Назад | Перейти на главную страницу

Предложения по захвату сетевых подключений / трафика для определения версий браузера / SSL?

Обратите внимание, что я разместил этот вопрос на сайте StackExchange InfoSec, но он не так заполнен, как ServerFault, и это больше относится к технической стороне сетевого сбора для веб-сервисов.

Я начал думать о том, как подойти к анализу моего сетевого трафика для получения информации, касающейся использования SSL и браузера для моей фермы веб-серверов. Я также подозреваю, что в нашей сети работают несколько теневых (устаревших, неизвестных) веб-серверов, и я хотел бы также попытаться захватить подключения к ним.

В основном я ищу дешевое решение, которое может:

Я бы подключил сервер, предназначенный для сбора этой информации, в зеркальный порт на каждом коммутаторе под моим контролем.

Это поможет в следующих действиях:

Причина, по которой я спрашиваю, а не просто продолжаю экспериментировать с tcpdump и OpenDPI, - это проблемы с производительностью. Я не уверен, что может произойти, когда я зеркалирую гигабитный порт. Может оказаться трудным не просто захватить эту информацию (помните, мне не нужен дамп пакета, только информация о типе заголовка, и это могут быть свернутые записи, мне не нужно знать каждое соединение, только src / dst / уникальные протоколы), но чтобы определить, был ли захват неудачным. например как я узнаю, что 50% подключений игнорируются?

Скорее всего, я бы запустил это в течение недели, чтобы дать возможность создать профиль пользователя.

Если у кого-то есть предложения или рекомендации, я всем внимателен. Спасибо.

Я думаю, что инструмент, который может дать вам то, что вам нужно, - это p0f, в частности его разветвленная версия, которая также Отпечатки SSL. Исходный код можно найти Вот. p0f фиксирует каждое соединение, поступающее на машину, анализирует его заголовки TCP, HTTP и SSL / TLS (SSL / TLS доступен только в версии с отпечатками SSL) и выводит такие данные соединения, как:

  • IP-адреса
  • MTU
  • Операционная система и версия ОС, используемые клиентом (по результатам анализа TCP-соединения)
  • Браузер и версия браузера (анализируется с помощью пользовательского агента HTTP или отпечатка SSL / TLS)

Я не уверен, можно ли его настроить для нестандартных портов, но я думаю, что это тоже возможно. Это отличный инструмент, отвечающий на большинство ваших потребностей