如何用wireshark分析通过ssh tunnel的https数据

最新推荐文章于 2025-05-23 19:18:33 发布
最新推荐文章于 2025-05-23 19:18:33 发布
阅读量5.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: tcpdump wireshark ssh tunnel loopback 127.0.0.1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/eapid/article/details/80229567

有时候,因为网络隔离的原因,我们无法直接访问web站点,而需要通过如ssh tunnel的方式去访问。

例如在Linux下可以直接在终端运行

ssh -L 9043:localhost:9043 username@remotehost

在windows下则可以在putty中设置ssl tunnels,此时我们可以看到本机127.0.0.1上有端口监听。


我们可以在浏览器中直接通过 https://localhost 访问到 https://remotehost的内容。

但是这个时候如果你需要用wireshark去抓取网络数据作分析,你会发现你抓到的是22端口的SSH数据,而不是443端口的HTTPS数据,因而无法分析web站点的HTTP连接问题。


那要怎样才能抓到HTTP协议的数据呢?其实我们在浏览器访问的是localhost,所以需要抓的是loopback(127.0.0.1)这个网卡的数据,而不是系统默认网卡。在Linux下是eth0,在windows下是Local Area Connection。

这时候又碰到另一个问题了,wireshark在windows下抓不了127.0.0.1的包,怎么办?可以参考wireshark官网的这个介绍

https://wiki.wireshark.org/CaptureSetup/Loopback

这篇文章介绍了多种方法,简单起见,我选择了RawCap。详细介绍可以参考点击打开链接,下载页面在此

RawCap使用很简单,下载后无需安装,直接用administrator运行cmd然后切换到RawCap所在目录,直接运行RawCap即可。

如下,直接运行RawCap.exe,选择Lookback接口,输入输出文件名。


此处有个小插曲,我运行RawCap之后访问https://localhost,但是发现抓不到任何数据包,只有通过https://127.0.0.1访问时才能正常抓取数据包,具体为何我也没有深究。

在Linux下则很简单,可以直接用tcpdump抓取loopback的数据包。"-i lo"表示loopback接口。

tcpdump -i lo -w tcpdump.pcap

抓取到的数据保存到文件,然后就可以用wireshark打开分析了,如图


eapid
关注
wireshark利用sshdump自身组件进行远程实时抓包过滤
一把菜刀行江湖
01-27 2534
wireshark自身支持远程抓包,但默认上并不安装此组件,有远程抓包需求的同学,可以通过安装过程将此组件安装进去,就可以支持远程在线、实时抓包和过滤
DNS Tunnel技术调研
爱测未来团队博客
02-23 2263
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址互相映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议使用的端口为53(TCP/UDP),一般在进行DNS解析的时候通常使用的是UDP协议,但是在主服务器向备服务器同步数据的时候通常使...
ssh-https-tunnel
04-22
使用此文件配置ssh代理,配置git通过proxy访问github
SSHSSH流程与wireshark抓包分析
m0_55368674的博客
12-17 7225
SSH流程与Wireshark抓包分析
TLS(https)在wireshark中的体现
最新发布
weixin_45524582的博客
05-23 124
SSH Tunnel隧道详解
niaooer的博客
01-19 8036
SSH Tunnel隧道详解ssh tunnel分为三种本地 -L远程 -R动态 -D 参考:https://blog.csdn.net/chenjh213/article/details/49795521 ssh tunnel分为三种 本地 -L HostA利用ssh tunnel,通过HostB,将HostB或HostC的服务,监听在HostA本地 适用于:HostA只能连墙内,HostB的ssh服务的情况 Specifies that connections to the given TCP por
SSH tunnel 隧道技术
wang的博客
04-28 1347
常用的隧道技术有三种: 本地(L), 远程(R)和动态端口转发(D) 本文的例子是: 客户服务器A内网,部署了Apollo 并且有可视化界面 客户服务器B:一台跳板机 可以连通服务器A 并且带有公网IP 本地服务器C:一台内网主机 三台均为linux主机 需求:在本地浏览器上面可以打开客户服务器A的Apollo可视化界面。 首先1.服务器A上面部署的Apollo对外端口是8077 在服务器C上执行: ssh -f -N -L 0.0.0.0:8077:服务器A地址:8077 用户名@服务器B的ip地址
2018.5.5信息安全铁人三项赛数据赛复现
Lemon's blog
05-05 2294
前言: 马上就铁人三项比赛了,通过复现一些之前的赛题进行学习。 0x01:涉及的一些协议 TCP(传送控制协议) 作用:是一种面向连接、可靠的、基于字节流的传输层通信协议 功能:数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量 TCP格式 连接,三次握手 断开连接,四处挥手 UDP(用户数据报协议) 作用:用于内部网络或网络服务供应商自动分配IP地址给用户 ...
聚类分析-kddcup99数据
weixin_30840253的博客
07-23 2319
“KDDCUP99dataset”就是KDD竞赛在1999年举行时采用的数据集。http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html 1998年美国国防部高级规划署(DARPA)在MIT林肯实验室进行了一项入侵检测评估项目。林肯实验室建立了模拟美国空军局域网的一个网络环境,收集了9周时间的 TCPdump(*) 网络连接和...
反弹shell流量分析与检测
欢迎光临
08-30 1469
常用的隧道技术:网络层:ipv6、Icmp、greIPv6隧道:将ipv6报文放入ipv4作为载体进行传输,工具:socat、6tunnelICMP隧道:将数据放入ping包中进行传输,工具:icmpsh、PingTunnelGRE隧道传输层:TCP隧道、UDP隧道、常规的端口转发。端口转发:没有端口限制就正常的内网端口转发,有端口限制就本地端口转发 工具:lcx、nc、powercatSOCKS代理:SOCKS代理可以理解为增强版的lcx。
MySQL端口号安全最佳实践:保护数据库免受攻击,保障数据安全,提升数据库安全
[MySQL端口号安全最佳实践:保护数据库免受攻击,保障数据安全,提升数据库安全](https://s.secrss.com/anquanneican/8938c362e10fd5b7f8e2e068ef642355.jpg) # 1. MySQL端口安全的重要性** MySQL端口是数据...
使用ssh tunnel 来做代理或跳板
weixin_33754913的博客
12-19 520
接前文 http://www.cnblogs.com/piperck/p/6188984.html  使用ssh config配置文件来管理ssh连接 前文说了如何配置自己的ssh config 来方便的管理自己的ssh连接,以及如何使用ssh-add来将自己密钥密码存储起来。接下将讨论一下使用ssh来做转发和跳板的相关实践。   首先还是先说下这么一个情况: 我们的外部防火墙阻止了一些常用端...
Wireshark 实用篇2:Wireshark 抓包常用过滤命令
热门推荐
liuzhen007的专栏
12-25 2万+
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用的抓包过滤命令。
Wireshark详解系列(六)——过滤器详解及使用(最好的wireshark过滤器教程)
shonencc的博客
12-19 3835
万字长文,你能找到的最好Wireshark过滤器教程
Wireshark 抓包理解 HTTPS 协议
qhh0205
05-26 1万+
Wireshark 抓包理解 HTTPS 协议 HTTPS 简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer)协议是 HTTP 协议的安全版,在 HTTP 应用层和传输层加入了 SSL/TLS 层,确保数据传输的安全性,所以 HTTPS 协议并不是什么新的协议,仅仅是 HTTP 协议和安全协议的组合。 HTTPS 协议...
Wireshark抓取手机https数据 (计算机系统安全作业一)
2402_83115004的博客
03-22 1210
本人采用burpsuite辅助截取手机包,再利用wireshark进行ssl解密,分析对应的数据包。我们已经成功与手机建立联系,得到了对应的https数据包,在此我们打开wireshark.然后可以发现我们成功截取了一个Burpsuite数据包上面有我的手机型号,系统版本。通过Wireshark截获手机通过HttpS访问的数据包(手机和PC在一个子网)详细记录在实验过程中发生的故障和问题,并进行故障分析,说明故障排除的过程及方法。根据具体实验,记录、整理相应命令、运行结果等,包括截图和文字说明。
wireshark 解密浏览器https数据
杰克东的专栏
10-16 6983
1、ssl-key-log-file定义在services\network\public\cpp\network_switches.cc2、环境变量SSLKEYLOGFILE} else {#else#endif总结:优先取--ssl-key-log-file 再取SSLKEYLOGFILE环境变量值。
wireshark关于lua插件的定位
yangrendong的专栏
04-09 1605
最近项目开发需要,数据转发组同事写了一个lua插件,来解析mac in mac的内部协议上送的报文,在老的wireshark中使用是没有问题的,但是在新的wireshark版本中,解析到内层mac时就挂,看了下lua脚本,定位出是二层mac解析出错,下载了最新wireshark版本的源代码,对比了源代码中的lua插件的接口api,发现外层mac解析时是需要进行Ethernet的fc...
超文本传输协议HTTP
weixin_30678349的博客
02-26 195
超文本传输协议(英语:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议[1]。HTTP是万维网的数据通信的基础。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符(Uniform Resource Identifiers,URI)来标识。 协议概...
隧道流量特征
05-10
<think>好的,用户现在想了解隧道流量的特征,特别是与网络安全和渗透测试相关的部分。首先,我需要回顾之前提供的关于Cobalt Strike的使用教程和用户给出的引用内容,确保回答符合之前的讨论,并且正确引用相关文献。 用户之前的问题是关于Cobalt Strike的使用,现在转向隧道流量特征,这可能是因为他们在渗透测试过程中遇到了需要隐藏或检测隧道流量的情况。根据引用内容,尤其是引用[1]、[2]、[4]、[5],隧道技术在内网渗透中很关键,而不同的协议(HTTP/S、DNS、ICMP)有不同的特征和检测方法。 首先,我需要明确隧道流量的基本概念,即通过封装其他协议的数据来绕过防火墙或IDS的检测。然后,分协议讨论各自的流量特征,比如HTTP隧道可能表现为不寻常的请求频率或数据长度,DNS隧道可能有大量TXT查询,ICMP隧道的数据包负载异常等。同时,引用中的案例,如reGeorg、FRP、icmpsh等工具的使用,可以作为具体例子来说明特征。 接下来,用户可能想知道如何检测这些特征,所以需要总结检测方法,比如流量分析、协议合规性检查、机器学习等。同时,防御建议部分需要结合引用中的内容,如流量监控、协议限制、白名单机制等。 需要注意的是,用户可能不仅想了解特征,还希望知道如何应用这些知识进行渗透测试或防御,因此需要平衡理论和实践部分。确保引用正确的来源,比如引用[5]提到的ICMP隧道流量特征,如数据包长度过长、明文传输等,这些都是具体检测点。 另外,用户提供的引用[3]提到基础理论和工具的结合,所以回答中应强调理论与实践的结合,比如工具的使用如何反映特定流量特征。最后,相关问题部分需要引导用户进一步探索,比如不同协议的对比或具体工具的分析。 确保回答结构清晰,分点明确,引用正确,并且语言自然,符合中文表达习惯。同时,检查是否覆盖了所有相关引用内容,特别是用户提供的引用[4]和[5],其中详细说明了HTTP和ICMP隧道的特征和检测方法。需要将这些信息整合到回答中,确保全面且有用。</think>### 隧道流量的特征与检测(网络安全/渗透测试视角) 隧道技术是渗透测试中绕过网络限制的关键手段,但其流量特征往往成为防御方检测的重点。以下是常见隧道流量的特征及对应检测方法: --- #### 一、隧道流量的核心特征 1. **协议异常行为** - **HTTP/HTTPS隧道** - **数据包大小异常**:正常HTTP请求数据量较小,而隧道流量常包含大体积请求(如上传文件时伪装为图片上传)[^4] - **请求频率异常**:持续高频请求(如每分钟数百次POST请求) - **Header字段异常**:自定义Header(如`X-C2-Data`)或User-Agent字段不符合常见浏览器特征[^3] - **DNS隧道** - **TXT查询激增**:大量TXT记录请求(用于传输数据) - **长域名请求**:域名长度超过正常标准(如`data.example.com.7FgH...`超过63字符)[^2] - **非标准查询类型**:频繁使用`NULL`或`ANY`类型查询 - **ICMP隧道** - **Data字段填充**:正常ICMP报文Data字段为空,隧道流量会填充加密/明文数据(如`icmpsh`工具)[^5] - **时序规律性**:连续ICMP请求间隔固定(如每2秒一次) 2. **流量模式特征** - **双向流量不对称**:上传流量远大于下载流量(如C2服务器下发指令时) - **协议封装特征**:隧道流量可能嵌套多层协议(如HTTP隧道内封装SSH流量) - **心跳包特征**:定时发送固定大小的保活数据包(如每60秒发送32字节数据)[^1] 3. **加密与编码特征** - **Base64编码痕迹**:HTTP隧道数据中频繁出现`=`填充符或特定字符集 - **非常用加密模式**:使用RC4或XOR简单加密(如`reGeorg`的流量特征)[^4] --- #### 二、检测方法与防御建议 1. **流量分析技术** - **载荷深度检测(DPI)**:解析HTTP Body或DNS TXT字段内容(检测Base64编码或非ASCII字符)[^2] - **时序行为分析**:通过机器学习识别异常心跳频率(如使用Splunk或ELK分析流量日志)[^3] - **协议合规性检查**:对比RFC标准(如ICMP Data字段长度超过64字节则标记为可疑)[^5] 2. **防御策略** - **协议限制**:禁止内网主机对外发起非常用协议请求(如限制DNS查询类型为A/MX记录)[^1] - **流量白名单**:仅允许业务必需的域名和IP通信(阻断非常规域名解析) - **行为基线建模**:建立正常流量模式基线,触发阈值时告警(如单IP每小时HTTP请求超过1000次) 3. **工具辅助检测** - **Wireshark过滤器**: ```bash # 检测异常ICMP流量 icmp.data.len > 64 || icmp.type == 0 && icmp.code != 0 # 检测长域名DNS请求 dns && dns.qry.name.len > 50 ``` - **Suricata规则示例**: ```yaml alert http any any -> any any (msg:"Suspicious HTTP Tunnel"; http.user_agent; content:"CobaltStrike"; nocase; sid:10001;) ``` --- #### 三、渗透测试中的隐蔽优化 1. **流量伪装技术** - **Malleable C2 Profile**:修改Cobalt Strike的C2流量特征,模拟合法软件(如模仿Chrome浏览器请求)[^1] - **协议嵌套**:将隧道流量封装在常见协议中(如通过WebSocket传输SSH流量) 2. **动态负载分割** - 将数据分割为多个小包发送(如DNS隧道中将数据拆分为多个子域名查询)[^2] - 随机化发送间隔(避免固定心跳模式被识别) --- ### 示例流量对比 | 协议类型 | 正常流量特征 | 隧道流量特征 | |---------|--------------|--------------| | **HTTP** | 请求内容与业务相关,User-Agent规范 | 大量POST请求,User-Agent为非常见值(如`CS-Agent`) | | **DNS** | 以A/MX记录为主,域名长度正常 | 频繁TXT查询,域名包含Base64编码片段 | | **ICMP** | Data字段为空,请求间隔随机 | Data字段填充加密数据,固定每秒1次请求[^5] | --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值