Как с помощью tshark получить дамп подтверждения SSL в удобочитаемом формате? Мне нужно предоставить это поставщику для устранения проблемы с ошибкой установления связи SSL.
Это нужно делать в tshark, а не в wirehark, поскольку это делается на удаленном сервере без графического интерфейса.
Предполагая, что вы уже знаете, как использовать фильтры с tshark, просто укажите следующий фильтр отображения:
ssl.handshake.type == 1
Если вам нужен весь ssl-трафик, просто укажите ssl как фильтр.
Вы не можете использовать их непосредственно в фильтрах захвата, поскольку механизм фильтрации захвата не знает, является ли полезная нагрузка ssl или нет.
В качестве альтернативы, если вы знаете, через какой порт проходит ssl-трафик, вы можете использовать фильтр захвата для этого порта, например, если ssl-трафик идет на порт 443, используйте фильтр port 443
Для получения дополнительной информации см .:
Пример команды для захвата трафика ssl в удобочитаемом формате и помещения его в файл будет:
tshark -i <interface> -c <no. of packets to capture> -V -R "ssl" > capturefile.txt
Или с помощью фильтров захвата
tshark -i <interface> -c <no. of packets to capture> -V -f "port 443" > capturefile.txt
Также обратитесь к страница руководства tshark Больше подробностей.
Как это.
tshark -nn -i <interface> -s 0 -w mycapture.pcap <hostname> and port <portnumber>
Заменить <interface> с именем интерфейса для захвата (например, eth0). Заменить <hostname> с именем или IP-адресом удаленного хоста, для которого вы хотите захватывать пакеты. Заменить <portnumber> с портом, на котором работает служба (возможно 443).
Вы также можете использовать tcpdump вместо. И Wireshark, и tcpdump используйте libpcap для захвата, так что вы получите точно такую же информацию. Вы также можете скопировать полученный файл и открыть его в Wireshark на другом компьютере.
Флаги командной строки для tcpdump и tshark достаточно близки, чтобы в большинстве случаев их можно было использовать как взаимозаменяемые.