Capture Packet Dump из определенного домена

Question

Я работаю над проектом Deep Packet Inspection. Чтобы проверить это, мне нужен https/ssl пакетный дамп с определенного сайта.

В качестве примера я хочу захватить все пакеты, переданные во время сеанса Facebook.

Я попробовал провод-акулу, но я не знаю, как перехватывать пакеты, только связанные с Facebook, так как они могут быть, происходящих из различных областей, а не только от www.facebook.com

Может кто-нибудь предложить мне путь сделать это?

спасибо.

Answer 1

Не уверен, что wirehark может сделать это сейчас. Исправьте меня, если я ошибаюсь, в настоящее время он поддерживает фильтр захвата, такой как «host www.facebook.com», выполнив DNS-запрос, чтобы получить список IP-адресов для этого имени хоста. Затем он генерирует двоичный код для фильтрации пакетов в/из этих разрешенных IP-адресов.

Если вам известен список имен хостов в этом домене (x1.facebook.com x2.facebook.com ...), вы можете создать такой фильтр, как «host x1.facebook.com или host x2.facebook.com» ... "

Если вы не знаете список имен хостов, вам необходимо написать специальное программное обеспечение для захвата, которое контролирует все DNS-запросы, отправленные с хоста, если это для xxx.facebook.com, тогда отслеживать разрешенные IP-адреса, сохранять любые пакеты, отправленные в/из этих IP-адресов. Для этого вам нужно очистить кеш DNS.

Надеюсь, это поможет.