在位于我的本地网络和路由器之间的设备上,(所有流量都通过)我需要从 Hello Server Certificate 数据包中读取通用名称。
所以我试图弄清楚如何使用 tcpdump 获得正确的过滤器。
我从这篇论文中找到了帮助:http : //www.wains.be/pub/networking/tcpdump_advanced_filters.txt
它解释了如何在 IP 和 TCP 字段上使用高级过滤器。
我试过这种过滤器:
$ tcpdump -i any \
'tcp and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' \
-A -s 0 -v | grep 'Host\|id-at-commonName='
正如论文中所解释的,“我们正在匹配任何包含数据的数据包。”
它适用于Host许多其他数据的字段,但我无法匹配id-at-commonName=SSL 字段中的字段(所以在 TCP 数据字段中?)。
为了确保我使用完全相同的过滤器(没有 grep)捕获了一个 pcap 文件,当我用 Wireshark 打开它时,我可以获得每个证书通用名称。我必须使用tcpdump过滤器,因为我需要“即时”获取数据。
有人可以解释为什么我看不到这些数据tcpdump吗?