eCapture支持流量转发的进展同步
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
eCapture项目发布新版,修复了多个bug,增加异常提示,移除了参数路径指定,恢复目标IP功能。新功能流量转发复杂,需后续更新。eCapture通过eBPF和uprobe hook捕获数据包,但关联IP信息存在难点,需进一步研究解决方案。
🎯
关键要点
- eCapture项目发布新版,修复多个bug,增加异常提示,移除参数路径指定,恢复目标IP功能。
- 新功能流量转发复杂,需后续更新。
- 流量转发功能有多种使用场景,包括测试、渗透、研发和运维。
- eCapture通过TC和uprobe eBPF捕获数据包,但关联IP信息存在难点。
- SSL结构体中不存储IP信息,需通过其他方式获取。
- 当前实现依赖于hook connect函数来获取FD和addr信息。
- SSL_write函数可能导致无法获取目标IP信息,影响数据包转发。
- 未来可能需要探索其他hook函数的方式来解决问题。
➡️
