Sto cercando aiuto nell'acquisizione del traffico di rete che posso analizzare in Wireshare (o altri strumenti). Lo strumento che sto usando è la malleria.
Se qualcuno ha familiarità con la mallory, potrei usare un po 'di aiuto. Ho configurato e funziona correttamente, ma non so come ottenere l'output che voglio.
L'installazione è sulla mia rete privata. Ho una VM (con Ubuntu 12.04 - preciso) con due NIC:
- eth0 è sulla mia "vera" rete
- eth1 è solo sulla mia rete "fasulla" e utilizza dnsmasq (per DNS e DHCP per altri dispositivi sulla rete "finta")
In pratica eth0 è la "WAN" sulla mia VM, e eth1 è la "LAN" sulla mia VM.
Ho installato mallory e iptables per intercettare, decodificare, crittografare e riscrivere tutto il traffico in arrivo sulla porta di destinazione 443 su eth1. Sul dispositivo che desidero intercettare, ho importato il numero approssimativo che la malleria ha generato come certificato radice affidabile.
Ho bisogno di analizzare alcuni strani comportamenti nel flusso HTTPS tra il client e il server, ecco perché la mallory è installata in mezzo per questo MITM.
Mi piacerebbe prendere il traffico HTTPS decrittografato e scaricarlo su un file di log o su un socket in un formato compatibile con tcpdump / wireshark (in modo da poterlo raccogliere in seguito e analizzarlo).
L'esecuzione di tcpdump su eth1 è troppo presto (è crittografata) e l'esecuzione di tcpdump su eth2 è troppo tardi (è stata re-crittografata). Esiste un modo per rendere mallice "tcpdump" il traffico decrittografato (in entrambe le direzioni)?