扩展内核的功能，而不需要更改内核源代码或加载内核模块。

eBPF允许沙盒程序在操作系统中运行，这意味着应用程序开发人员可以运行eBPF程序，在运行时为操作系统添加额外功能。然后，操作系统保证安全性和执行效率，就像在即时（JIT）编译器和验证引擎的帮助下进行本机编译一样。这导致了一波基于eBPF的项目，覆盖了广泛的应用场景，包括下一代网络、可观测性和安全功能。