הקלטת תעבורת HTTP עם tcpdump

nigun

אני מנסה לדבג חיבור בין frieswitch לs3
ראיתי בגיטהאב שמישהו עם בעיה דומה דיבג עם tcpdump
אבל הוא לא כתב מה הפקודה שהפיקה לו את הלוג הזה.
ולא הצלחתי למצוא משהו כזה ברשת.

yossiz

@nigun
tcpdump פחות טוב לזה כי הוא לא מציג לך את התוכן של זרם TCP לבד בלי כל המעטפת. יותר קל לעשות את זה עם tcpflow, דוגמה:

sudo apt install tcpflow
sudo tcpflow -c port 8081

זה ידפיס את תעבורת ה-HTTP בפורט 8081

עיין: https://serverfault.com/questions/206734

nigun

@yossiz
אני צריך תעבורה יוצאת
כך שאי אפשר לדעת את הפורט מראש (ואני לא מעוניין לקבל את כל תעבורה הSSH וכו')

מה שעשיתי בסוף שמרתי את הלוג, והורדתי למחשב ופתחתי עם wireshark
זה היה קצת מסורבל כי אין לי שרת HTTP על המכונה הזאת, אז הייתי צריך להעלות לS3 ולהוריד.

yossiz

@nigun אמר בהקלטת תעבורת HTTP עם tcpdump:

אני צריך תעבורה יוצאת
כך שאי אפשר לדעת את הפורט מראש

לכאורה אפשר לסנן לפי IP יעד

aaron

@nigun אמר בהקלטת תעבורת HTTP עם tcpdump:

זה היה קצת מסורבל כי אין לי שרת HTTP על המכונה הזאת, אז הייתי צריך להעלות לS3 ולהוריד.

SSH גם אין לך?
scp עושה את העבודה (אם כי כבר לא ממליצים להשתמש בו בגלל בעיות אבטחה)

yossiz

@aaron אמר בהקלטת תעבורת HTTP עם tcpdump:

בעיות אבטחה

https://unix.stackexchange.com/a/571549

aaron

@yossiz אמר בהקלטת תעבורת HTTP עם tcpdump:

@aaron אמר בהקלטת תעבורת HTTP עם tcpdump:

בעיות אבטחה

https://unix.stackexchange.com/a/571549

אכן, אני גם עדיין משתמש בו.
התלבטתי אם להתחיל לפרט במיוחד שאני לא בטוח שאני יודע את כל המידע ואני עלול להטעות..

nigun

@aaron אמר בהקלטת תעבורת HTTP עם tcpdump:

SSH גם אין לך?

באופן כללי אני לא פותח את הSSH בכל שרת
אלא יש לי שרת קטן שדרכו אני נכנס לכל שאר השרתים
יותר מאובטח (לא צריך לפתוח את הSSH לכל העולם), וגם חוסך לי פתיחות בנטפרי.

nigun

@yossiz אמר בהקלטת תעבורת HTTP עם tcpdump:

@nigun אמר בהקלטת תעבורת HTTP עם tcpdump:

אני צריך תעבורה יוצאת
כך שאי אפשר לדעת את הפורט מראש

לכאורה אפשר לסנן לפי IP יעד

ניסיתי לעשות סינון על פי כתובת מקור, ושיציג רק HTTP, וזה לא עבד.
כשהורדתי למחשב התברר שהבקשות היו מעל IPV6.

nigun

@yossiz אמר בהקלטת תעבורת HTTP עם tcpdump:

@nigun
tcpdump פחות טוב לזה כי הוא לא מציג לך את התוכן של זרם TCP לבד בלי כל המעטפת. יותר קל לעשות את זה עם tcpflow, דוגמה:

sudo apt install tcpflow
sudo tcpflow -c port 8081

זה ידפיס את תעבורת ה-HTTP בפורט 8081

עיין: https://serverfault.com/questions/206734

זה נראה שtcpflow לא תומך IPV6
השתמשתי בסוף בngrep
עם הפקודה:

ngrep -l -q -d eth0 -i "HTTP"

הפקודה הזאת הביא לי כל הודעות TCP שמכילות את המילה HTTP
ואז קלטתי שאני מבצע קריאות מעל HTTPS, ואז אני רואה רק ג'יברש
שיניתי את הקריאות לHTTP והכל בא על מקומות בשלום.

אבל מה עושים במקרים שצריך לדבג HTTPS?
ראיתי מדריכים שמדגימים איך להוסיף תעודה לtcpdump
האם זה התעודה של השרת?
מה עושים כשמודבר בשרת שלא בשליטתי?

yossiz

@nigun אמר בהקלטת תעבורת HTTP עם tcpdump:

מה עושים כשמודבר בשרת שלא בשליטתי?

צד הלקוח תמיד בשליטתך. בכמה ספריות יש משתנה סביבה בשם SSLKEYLOGFILE שמורה לספרייה איפה לשמור בקובץ את הפרמטרים הסודיים שנצרכים כדי לפענח את ההצפנה.