BIG-IP キャプチャ

BIG-IPでキャプチャ

[root@ltm-i2600-1:Active:Standalone] log # tcpdump -i 0.0 -s 0 -w 20201014-004.cap

ファイルが作成されます。

[root@ltm-i2600-1:Active:Standalone] log # pwd
/var/log
[root@ltm-i2600-1:Active:Standalone] log # ls *.cap
20201014-001.cap  20201014-002.cap  20201014-003.cap  20201014-004.cap  20201014-005.cap

sslo lab

名前が長すぎるとNG

[root@ltm-i2600-1:Active:Standalone] log # tcpdump -lnni ssloN_sslo_proxy_to_service.app/ssloN_sslo_proxy_to_service -Xs0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ssloN_sslo_proxy_to_service.app/ssloN_sslo_proxy_to_service, link-type EN10MB (Ethernet), capture size 65535 bytes
 errbuf ERROR:Interface name too long to add /Common. Length (59) must be less than (57).
tcpdump: pcap_loop: Interface name too long to add /Common. Length (59) must be less than (57).
0 packets captured
0 packets received by filter
0 packets dropped by kernel
[root@ltm-i2600-1:Active:Standalone] log #

キャプチャファイルをPCに転送

Yumi.T@yumi logs % scp -P 25105 root@9.188.52.180:/var/log/20201014-004.cap  ./
Password:
20201014-004.cap                                                                                                                                   100%   50KB 327.3KB/s   00:00

Wireshark

Wiresharkに秘密鍵を保存する

SSH通信を可視化するため、Wiresharkに秘密鍵を保存します。
このとき.pemファイルは保存できないので.keyファイルに変換する。

Yumi.T@yumi logs % openssl rsa -outform der -in sslo.pem -out sslo.key
Enter pass phrase for sslo.pem:
writing RSA key

参考

BIG-IPでtcpdumpを使用する際のTips

Linux～Windows間でファイル転送する方法

【scp】Linuxでリモート・ローカル間でファイルを転送するコマンド

SCPコマンドでローカルのファイルをサーバにアップ＆サーバ上のファイルをDL

.pemを.keyに変換するには?

【解析】https(SSL/TLS)をwiresharkで復号化する方法(SSLKEYLOGFILE),ブラウザで見る方法