这是一个创建于 2614 天前的主题,其中的信息可能已经有所发展或是发生改变。
由于网站频受攻击,服务器日志也无法记录具体请求内容,遂计划用 tcpdump 抓包
Linux 有无可能实现类似 Windows 的『映射网络驱动器』功能?
即在 20GiB 硬盘的 VPS-A 抓包,将 dump 文件存储在 100GiB 硬盘的 VPS-B 上,而 VPS-B 上建立一个磁盘镜像,映射到 VPS-A 的 /dev/sdX,然后在 VPS-A 上挂载?
此外,网站使用了 SSL(Apache2+OpenSSL),除了仅使用 RSA 加密套件,有无可能 dump 出每个回话的 Server_random 和 MasterKey 来解密 SSL 会话,就像 Chrome 设置一个环境变量后那样。
Linux 有无可能实现类似 Windows 的『映射网络驱动器』功能?
即在 20GiB 硬盘的 VPS-A 抓包,将 dump 文件存储在 100GiB 硬盘的 VPS-B 上,而 VPS-B 上建立一个磁盘镜像,映射到 VPS-A 的 /dev/sdX,然后在 VPS-A 上挂载?
此外,网站使用了 SSL(Apache2+OpenSSL),除了仅使用 RSA 加密套件,有无可能 dump 出每个回话的 Server_random 和 MasterKey 来解密 SSL 会话,就像 Chrome 设置一个环境变量后那样。
 |
1
hcymk2 2017-09-25 17:33:15 +08:00
nfs sshfs 都可以
其实可以用 tshark.或者 scapy |
 |
2
ceyes 2017-09-25 17:35:50 +08:00
分开解决呗:
1. tcpdump 就只负责抓包,保存成 pcap 2. VPS-B 上配置 nfs (或者更底层的 ISCSI ),在 A 上 mount 即可 3. 对解密 SSL 不熟,但建议找相应的工具,然后把 pcap 丢给他去处理 |
 |
3
mengzhuo 2017-09-25 17:46:40 +08:00
Wireshark 有私钥就可以解所有会话
不过我个人更喜欢直接 tcpdump 到管道,然后在自己的机器上分析. |
 |
4
a1044634486 2017-09-25 18:53:35 +08:00
@mengzhuo 大哥,怎么操作哇。tcpdump 到管道
|
|
5
mengzhuo 2017-09-25 20:09:50 +08:00 via iPhone  3
|
|
6
hcymk2 2017-09-25 20:24:13 +08:00
用 tshark 把,这个是没有 GUI 的 Wireshark
|
 |
7
julyclyde 2017-09-26 08:14:04 +08:00
wireshark 可以用 private key 解密 SSL 流量的
不过总的来说我感觉……你的实力不太够做这么江湖的网站 |
 |
8
Les1ie 2017-09-26 09:11:05 +08:00 via iPhone
1. 做 nfs 挂载过去
2. wireshark 远程抓包 两种都行 另外抓的是 https, 不好分析,其实可以考虑修改网站源码加一个 waf, 请求来的时候把流量写日志,清洗,再进行正常逻辑流程( ctf 菜鸡打 awd 抓 payload 的经验) |
Select Language