如果有人能指点我从实时 HTTPS 连接(直接从网络)或网络跟踪文件(pcap 文件)中提取 SSL/TLS 证书的工具或方法,我将不胜感激。我尝试使用 ssldump,但无法提取证书。我也可以使用 Wireshark(手动),但我想以自动方式执行此操作。为此,我正在使用 Linux 平台。谢谢
编辑:我想提取 SSL 证书,而不是在 SSL 握手期间服务器发送到客户端(浏览器)。我想使用网络嗅探器 (tcpdump) 来捕获网络中的 SSL 连接,然后从生成的 pcap 文件中提取证书(或实时进行)。
有谁知道我如何能够在 tshark 中过滤要求 ANY 记录的 DNS 请求?
到目前为止,我可以通过以下方式过滤 DNS 查询:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0"
我还可以按 ANY 过滤吗?
在使用 tcpdump 捕获流量时如何查看流量。
当我使用 -w 时,它不会在捕获过程中显示数据包。
sudo tcpdump -i enp2s0 -w test.pcap
tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C6 packets captured
7 packets received by filter
0 packets dropped by kernel
我广泛使用wireshark和microsoft network monitor,但我很好奇是否有其他好的(希望是免费/开源的)软件包来分析TCP/IP流量?
我对网络问题的取证用途和分析特别感兴趣。
我在 tshark 中使用这个命令:
tshark -r pcapfile "tcp and ip.src==192.168.1.1" -T text -V -x | grep 'Total Length'
这本质上仅解析来自源 ip 的连接的 pcap,并查找每个数据包的总长度(以字节为单位)。我得到这样的输出:
Total Length: 125
Total Length: 210
Total Length: 40
Total Length: 125
> etc, etc....
我需要做的是从 Total Length 中获取数字并将它们相加,以便我可以了解在 pcap 的时间范围内从单个 IP 通过线路传递了多少数据。
有没有我可以在我用来执行此操作的命令的末尾添加的命令?或者有没有一种方法可以直接到标准输出,然后将其通过管道传输到可以解析和计算我所追求的程序?任何人都知道可以执行此操作的带有 tcpdump 的类似命令?
是否可以根据简单的标准将 PCAPS 拆分为多个文件
Origional.pcap {split on port 80} 生成以下 2 个文件
或者创建多个符合我的条件的不同 tcpdumps 会更容易吗
谢谢