V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Hardrain
V2EX  ›  Linux

关于在 VPS 上运行 tcpdump 抓包

  •  
  •   Hardrain · 2017-09-25 17:15:11 +08:00 · 4425 次点击
    这是一个创建于 2621 天前的主题,其中的信息可能已经有所发展或是发生改变。
    由于网站频受攻击,服务器日志也无法记录具体请求内容,遂计划用 tcpdump 抓包

    Linux 有无可能实现类似 Windows 的『映射网络驱动器』功能?
    即在 20GiB 硬盘的 VPS-A 抓包,将 dump 文件存储在 100GiB 硬盘的 VPS-B 上,而 VPS-B 上建立一个磁盘镜像,映射到 VPS-A 的 /dev/sdX,然后在 VPS-A 上挂载?

    此外,网站使用了 SSL(Apache2+OpenSSL),除了仅使用 RSA 加密套件,有无可能 dump 出每个回话的 Server_random 和 MasterKey 来解密 SSL 会话,就像 Chrome 设置一个环境变量后那样。
    11 条回复    2017-10-07 17:07:21 +08:00
    hcymk2
        1
    hcymk2  
       2017-09-25 17:33:15 +08:00
    nfs sshfs 都可以

    其实可以用 tshark.或者 scapy
    ceyes
        2
    ceyes  
       2017-09-25 17:35:50 +08:00
    分开解决呗:
    1. tcpdump 就只负责抓包,保存成 pcap
    2. VPS-B 上配置 nfs (或者更底层的 ISCSI ),在 A 上 mount 即可
    3. 对解密 SSL 不熟,但建议找相应的工具,然后把 pcap 丢给他去处理
    mengzhuo
        3
    mengzhuo  
       2017-09-25 17:46:40 +08:00
    Wireshark 有私钥就可以解所有会话
    不过我个人更喜欢直接 tcpdump 到管道,然后在自己的机器上分析.
    a1044634486
        4
    a1044634486  
       2017-09-25 18:53:35 +08:00
    @mengzhuo 大哥,怎么操作哇。tcpdump 到管道
    mengzhuo
        5
    mengzhuo  
       2017-09-25 20:09:50 +08:00 via iPhone   ❤️ 3
    @a1044634486
    这个方法也是别人教我的
    https://mzh.io/如何使用 Wireshark 对远程服务器数据进行分析
    hcymk2
        6
    hcymk2  
       2017-09-25 20:24:13 +08:00
    用 tshark 把,这个是没有 GUI 的 Wireshark
    julyclyde
        7
    julyclyde  
       2017-09-26 08:14:04 +08:00
    wireshark 可以用 private key 解密 SSL 流量的
    不过总的来说我感觉……你的实力不太够做这么江湖的网站
    Les1ie
        8
    Les1ie  
       2017-09-26 09:11:05 +08:00 via iPhone
    1. 做 nfs 挂载过去
    2. wireshark 远程抓包
    两种都行
    另外抓的是 https, 不好分析,其实可以考虑修改网站源码加一个 waf, 请求来的时候把流量写日志,清洗,再进行正常逻辑流程( ctf 菜鸡打 awd 抓 payload 的经验)
    Hardrain
        9
    Hardrain  
    OP
       2017-10-07 17:06:01 +08:00
    @hcymk2 谢谢 但是我只需要 dump 出的文件 所以 tcpdump 是可以的
    Hardrain
        10
    Hardrain  
    OP
       2017-10-07 17:06:35 +08:00
    @mengzhuo 感谢提供资料
    Hardrain
        11
    Hardrain  
    OP
       2017-10-07 17:07:21 +08:00
    @mengzhuo 用私钥解密仅限于 TLS_RSA_*加密套件
    不能在 DHE_*/ECDHE_*中使用
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3151 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:40 · PVG 21:40 · LAX 05:40 · JFK 08:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.