莿鸟栖草堂

eCapture v1.0.0 是一款功能强大、技术先进的网络工具，凭借其多协议支持、智能数据捕获、跨平台兼容性和高性能，成为开发者和安全研究人员的得力助手。通过三年的不断开发和优化，eCapture 在网络调试和安全分析领域树立了良好的口碑。

支持Docker镜像拉取，添加对 OpenSSL 3.4.0 的支持，支持 gnutls 的 keylog 和 pcap 模式，允许捕获 IPv6 数据包，拆分日志记录器；修复了多个系统和功能的关键错误，包括在 Ubuntu 24.04 上的初始化脚本问题和 arm64 版本的兼容性问题；更新了日志记录器，优化了构建过程，添加了新的工作流和文档更新。

去年报告过IP源地址伪造漏洞，到今天快过去一年了，到底是如何实现的？跟阿里的安全专家 pyn3rd 发现的是同一个漏洞吗？有人说简单的HTTP的Header追加伪造？有人说是修改返回包内容，本地欺骗？有人说这是装神弄鬼，炒冷饭？ 今天就来聊下吧。

很多时候，在开发软件时，都是在操作系统的安全范围内进行操作，我们不知道网络接口如何黑醋栗IP数据包，也不知道文件系统如何处理这些inode。本文用Golang语言以及eBPF技术，演示了对内核行为进行监控的实现，希望对你有帮助。

使用eBPF技术实现的软件，总会分不清CO-RE（一次编译，到处运行），在选择CORE、非CORE版本而烦恼吗？这下你不用纠结了，eCapture 0.8.0起，会自动选择CORE版本。不论内核是否支持CORE，eCapture都可以兼容。

eCapture v0.7.4版本发布支持Pcap Filter Syntax，你可以像tcpdump一样使用pcap filter表达式来过滤网络包。在tls或gotls模块中，当运行模式参数-m为pcap时，在命令行最后的参数中设定。

无CA证书捕获TLS明文软件eCapture v0.7.3版发布，性能提升10倍，千万次调用增加2秒，支持OpenSSL 3.2。附VX红包封面预告。

笔者在MacBook M2上搭建Linux虚拟机上开发eBPF程序时，遇到一些LSM eBPF类型程序无法运行的问题。 在笔者尝试定位这些差异时，看到这篇文章，可以让大家更直观地了解LSM eBPF在ARM64、AMD64 内核上的差异。

本文主要介绍了美团RASP在研发过程中遇到的问题和解决方案。首先介绍了RASP的痛点问题，包括业务场景复杂、升级变更难、对业务性能影响大和缺少监控等。对于RASP的升级问题，引入了插件热更新的技术，可以在不重启Java进程的情况下，即时地更新RASP的功能。

去年的这个时候，你在干什么，你还记得吗？半年前呢？上个月呢？恍惚之间，一年又过去了。那时的记忆还清晰吗？

这篇文章介绍了一种可以用于监控用户空间程序的 eBPF 程序。它首先向您介绍了 eBPF 和 uprobes，然后探讨了我们在 uprobes 中发现的缺陷，演示了绕过eBPF uprobe监控的方法。

今天，eCapture v0.6.5 版本发布，支持了两个功能：支持所有端口的网络包、支持Android 13和Android 14。

这篇文章提供了关于eBPF应用程序开发的指南。正如标题所示，文章主要关注eBPF 201的概念，而不是提供另一篇关于eBPF技术是什么的入门级文章。我们提供了简短的介绍，但主要关注需要部署生产eBPF应用程序的开发团队的下一组概念和最佳实践。我们将探讨使BPF应用程序可以在多个内核版本和环境中部署和维护的编程语言和工具链。

eCapture项目距上次新版发布也已经过去2-3个月了，在这期间，社区论坛里很多网友提了一些问题以及需求，等我来解决。这几个月博主工作特别忙，一直没时间更新eCapture。这个周末特地抽时间解决了社区中反应的一些bug、优化点等。至于新功能，主要的就是`流量转发`功能，这个功能还是比较复杂的。