Estoy buscando ayuda para capturar el tráfico de red que puedo analizar en Wireshare (u otras herramientas). La herramienta que estoy usando es mallory.
Si alguien está familiarizado con mallory, podría necesitar ayuda. Lo tengo configurado y funcionando correctamente, pero no sé cómo obtener la salida que quiero.
La configuración está en mi red privada. Tengo una máquina virtual (que ejecuta Ubuntu 12.04 - precisa) con dos NIC:
- eth0 está en mi red "real"
- eth1 solo está en mi red "falsa" y usa dnsmasq (para DNS y DHCP para otros dispositivos en la red "falsa")
Efectivamente, eth0 es la "WAN" en mi VM, y eth1 es la "LAN" en mi VM.
He configurado mallory e iptables para interceptar, descifrar, cifrar y reescribir todo el tráfico que llega en el puerto de destino 443 en eth1. En el dispositivo que quiero interceptar, he importado el número de teléfono que Mallory generó como un certificado raíz de confianza.
Necesito analizar algunos comportamientos extraños en la transmisión de HTTPS entre el cliente y el servidor, por lo que es por eso que Mallory está configurada para este MITM.
Me gustaría tomar el tráfico HTTPS descifrado y volcarlo en un archivo de registro o en un socket en un formato compatible con tcpdump / wireshark (para poder recopilarlo más tarde y analizarlo).
La ejecución de tcpdump en eth1 es demasiado pronto (está cifrada), y la ejecución de tcpdump en eth2 es demasiado tarde (se ha vuelto a cifrar). ¿Hay alguna manera de que mallory "tcpdump" el tráfico descifrado (en ambas direcciones)?