tcpdump pour filtrer les paquets ssl

J'ai besoin de filtrer tous les paquets SSL à l'aide de tcpdump. Je sais que seul le premier paquet peut être reconnue comme ssl. Est-il possible de match contre le premier paquet, puis filtrer le reste du flux SSL?

Si vous souhaitez associer uniquement le premier paquet, ou basé sur le premier paquet que vous voulez capturer tous les autres?
non, je veux filtrer les paquets SSL
Ne pouvez-vous pas le faire en utilisant le numéro de port https?
Wireshark est un superbe "suivre le courant" bouton qui permettra de rendre visible un flux lorsque vous cliquez sur l'un des paquets dans le flux, mais je pense que c'est tous ce traitement off-line.
yep, c'est un super wireshark fonctionnalité mais j'ai besoin de le faire à partir de tcpdump. en d'autres termes, j'ai besoin de cette information par programmation.

OriginalL'auteur Pass | 2011-11-22

  1. 2

    Vous pouvez filtrer un flux tcp dans tcpdump trop, ce site explique comment utiliser tcpdump de cette façon, j'espère que cela aide: tcpdump.org/tcpdump_man.html

    Vous devrez ruser un peu, mais il devrait fonctionner.

    Aussi, il y a un SSL_DUMP utilitaire

    OriginalL'auteur Stellarator

  2. 0

    Oui, vous le pouvez. Vous pouvez suivre les commandes ci-dessous pour filtrer le premier paquet de SSL trafic,

    Méthode 1

    [root@arif]# tcpdump -i eth0 src host 192.168.0.2 and dst host 40.113.200.201 and dst port 443 -c 1

    Où,

    • -i : est parler de l'interface
    • src host : est l'adresse ip de votre localhost
    • dst host : est l'adresse ip de votre hôte de destination
    • dst port : la destination est le port où le SSL service est servi. Vous pouvez modifier la valeur par défaut (443) port en fonction de votre configuration.
    • -c : permet de quitter le tcpdump après la réception de compter les paquets.

    -c drapeau est le principal composant de votre filtrage que ce drapeau indique tcpdump de quitter le paquet spécifique comte. Ici, j'ai utilisé 1 à la sortie tcpdump après la capture d'une seule (la première) de paquets.

    Méthode 2

    La solution ci-dessus ne fonctionnera que si vous initier tcpdump à chaque fois. Si vous souhaitez filtrer le seul premier paquet de chaque SSL flux puis suivre la commande ci-dessous,

    [root@arif]# tcpdump -li eth0 src host 192.168.0.2 and dst host 40.113.200.201 and port 443 and tcp[13] == 2

    Où,

    • l : "Faire stdout ligne de mise en mémoire tampon. Utile si vous souhaitez voir les données lors de la capture." Cela vous aidera à grep/tee/awk la sortie.

    • src host dst host : Vous pouvez ignorer ces filtrage si vous ne souhaitez pas spécifier ip source et de destination.

    • tcp[13] == 2 Dans TCP en-tête octate pas. 13 est le octate utilisé pour le réglage de drapeaux. Pour définir SYN peu 0 0 0 0 0 0 1 0 combinaison est utilisée (voir le diagramme ci-dessous) qui est décimal 2. Donc, cela vous aidera à filtrer uniquement les SYN paquets qui est le premier paquet d'une SSL flux.

     |C|E|U|A|P|R|S|F|
 |---------------|
 |0 0 0 0 0 0 1 0|
 |---------------|

    Donc la configuration ci-dessus devrait fonctionner pour la plupart des scenerio.

    OriginalL'auteur muhammad