Usando tcpdump, como faço para ver tão claramente quanto possível uma conversa SMTP sem criptografia?

Question

Eu estou tentando depurar um aplicativo e não é um lugar que seja conveniente para executar WireShark.

Estou usando o "tcpdump -nn -x -X porta 25", mas a saída não é realmente no formato mais conveniente. Pensamentos?

Answer 1

Você sempre pode ter tcpdump escrever para um arquivo usando "-w dump.txt -s 0" como argumentos extras, e depois carregar o arquivo de saída em WireShark localmente.

Answer 2

tcpdump -A (em vez de -X) irá imprimir o conteúdo do pacote em ASCII.

Answer 3

Eu acho que a melhor coisa a fazer seria a de apontar o aplicativo em um proxy SMTP que apenas passa tudo através do servidor real e registra-lo nesse meio tempo (provavelmente poderia cortar alguma coisa em conjunto com socat em poucos minutos), mas indo com sua estratégia atual ...

• tshark para gerar um arquivo de captura e de carga que arquivo em WireShark algum lugar mais conveniente.
• Ou use tcptrace na tcpdump ou saída tshark.
• Ou uso tcpflow .

Answer 4

Um utilitário conhecido como ngrep existe o que pode ajudá-lo. Ele tem todo o poder do grep regular, mas funciona em dados pcap. Confira aqui