ecapture v0.7.4发布,支持Pcap FIlter包过滤语法
💡
原文中文,约2800字,阅读约需7分钟。
📝
内容提要
eCapture v0.7.4发布,新增对Pcap Filter包过滤语法的支持,允许用户使用类似tcpdump的表达式过滤网络包。该工具可在Linux和Android上运行,无需CA证书,适用于HTTPS/TLS明文抓包。文中还提供了使用指令的图解和技术原理说明。
🎯
关键要点
- eCapture v0.7.4版本发布,新增对Pcap Filter包过滤语法的支持。
- 用户可以使用类似tcpdump的表达式过滤网络包。
- 该工具可在Linux 4.18以上版本和Android arm64 5.5以上版本上运行,无需CA证书。
- 在运行模式参数为pcap时,支持pcap filter表达式。
- 提供了eCapture的使用指令图解,帮助用户更好地理解工具的功能。
- 该功能由Leon Hwang贡献,使用cbpf字节码和ebpf字节码实现表达式过滤。
❓
延伸问答
eCapture v0.7.4的新特性是什么?
eCapture v0.7.4新增对Pcap Filter包过滤语法的支持,允许用户使用类似tcpdump的表达式过滤网络包。
eCapture可以在哪些平台上运行?
eCapture可以在Linux 4.18以上版本和Android arm64 5.5以上版本上运行。
如何使用eCapture进行网络包过滤?
用户可以在命令行中使用类似tcpdump的pcap filter表达式,例如:sudo bin/ecapture tls -m pcap -i ens160 -w a.pcapng host 1.1.1.1 or src port 443。
eCapture是否需要CA证书?
eCapture无需CA证书即可进行HTTPS/TLS明文抓包。
eCapture的包过滤功能是如何实现的?
该功能由Leon Hwang贡献,使用cbpf字节码和ebpf字节码实现表达式过滤,内核加载全部eBPF字节码以实现过滤。
在Android上使用eCapture时可能遇到什么问题?
在个别Android的发行版上,pcap filter过滤语法可能没有效果,未来会修复。
➡️
