关于在 VPS 上运行 tcpdump 抓包 - V2EX

Home Sign Up Sign In

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

This topic created in 3163 days ago, the information mentioned may be changed or developed.

由于网站频受攻击，服务器日志也无法记录具体请求内容，遂计划用 tcpdump 抓包

Linux 有无可能实现类似 Windows 的『映射网络驱动器』功能？
即在 20GiB 硬盘的 VPS-A 抓包，将 dump 文件存储在 100GiB 硬盘的 VPS-B 上，而 VPS-B 上建立一个磁盘镜像，映射到 VPS-A 的 /dev/sdX，然后在 VPS-A 上挂载？

此外，网站使用了 SSL(Apache2+OpenSSL)，除了仅使用 RSA 加密套件，有无可能 dump 出每个回话的 Server_random 和 MasterKey 来解密 SSL 会话，就像 Chrome 设置一个环境变量后那样。

11 replies • 2017-10-07 17:07:21 +08:00

1

hcymk2

Sep 25, 2017

nfs sshfs 都可以

其实可以用 tshark.或者 scapy

2

ceyes

Sep 25, 2017

分开解决呗：
1. tcpdump 就只负责抓包，保存成 pcap
2. VPS-B 上配置 nfs （或者更底层的 ISCSI ），在 A 上 mount 即可
3. 对解密 SSL 不熟，但建议找相应的工具，然后把 pcap 丢给他去处理

3

mengzhuo

Sep 25, 2017

Wireshark 有私钥就可以解所有会话
不过我个人更喜欢直接 tcpdump 到管道,然后在自己的机器上分析.

4

a1044634486

Sep 25, 2017

@mengzhuo 大哥，怎么操作哇。tcpdump 到管道

5

mengzhuo

Sep 25, 2017 via iPhone

3

@a1044634486
这个方法也是别人教我的
https://mzh.io/如何使用 Wireshark 对远程服务器数据进行分析

6

hcymk2

Sep 25, 2017

用 tshark 把，这个是没有 GUI 的 Wireshark

7

julyclyde

Sep 26, 2017

wireshark 可以用 private key 解密 SSL 流量的
不过总的来说我感觉……你的实力不太够做这么江湖的网站

8

Les1ie

Sep 26, 2017 via iPhone

1. 做 nfs 挂载过去
2. wireshark 远程抓包
两种都行
另外抓的是 https, 不好分析，其实可以考虑修改网站源码加一个 waf, 请求来的时候把流量写日志，清洗，再进行正常逻辑流程（ ctf 菜鸡打 awd 抓 payload 的经验）

9

Hardrain

OP

Oct 7, 2017

@hcymk2 谢谢但是我只需要 dump 出的文件所以 tcpdump 是可以的

10

Hardrain

OP

Oct 7, 2017

@mengzhuo 感谢提供资料

11

Hardrain

OP

Oct 7, 2017

@mengzhuo 用私钥解密仅限于 TLS_RSA_*加密套件
不能在 DHE_*/ECDHE_*中使用

About · Help · Advertise · Blog · API · FAQ · Solana · 3592 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 40ms · UTC 00:05 · PVG 08:05 · LAX 17:05 · JFK 20:05
♥ Do have faith in what you're doing.