¿Alguien sabe cómo "tcpdump" el tráfico descifrado por Mallory MITM?

3

Estoy buscando ayuda para capturar el tráfico de red que puedo analizar en Wireshare (u otras herramientas). La herramienta que estoy usando es mallory.

Si alguien está familiarizado con mallory, podría necesitar ayuda. Lo tengo configurado y funcionando correctamente, pero no sé cómo obtener la salida que quiero.

La configuración está en mi red privada. Tengo una máquina virtual (que ejecuta Ubuntu 12.04 - precisa) con dos NIC:

  • eth0 está en mi red "real"
  • eth1 solo está en mi red "falsa" y usa dnsmasq (para DNS y DHCP para otros dispositivos en la red "falsa")

Efectivamente, eth0 es la "WAN" en mi VM, y eth1 es la "LAN" en mi VM.

He configurado mallory e iptables para interceptar, descifrar, cifrar y reescribir todo el tráfico que llega en el puerto de destino 443 en eth1. En el dispositivo que quiero interceptar, he importado el número de teléfono que Mallory generó como un certificado raíz de confianza.

Necesito analizar algunos comportamientos extraños en la transmisión de HTTPS entre el cliente y el servidor, por lo que es por eso que Mallory está configurada para este MITM.

Me gustaría tomar el tráfico HTTPS descifrado y volcarlo en un archivo de registro o en un socket en un formato compatible con tcpdump / wireshark (para poder recopilarlo más tarde y analizarlo).

La ejecución de tcpdump en eth1 es demasiado pronto (está cifrada), y la ejecución de tcpdump en eth2 es demasiado tarde (se ha vuelto a cifrar). ¿Hay alguna manera de que mallory "tcpdump" el tráfico descifrado (en ambas direcciones)?

    
pregunta chriv 12.09.2012 - 22:32
fuente

1 respuesta

1

Me encontré con el mismo problema, aunque no con Mallory (nunca tuve la suerte de hacer funcionar a Mallory, aunque solo lo intenté poco después de su lanzamiento). Si puede configurar la IP de destino en el cliente, también debería poder usar mi solución. Utilicé stunnel en combinación con un proxy de relé ruby tcp. Hice un blog sobre lo que hice aquí: enlace

Tengo un amigo que utilizó estos pasos para que Mallory funcione, y le funcionó bien. enlace

    
respondido por el Alex Lauerman 02.10.2012 - 03:29
fuente

Lea otras preguntas en las etiquetas