如何用wireshark分析通过ssh tunnel的https数据

最新推荐文章于 2024-08-02 14:30:00 发布
最新推荐文章于 2024-08-02 14:30:00 发布
阅读量3.6k 收藏 1
点赞数
文章标签: tcpdump wireshark ssh tunnel loopback 127.0.0.1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eapid/article/details/80229567
版权

有时候,因为网络隔离的原因,我们无法直接访问web站点,而需要通过如ssh tunnel的方式去访问。

例如在Linux下可以直接在终端运行

ssh -L 9043:localhost:9043 username@remotehost

在windows下则可以在putty中设置ssl tunnels,此时我们可以看到本机127.0.0.1上有端口监听。


我们可以在浏览器中直接通过 https://localhost 访问到 https://remotehost的内容。

但是这个时候如果你需要用wireshark去抓取网络数据作分析,你会发现你抓到的是22端口的SSH数据,而不是443端口的HTTPS数据,因而无法分析web站点的HTTP连接问题。


那要怎样才能抓到HTTP协议的数据呢?其实我们在浏览器访问的是localhost,所以需要抓的是loopback(127.0.0.1)这个网卡的数据,而不是系统默认网卡。在Linux下是eth0,在windows下是Local Area Connection。

这时候又碰到另一个问题了,wireshark在windows下抓不了127.0.0.1的包,怎么办?可以参考wireshark官网的这个介绍

https://wiki.wireshark.org/CaptureSetup/Loopback

这篇文章介绍了多种方法,简单起见,我选择了RawCap。详细介绍可以参考点击打开链接,下载页面在此

RawCap使用很简单,下载后无需安装,直接用administrator运行cmd然后切换到RawCap所在目录,直接运行RawCap即可。

如下,直接运行RawCap.exe,选择Lookback接口,输入输出文件名。


此处有个小插曲,我运行RawCap之后访问https://localhost,但是发现抓不到任何数据包,只有通过https://127.0.0.1访问时才能正常抓取数据包,具体为何我也没有深究。

在Linux下则很简单,可以直接用tcpdump抓取loopback的数据包。"-i lo"表示loopback接口。

tcpdump -i lo -w tcpdump.pcap

抓取到的数据保存到文件,然后就可以用wireshark打开分析了,如图


eapid
关注
内网穿透从搭建到溯源(内网隧道搭建、绕过、隧道流量分析、日志分析、隧道防护)
墨痕诉清风的博客
02-24 4211
背景 在攻防博弈这个永久的话题中,永远不会缺少一个重要角色即内网穿透。当渗透测试人员在进入内网,需要扩大战果的时候,往往会遇到内网的一些防护策略,不外乎边界设备、防火墙及入侵检测设备对端口或者数据包的拦截,导致流量无法出网,此时就需要熟练掌握内网穿透技术,从复杂的内网环境中获取稳定的流量交互,从而达到目的。 本文针对边界安全设备等对内网端口的屏蔽及数据包的拦截,从不同的网络协议层进行搭建隧道进行绕过,并对不同类型的隧道流量或者日志进行分析,帮助攻击或防守人员从溯源的维度更好的掌握内网穿透技术。 .
wireshark流量分析的四个案例
vt_yjx的博客
08-26 3293
筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method == POST。前面已经知道黑客的Ip了,直接筛选(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http。根据1得到内网主机Ip,直接筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http。
ssh-https-tunnel
04-22
使用此文件配置ssh代理,配置git通过proxy访问github
Wireshark教程:解密HTTPS流量
最新发布
Palpitate_LL的博客
08-02 2926
本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大多数网站使用安全超文本传输​协议(HTTPS)协议。和网站一样,各种类型的恶意软件也使用HTTPS。在检查恶意软件活动中的PCAP时,了解感染后流量中包含的内容非常重要。该Wireshark教程讲解如何使用https日志文件从Wireshark中的pcap解密HTTPS流量。该日志包含https加密密钥数据
SSHSSH流程与wireshark抓包分析
m0_55368674的博客
12-17 3874
SSH流程与Wireshark抓包分析
SSH Tunnel隧道详解
niaooer的博客
01-19 7621
SSH Tunnel隧道详解ssh tunnel分为三种本地 -L远程 -R动态 -D 参考:https://blog.csdn.net/chenjh213/article/details/49795521 ssh tunnel分为三种 本地 -L HostA利用ssh tunnel,通过HostB,将HostB或HostC的服务,监听在HostA本地 适用于:HostA只能连墙内,HostB的ssh服务的情况 Specifies that connections to the given TCP por
SSH tunnel 隧道技术
wang的博客
04-28 1299
常用的隧道技术有三种: 本地(L), 远程(R)和动态端口转发(D) 本文的例子是: 客户服务器A内网,部署了Apollo 并且有可视化界面 客户服务器B:一台跳板机 可以连通服务器A 并且带有公网IP 本地服务器C:一台内网主机 三台均为linux主机 需求:在本地浏览器上面可以打开客户服务器A的Apollo可视化界面。 首先1.服务器A上面部署的Apollo对外端口是8077 在服务器C上执行: ssh -f -N -L 0.0.0.0:8077:服务器A地址:8077 用户名@服务器B的ip地址
wireshark利用sshdump自身组件进行远程实时抓包过滤
一把菜刀行江湖
01-27 1666
wireshark自身支持远程抓包,但默认上并不安装此组件,有远程抓包需求的同学,可以通过安装过程将此组件安装进去,就可以支持远程在线、实时抓包和过滤
聚类分析-kddcup99数据
weixin_30840253的博客
07-23 2183
“KDDCUP99dataset”就是KDD竞赛在1999年举行时采用的数据集。http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html 1998年美国国防部高级规划署(DARPA)在MIT林肯实验室进行了一项入侵检测评估项目。林肯实验室建立了模拟美国空军局域网的一个网络环境,收集了9周时间的 TCPdump(*) 网络连接和...
MySQL端口号安全最佳实践:保护数据库免受攻击,保障数据安全,提升数据库安全
[MySQL端口号安全最佳实践:保护数据库免受攻击,保障数据安全,提升数据库安全](https://s.secrss.com/anquanneican/8938c362e10fd5b7f8e2e068ef642355.jpg) # 1. MySQL端口安全的重要性** MySQL端口是数据库...
ecw2c理解元数据:使用BigQuery k-means将4,000个堆栈溢出标签聚类
热门推荐
cunehu1722的博客
07-24 6万+
您如何将超过4,000个活动的Stack Overflow标签分组为有意义的组? 对于无监督学习和k均值聚类来说,这是一项完美的任务-现在您可以在BigQuery中完成所有这些工作。 让我们找出方法。 Visualizing a universe of clustered tags. Felipe Hoffais a Developer Advocate fo...
SSH交互报文捕获
03-07
在PuTTY客户端抓包结果
io性能 free ps 查看网络状态 linux抓包 linux网络相关
Linux从入门到弃坑
09-24 812
监控io性能 iostat -x 磁盘使用 iostat 依赖的软件包是sysstat 和sar命令一样,在安装好sysstat之后,iostat也一样安装上了。%util是一个很重要的指标,如果io读写不打,%util很大,说明磁盘io严重不足。 iotop 查看那个进程占用io比较高 iotop命令是系统本身所没有,所以我们需要去安装iotop软件包,iotop命令和top命令相识,也是动...
wireshark关于lua插件的定位
yangrendong的专栏
04-09 1517
最近项目开发需要,数据转发组同事写了一个lua插件,来解析mac in mac的内部协议上送的报文,在老的wireshark中使用是没有问题的,但是在新的wireshark版本中,解析到内层mac时就挂,看了下lua脚本,定位出是二层mac解析出错,下载了最新wireshark版本的源代码,对比了源代码中的lua插件的接口api,发现外层mac解析时是需要进行Ethernet的fc...
超文本传输协议HTTP
weixin_30678349的博客
02-26 141
超文本传输协议(英语:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议[1]。HTTP是万维网的数据通信的基础。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符(Uniform Resource Identifiers,URI)来标识。 协议概...
IPsec加密报文的wireshark查看方法
04-19 1万+
IPsec加密报文的wireshark查看方法一、抓取并打开ipsec报文二、获取esp配置三、wireshark上配置esp1. "Encapsulating Security Payload"右键-->"协议首选项"-->"ESP SAs ..."2. ESP SAs界面操作3. 解密后的报文 IPsec 封装安全负载(IPsec ESP)报文,因为是加密封装报文,wireshark打开后无法查看封装内容。 有时候我们需要查看封装的报文内容,以定位一些问题。wireshark支持对ESP的
信息安全—利用Wireshark抓取SSH认证协议数据
qq_44725217的博客
05-30 8888
请利用Wireshark抓取SSH认证协议数据
Wireshark抓包入门到精通实战教程
03-06
学习利用抓包神器Wireshark分析网络故障,了解网络协议原理,注重实战分析案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值