Fórum Root.cz

Hlavní témata => Server => Téma založeno: Ray Charles 13. 11. 2017, 12:02:50

Název: Extrakce mailu z provozu nebo pcap
Přispěvatel: Ray Charles 13. 11. 2017, 12:02:50: Řešil někdo s diskutujících prakticky automatizovanou extrakci emailů z živého provozu nebo z pcap souboru? Nějak jsem dostal implementačně na starosti a nechci dopadnou tak že budu hledat ve WireSharku konkrétní relace ručně.
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: expert 13. 11. 2017, 12:21:49: Tak Wireshark obsahuje cmdline utilitu tshark, který je určen pro skriptování a použití v terminálu. Třeba ti to pomůže.
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: JardaP . 13. 11. 2017, 12:24:17: Mozna xplico.

BTW, jako zadani ulohy to trochu smrdi. To ma byt pro testovaci/debugovaci ucely nebo pro smirovani?
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: asdf123 13. 11. 2017, 13:21:50: Citace: JardaP . 13. 11. 2017, 12:24:17
Mozna xplico.

BTW, jako zadani ulohy to trochu smrdi. To ma byt pro testovaci/debugovaci ucely nebo pro smirovani?

urcite to budu len aplikacne logy :D on ich bude takto unasat a storovat v centralnom servri :D
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: JardaP . 13. 11. 2017, 13:41:17: Citace: asdf123 13. 11. 2017, 13:21:50
urcite to budu len aplikacne logy :D on ich bude takto unasat a storovat v centralnom servri :D

Tak treba to se systemd jinak nejde. Nejak se k tem logum musi dostat, nez je systemd staci rozbit.
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: RDa 13. 11. 2017, 13:48:50: Tak si nastudujte IP, TCP a SMTP, pak vam postaci hexdump z provozu :) Opravdu neni tezke si vyparsovat kazde spojeni a jako bonus nebudete mit zavislost na nejakem cizim toolu.
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: expert 13. 11. 2017, 14:12:28: Citace: JardaP . 13. 11. 2017, 12:24:17
BTW, jako zadani ulohy to trochu smrdi. To ma byt pro testovaci/debugovaci ucely nebo pro smirovani?

Není to jedno? Dostal úkol a má jej splnit. Voják taky musí plnit rozkazy bez ohledu na vlastní názor.
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: Jenda 13. 11. 2017, 14:52:32: Citace: RDa 13. 11. 2017, 13:48:50
Tak si nastudujte IP, TCP a SMTP, pak vam postaci hexdump z provozu :)

To je opruz (trackovat navázaná spojení, skládat segmenty a retransmissions).

Naštěstí existuje itilita tcpflow, která dělá přesně toto.
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: JardaP . 13. 11. 2017, 15:08:50: Citace: expert 13. 11. 2017, 14:12:28
Není to jedno? Dostal úkol a má jej splnit. Voják taky musí plnit rozkazy bez ohledu na vlastní názor.

Aha. To az ho poslou zabit Sekala, tak ho zabije a co na tom, ze je to proti zakonu?
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: j 14. 11. 2017, 09:55:45: A on snad jeste nekdo posila a prijima maily jako text? Paac jestli to chce chytat na siti, tak si nachyta leda tak ty zasifrovany pakety.

Nehlede na to, ze jak bylo zmineno, jedna se o tr cin nezakonneho odposlechu.
Název: Re:Extrakce mailu z provozu nebo pcap
Přispěvatel: Ray Charles 15. 11. 2017, 21:01:43: Je to pro to abychom nemuseli tolerovat hw sondu v síti na základě nařízení soudu. Navíc dotyčnej resp celej server jede tak 120:50 přes SSL vs čistá 25. Tj nejde o to najít to v provozu, to si klidně ručně rozkuchám a pak najdu to co je z toho emaily (což je vše protože to filtrujeme jen na src or dst 25 a smtps). Ale je to zbytečně komplikované.