如何用wireshark分析通过ssh tunnel的https数据

最新推荐文章于 2025-07-15 00:14:34 发布
最新推荐文章于 2025-07-15 00:14:34 发布
阅读量5.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: tcpdump wireshark ssh tunnel loopback 127.0.0.1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/eapid/article/details/80229567
本文介绍如何使用Wireshark抓取通过sshtunnel访问的web站点数据,并解决了在Windows环境下抓取127.0.0.1网络数据的问题。文中详细解释了如何配置RawCap和Linux下的tcpdump来实现对loopback接口数据的捕获。

有时候,因为网络隔离的原因,我们无法直接访问web站点,而需要通过如ssh tunnel的方式去访问。

例如在Linux下可以直接在终端运行

ssh -L 9043:localhost:9043 username@remotehost

在windows下则可以在putty中设置ssl tunnels,此时我们可以看到本机127.0.0.1上有端口监听。


我们可以在浏览器中直接通过 https://localhost 访问到 https://remotehost的内容。

但是这个时候如果你需要用wireshark去抓取网络数据作分析,你会发现你抓到的是22端口的SSH数据,而不是443端口的HTTPS数据,因而无法分析web站点的HTTP连接问题。


那要怎样才能抓到HTTP协议的数据呢?其实我们在浏览器访问的是localhost,所以需要抓的是loopback(127.0.0.1)这个网卡的数据,而不是系统默认网卡。在Linux下是eth0,在windows下是Local Area Connection。

这时候又碰到另一个问题了,wireshark在windows下抓不了127.0.0.1的包,怎么办?可以参考wireshark官网的这个介绍

https://wiki.wireshark.org/CaptureSetup/Loopback

这篇文章介绍了多种方法,简单起见,我选择了RawCap。详细介绍可以参考点击打开链接,下载页面在此

RawCap使用很简单,下载后无需安装,直接用administrator运行cmd然后切换到RawCap所在目录,直接运行RawCap即可。

如下,直接运行RawCap.exe,选择Lookback接口,输入输出文件名。


此处有个小插曲,我运行RawCap之后访问https://localhost,但是发现抓不到任何数据包,只有通过https://127.0.0.1访问时才能正常抓取数据包,具体为何我也没有深究。

在Linux下则很简单,可以直接用tcpdump抓取loopback的数据包。"-i lo"表示loopback接口。

tcpdump -i lo -w tcpdump.pcap

抓取到的数据保存到文件,然后就可以用wireshark打开分析了,如图


eapid
关注
DNS Tunnel技术调研
爱测未来团队博客
02-23 2281
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址互相映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议使用的端口为53(TCP/UDP),一般在进行DNS解析的时候通常使用的是UDP协议,但是在主服务器向备服务器同步数据的时候通常使...
2018.5.5信息安全铁人三项赛数据赛复现
Lemon's blog
05-05 2339
前言: 马上就铁人三项比赛了,通过复现一些之前的赛题进行学习。 0x01:涉及的一些协议 TCP(传送控制协议) 作用:是一种面向连接、可靠的、基于字节流的传输层通信协议 功能:数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量 TCP格式 连接,三次握手 断开连接,四处挥手 UDP(用户数据报协议) 作用:用于内部网络或网络服务供应商自动分配IP地址给用户 ...
ssh-https-tunnel
04-22
使用此文件配置ssh代理,配置git通过proxy访问github
SSHSSH流程与wireshark抓包分析
m0_55368674的博客
12-17 7587
SSH流程与Wireshark抓包分析
通过抓包分析SSH免密登录原理
最新发布
flynetcn的专栏
07-15 105
SSH提供了另外一种可以免去输入密码过程的登录方式:公钥认证。
SSH Tunnel隧道详解
niaooer的博客
01-19 8085
SSH Tunnel隧道详解ssh tunnel分为三种本地 -L远程 -R动态 -D 参考:https://blog.csdn.net/chenjh213/article/details/49795521 ssh tunnel分为三种 本地 -L HostA利用ssh tunnel,通过HostB,将HostB或HostC的服务,监听在HostA本地 适用于:HostA只能连墙内,HostB的ssh服务的情况 Specifies that connections to the given TCP por
超文本传输协议HTTP
weixin_30678349的博客
02-26 203
超文本传输协议(英语:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议[1]。HTTP是万维网的数据通信的基础。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符(Uniform Resource Identifiers,URI)来标识。 协议概...
SSH tunnel 隧道技术
wang的博客
04-28 1379
常用的隧道技术有三种: 本地(L), 远程(R)和动态端口转发(D) 本文的例子是: 客户服务器A内网,部署了Apollo 并且有可视化界面 客户服务器B:一台跳板机 可以连通服务器A 并且带有公网IP 本地服务器C:一台内网主机 三台均为linux主机 需求:在本地浏览器上面可以打开客户服务器A的Apollo可视化界面。 首先1.服务器A上面部署的Apollo对外端口是8077 在服务器C上执行: ssh -f -N -L 0.0.0.0:8077:服务器A地址:8077 用户名@服务器B的ip地址
反弹shell流量分析与检测
欢迎光临
08-30 1581
常用的隧道技术:网络层:ipv6、Icmp、greIPv6隧道:将ipv6报文放入ipv4作为载体进行传输,工具:socat、6tunnelICMP隧道:将数据放入ping包中进行传输,工具:icmpsh、PingTunnelGRE隧道传输层:TCP隧道、UDP隧道、常规的端口转发。端口转发:没有端口限制就正常的内网端口转发,有端口限制就本地端口转发 工具:lcx、nc、powercatSOCKS代理:SOCKS代理可以理解为增强版的lcx。
聚类分析-kddcup99数据
weixin_30840253的博客
07-23 2343
“KDDCUP99dataset”就是KDD竞赛在1999年举行时采用的数据集。http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html 1998年美国国防部高级规划署(DARPA)在MIT林肯实验室进行了一项入侵检测评估项目。林肯实验室建立了模拟美国空军局域网的一个网络环境,收集了9周时间的 TCPdump(*) 网络连接和...
MySQL端口号安全最佳实践:保护数据库免受攻击,保障数据安全,提升数据库安全
[MySQL端口号安全最佳实践:保护数据库免受攻击,保障数据安全,提升数据库安全](https://s.secrss.com/anquanneican/8938c362e10fd5b7f8e2e068ef642355.jpg) # 1. MySQL端口安全的重要性** MySQL端口是数据...
SSH交互报文捕获
03-07
在PuTTY客户端抓包结果
wireshark利用sshdump自身组件进行远程实时抓包过滤
一把菜刀行江湖
01-27 2660
wireshark自身支持远程抓包,但默认上并不安装此组件,有远程抓包需求的同学,可以通过安装过程将此组件安装进去,就可以支持远程在线、实时抓包和过滤
使用ssh tunnel 来做代理或跳板
weixin_33754913的博客
12-19 529
接前文 http://www.cnblogs.com/piperck/p/6188984.html  使用ssh config配置文件来管理ssh连接 前文说了如何配置自己的ssh config 来方便的管理自己的ssh连接,以及如何使用ssh-add来将自己密钥密码存储起来。接下将讨论一下使用ssh来做转发和跳板的相关实践。   首先还是先说下这么一个情况: 我们的外部防火墙阻止了一些常用端...
Wireshark 实用篇2:Wireshark 抓包常用过滤命令
热门推荐
liuzhen007的专栏
12-25 2万+
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用的抓包过滤命令。
Wireshark详解系列(六)——过滤器详解及使用(最好的wireshark过滤器教程)
shonencc的博客
12-19 4010
万字长文,你能找到的最好Wireshark过滤器教程
老毛子 padavan K2 通过SSH 抓包
vistaup的博客
06-30 2648
ssh admin@192.168.123.1 "/usr/sbin/tcpdump -i br0 -s 0 -w - not port 22" | "C:\\Program Files\\Wireshark\\Wireshark.exe" -k -i -
推荐开源项目:Tunnels - 您的HTTP到HTTPS安全隧道
gitblog_00046的博客
05-24 583
推荐开源项目:Tunnels - 您的HTTP到HTTPS安全隧道 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 Tunnels 是一个神奇的小工具,它让您的本地开发环境中的 Pow 或其他 HTTP 服务器能够通过 HTTPS 协议运行。想象一下,您可以在本地开发过程中享受到与生产环境中相同的加密和安全性,这正是 Tunnels 所带来的便利。 项目技术分析 Tu...
wireshark关于lua插件的定位
yangrendong的专栏
04-09 1617
最近项目开发需要,数据转发组同事写了一个lua插件,来解析mac in mac的内部协议上送的报文,在老的wireshark中使用是没有问题的,但是在新的wireshark版本中,解析到内层mac时就挂,看了下lua脚本,定位出是二层mac解析出错,下载了最新wireshark版本的源代码,对比了源代码中的lua插件的接口api,发现外层mac解析时是需要进行Ethernet的fc...
wireshark抓包ssh
03-01
### 如何使用 Wireshark 抓取 SSH 协议的数据包 为了有效地捕获并分析SSH协议的数据包,可以通过多种方法来设置环境。一种常见的做法是在本地计算机上运行Wireshark的同时通过SSH登录到远程主机,并在那里执行`tcpdump`命令以实时传输数据Wireshark处理。 #### 方法一:直接在本机上启动Wireshark监听特定网卡上的流量 如果希望监控的是发生在同一台机器上的通信,则可以直接打开Wireshark程序,在主界面上选择对应的网络接口(例如eth0),点击“Start”按钮开始捕捉所有进出该设备的数据流。之后可以在显示过滤器栏里输入`ssh`或更精确地指定TCP端口号22作为条件,从而筛选出仅限于SSH交互的相关条目[^2]。 #### 方法二:采用组合工具的方式——结合SSHTcpdump进行远端抓包 对于跨不同物理位置的情况来说,可能需要借助其他辅助软件完成任务。这里介绍一个实用的例子: ```bash sudo ssh username@remote_host 'tcpdump -i any port 22 -U -w -' | wireshark -k -i - ``` 上述指令中的各部分含义解释如下: - `username@remote_host`: 替换成实际的目标服务器用户名及其IP地址; - `-i any`: 表明要监视所有的可用网络接口而不是单指某一个; - `port 22`: 明确指出只关心那些涉及SSH服务的标准端口通讯; - `-U`: 让tcpdump尽可能快地将接收到的信息传递出去而不做过多缓冲; - `-w -`: 将捕获的结果立即写入标准输出管道而非文件内; - `wireshark -k -i -`: 接收来自stdin的数据流并即时解析展示出来[^1]。 这种方法允许用户即使远离目标系统也能获取其完整的SSH活动记录,而且由于采用了加密通道保护中间环节的安全性,因此非常适合用于诊断生产环境中遇到的问题。 #### 配置注意事项 确保已经正确设置了必要的权限以便能够顺利操作所需资源;另外考虑到性能因素的影响,在高负载场景下建议适当调整参数配置比如限制最大存储容量或是设定合理的超时机制等措施来优化体验效果[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值