Usando tcpdump, ¿cómo me veo tan claramente como sea posible una conversación SMTP sin cifrar?

Question

Estoy tratando de depurar una aplicación y no es un lugar que sea conveniente para funcionar WireShark.

He estado usando "tcpdump -nn -X -X puerto 25" pero la salida no está realmente en el formato más conveniente. Pensamientos?

Answer 1

Puede siempre has tcpdump escribir en un archivo utilizando "dump.txt -w -s 0" como argumentos adicionales, y luego cargar el archivo de salida en WireShark localmente.

Answer 2

tcpdump -A (en lugar de -X) se imprimirá el contenido del paquete en ASCII.

Answer 3

Me parece que lo más fácil de hacer sería señalar la aplicación a un proxy SMTP que acaba pasa todo a través al servidor real y la registra en el ínterin (probablemente podría hackear algo juntos con socat en pocos minutos), pero ir con su enfoque actual ...

• TShark para generar un archivo de captura, y la carga que presentar en WireShark un lugar más conveniente.
• tcptrace en el tcpdump o salida TShark.
• flujo TCP .

Answer 4

Una utilidad conocida como ngrep existe lo que podría ayudarle. Tiene todo el poder de grep regular, pero funciona en los datos pcap. Échale un vistazo aquí