BIG-IPでキャプチャ
[root@ltm-i2600-1:Active:Standalone] log # tcpdump -i 0.0 -s 0 -w 20201014-004.cap
ファイルが作成されます。
[root@ltm-i2600-1:Active:Standalone] log # pwd
/var/log
[root@ltm-i2600-1:Active:Standalone] log # ls *.cap
20201014-001.cap 20201014-002.cap 20201014-003.cap 20201014-004.cap 20201014-005.cap
sslo lab
名前が長すぎるとNG
[root@ltm-i2600-1:Active:Standalone] log # tcpdump -lnni ssloN_sslo_proxy_to_service.app/ssloN_sslo_proxy_to_service -Xs0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ssloN_sslo_proxy_to_service.app/ssloN_sslo_proxy_to_service, link-type EN10MB (Ethernet), capture size 65535 bytes
errbuf ERROR:Interface name too long to add /Common. Length (59) must be less than (57).
tcpdump: pcap_loop: Interface name too long to add /Common. Length (59) must be less than (57).
0 packets captured
0 packets received by filter
0 packets dropped by kernel
[root@ltm-i2600-1:Active:Standalone] log #
キャプチャファイルをPCに転送
Yumi.T@yumi logs % scp -P 25105 root@9.188.52.180:/var/log/20201014-004.cap ./
Password:
20201014-004.cap 100% 50KB 327.3KB/s 00:00
Wireshark
Wiresharkに秘密鍵を保存する
SSH通信を可視化するため、Wiresharkに秘密鍵を保存します。
このとき.pemファイルは保存できないので.keyファイルに変換する。
Yumi.T@yumi logs % openssl rsa -outform der -in sslo.pem -out sslo.key
Enter pass phrase for sslo.pem:
writing RSA key
参考
【scp】Linuxでリモート・ローカル間でファイルを転送するコマンド
SCPコマンドでローカルのファイルをサーバにアップ&サーバ上のファイルをDL
【解析】https(SSL/TLS)をwiresharkで復号化する方法(SSLKEYLOGFILE),ブラウザで見る方法