ssl - 从特定域捕获数据包转储

Question

我正在从事自己的深度数据包检测项目。为了对此进行测试，我需要来自特定站点的 https/ssl 数据包转储。

例如，我想捕获在 Facebook session 期间传输的所有数据包。

我试过 wire-shark 但我不知道如何捕获数据包，只与 Facebook 有关，因为它们可以来自不同的域，而不仅仅是来自 www.facebook.com

谁能建议我一个方法来做到这一点？

谢谢。

Answer 1

不确定 wireshark 现在可以做到这一点。如果我错了，请纠正我，目前它通过执行 DNS 查询以获取此主机名的 IP 地址列表来支持捕获过滤器，如“host www.facebook.com”。然后它生成二进制代码以过滤掉发往/来自这些已解析 IP 的数据包。

如果您知道此域中的主机名列表 (x1.facebook.com x2.facebook.com ...)，您可以创建一个过滤器，例如“主机 x1.facebook.com 或主机 x2.facebook.com 。 ..”

如果你不知道主机名列表，那么你必须编写一个特定的捕获软件，它监视从主机发送的所有 DNS 查询，如果它是针对 xxx.facebook.com，则跟踪已解析的IP 地址，保存发送到/来自这些 IP 的任何数据包。为此，您必须清除 DNS 缓存。

希望对您有所帮助。