Обратите внимание, что я разместил этот вопрос на сайте StackExchange InfoSec, но он не так заполнен, как ServerFault, и это больше относится к технической стороне сетевого сбора для веб-сервисов.
Я начал думать о том, как подойти к анализу моего сетевого трафика для получения информации, касающейся использования SSL и браузера для моей фермы веб-серверов. Я также подозреваю, что в нашей сети работают несколько теневых (устаревших, неизвестных) веб-серверов, и я хотел бы также попытаться захватить подключения к ним.
В основном я ищу дешевое решение, которое может:
Я бы подключил сервер, предназначенный для сбора этой информации, в зеркальный порт на каждом коммутаторе под моим контролем.
Это поможет в следующих действиях:
Причина, по которой я спрашиваю, а не просто продолжаю экспериментировать с tcpdump и OpenDPI, - это проблемы с производительностью. Я не уверен, что может произойти, когда я зеркалирую гигабитный порт. Может оказаться трудным не просто захватить эту информацию (помните, мне не нужен дамп пакета, только информация о типе заголовка, и это могут быть свернутые записи, мне не нужно знать каждое соединение, только src / dst / уникальные протоколы), но чтобы определить, был ли захват неудачным. например как я узнаю, что 50% подключений игнорируются?
Скорее всего, я бы запустил это в течение недели, чтобы дать возможность создать профиль пользователя.
Если у кого-то есть предложения или рекомендации, я всем внимателен. Спасибо.
Я думаю, что инструмент, который может дать вам то, что вам нужно, - это p0f, в частности его разветвленная версия, которая также Отпечатки SSL. Исходный код можно найти Вот. p0f фиксирует каждое соединение, поступающее на машину, анализирует его заголовки TCP, HTTP и SSL / TLS (SSL / TLS доступен только в версии с отпечатками SSL) и выводит такие данные соединения, как:
Я не уверен, можно ли его настроить для нестандартных портов, но я думаю, что это тоже возможно. Это отличный инструмент, отвечающий на большинство ваших потребностей