是的,一年半时间,笔者的首个7000星的GitHub开源项目来了,它就是eCapture旁观者[1]。未来一年,争取过万星。
eCapture[2]一个无需CA证书,无侵入的HTTPS/TLS明文抓包工具。可以在Linux 4.18以上版本使用,同时也支持Android arm64 5.5以上版本。
eCapture的中文名叫「旁观者」,即「当局者迷,旁观者清」,与其本身功能「旁路、观察」契合,且发音与英文有相似之处。此工具切入大家痛点,不需要CA证书,也不需要进程重启,就可以在Linux上分析生产环境的https网络包的问题,深受大家欢迎。
从2022年3月底创建,至今一年半时间,获得7000星。与知乎上较为出名的xmake-io/xmake[3]开源项目相比,可谓神速。当然,个人的努力固然有,但主要是借助了历史的进程——eBPF技术兴起。
eBPF技术是Linux内核的子系统,用来做跟踪、抽样、网络优化、安全管控等。借助于eBPF的动态插桩能力,eCapture可以无需应用进程重启,无需CA证书,动态增加观测点,实现对进程的HTTPS/TLS加密通讯抽样诊断。
eCapture项目是用来做网络分析的,适合线上环境,不方便重启进程的场景。使用eBPF TC/uprobe HOOK技术,支持Linux/Android 系统,支持x86_64/aarch64两种CPU架构,工具大小不到10M。
支持保存为文本日志,以及pcap-NG格式文件,直接用wireshark打开分析。同时,还可以支持关联网络所属的进程名、进程PID等信息,在入侵对抗领域,特别需要后门网络包是哪个进程发出的,从而更好的定位后门进程。
从2022年3月起,至今发布了34个版本,160多个PR;整理了5篇文章,录制了3个视频。花费了100多瓶可乐,掉了几万根头发......
大部份功能上,项目的规划、研发、测试、交付、运营对接,都是我一个人。时间上,几乎都是下班后的21点到凌晨1点,以及周末的大部分时间。也就是说,2022年的大部分休息时间都贡献给了eCapture这个开源项目。一个人做开源,特别花时间、花体力,花精力,完全是用爱发电。
可以对比eCapture
跟xmake
两个项目的代码编写事件。
可能是因为eBPF技术比较偏内核底层,社区熟悉这部分技术的人不多,可以为项目贡献的人寥寥无几,整体参与度不高。在这里也非常感谢为eCapture做贡献的人。
展现在大家眼前的是一个软件,一个项目,帮你解决了一些问题。所需要代码行数并不多等,实际上,笔者需要花费大量时间、精力,研究学习背后的技术知识。
比如Pcapng格式的支持,需要了解PcapNG File Format[4],了解里面Block的含义,如何解析、填充;了解Packet flow in Netfilter and General Networking[5],才能更好的选择HOOK点。深挖Decryption Secrets Block[6]标准,并提交了google/gopacket PR # 1042[7],支持DSB格式,使得Wireshark可以直接分析eCapture捕获https加密包的明文内容。
比如Golang uretprobe,需要了解Golang在不同版本下的ABI[8]规范,是基于寄存器,还是栈。符号表内,函数调用的参数传递顺序差异。函数调用栈与参数、返回值的内存布局等。只有了解这些,才能更好的实现函数入参、返回值的捕获,才能实现Golang的TLS类库密钥捕获,实现Golang TLS类库的加密通讯明文捕获。
比如Android系统的支持,需要了解AMD64、ARM64的兼容实现,了解Linux内核在Android上的调整点。探索在Linux上编译Android可运行的eBPF程序路线。翻阅对比Openssl类库封装成BoringSSL的差异,熟悉ELF文件装载、加载过程,定位合适的挂钩函数,确定内存偏移量,才能动态适配多种OpenSSL、BoringSSL类库,支持这些类库的TLS/SSL密钥捕获以及明文捕获。
除了技术实现,在推广运营上,笔者画了很多架构图、原理图,甚至自学视频制作,录制使用方法,学习视频剪辑、录音等等。虽然学习是痛苦的,但笔者的艺术细胞倒是提升不少。
你看到的只是海面上的成功部分,而实际上需要我付出的,却是冰川下大量的研发工作。
尽管如此,开源的路上依旧少不了质疑的人。
去年在知乎上有一篇讨论eBPF的评论,里面有一些臆测,认为eCapture就是一个木马后门,认为在敲击键盘那一刻,偷偷记录按键行为就可以实现。
还有人认为,作者是中国人,关注的公司也是腾讯、阿里、字节、清华大学这种中国的公司,脑海中却是又蠢又坏的猜忌。
人生的路上,少不了质疑与漫骂。对此我表示哈哈一笑。稍作回答:eBPF技术是正经技术,作者也是正经人。
作为一个网络分析工具, eCapture的基本功能已经具备,在实际的分析场景中,希望能像tcpdump、Charles等工具一样,可以保留相同的参数习惯,以及结合这些工具一起使用。为此,笔者规划两项功能,以及增强社区运营,推动eCapture进入到部分Linux发行版的软件源上。
最初,项目是靠GitHub自己的推荐功能,吸引了很多关注者。之后为了让用户能快速上手,也写了很多文章,画各种原理图、架构图,制作各种使用的演示视频,这也特别花时间、精力。面向用户也是国内跟国外,语言是汉字与英语,所以还做了多语言的版本,对于英语渣的我来说,挑战也极大。
一路走来,感受颇多。项目传播速度,跟我精力的分配息息相关。从去年下半年起,笔者工作上特别忙,投入到这项目的时间逐渐减少。从热情澎湃时的每天晚上24点提交代码,到后来每周周末提交代码,甚至现在一个多月才提交几次代码。精力实在有限。
笔者期望,eCapture能为大家带来更大的帮助,期望大家也能一起参与进来。一个人走得很快,但一群人走得更远。
当然,也不排除,未来捐献给类似CNCF之类的开源组织。但也要在笔者的这个万星目标之后考虑。万星项目,冲冲冲。
为了方便新人上手,笔者曾录制过几篇视频,也整理过一些文章介绍,对eCapture不熟悉的同学可以读读。
eCapture旁观者:Android HTTPS明文抓包[9]
eCapture:无需CA证书抓https网络明文通讯(Linux)[10]
eCapture支持bogingssl TLS 1.3明文捕获
eCapture旁观者: https://github.com/gojue/ecapture
[2]eCapture: https://ecapture.cc/
[3]xmake-io/xmake: https://xmake.io/
[4]PcapNG File Format: https://pcapng.com/
[5]Packet flow in Netfilter and General Networking: https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg
[6]Decryption Secrets Block: https://github.com/IETF-OPSAWG-WG/draft-ietf-opsawg-pcap/pull/54
[7]google/gopacket PR # 1042: https://github.com/google/gopacket/pull/1042
[8]ABI: https://go.googlesource.com/go/+/refs/heads/dev.regabi/src/cmd/compile/internal-abi.md
[9]eCapture旁观者:Android HTTPS明文抓包: https://www.bilibili.com/video/BV1xP4y1Z7HB/
[10]eCapture:无需CA证书抓https网络明文通讯(Linux): https://www.bilibili.com/video/BV1si4y1Q74a/