Extrakce mailu z provozu nebo pcap

Ray Charles · « **kdy:** 13. 11. 2017, 12:02:50 »

Řešil někdo s diskutujících prakticky automatizovanou extrakci emailů z živého provozu nebo z pcap souboru? Nějak jsem dostal implementačně na starosti a nechci dopadnou tak že budu hledat ve WireSharku konkrétní relace ručně.

Reklama

expert · « **Odpověď #1 kdy:** 13. 11. 2017, 12:21:49 »

Tak Wireshark obsahuje cmdline utilitu tshark, který je určen pro skriptování a použití v terminálu. Třeba ti to pomůže.

JardaP . · « **Odpověď #2 kdy:** 13. 11. 2017, 12:24:17 »

Mozna xplico.

BTW, jako zadani ulohy to trochu smrdi. To ma byt pro testovaci/debugovaci ucely nebo pro smirovani?

asdf123 · « **Odpověď #3 kdy:** 13. 11. 2017, 13:21:50 »

Citace: JardaP . 13. 11. 2017, 12:24:17

Mozna xplico.

BTW, jako zadani ulohy to trochu smrdi. To ma byt pro testovaci/debugovaci ucely nebo pro smirovani?

urcite to budu len aplikacne logy

on ich bude takto unasat a storovat v centralnom servri

JardaP . · « **Odpověď #4 kdy:** 13. 11. 2017, 13:41:17 »

Citace: asdf123 13. 11. 2017, 13:21:50

urcite to budu len aplikacne logy on ich bude takto unasat a storovat v centralnom servri

Tak treba to se systemd jinak nejde. Nejak se k tem logum musi dostat, nez je systemd staci rozbit.

Reklama

RDa · « **Odpověď #5 kdy:** 13. 11. 2017, 13:48:50 »

Tak si nastudujte IP, TCP a SMTP, pak vam postaci hexdump z provozu

Opravdu neni tezke si vyparsovat kazde spojeni a jako bonus nebudete mit zavislost na nejakem cizim toolu.

expert · « **Odpověď #6 kdy:** 13. 11. 2017, 14:12:28 »

Citace: JardaP . 13. 11. 2017, 12:24:17

BTW, jako zadani ulohy to trochu smrdi. To ma byt pro testovaci/debugovaci ucely nebo pro smirovani?

Není to jedno? Dostal úkol a má jej splnit. Voják taky musí plnit rozkazy bez ohledu na vlastní názor.

Jenda · « **Odpověď #7 kdy:** 13. 11. 2017, 14:52:32 »

Citace: RDa 13. 11. 2017, 13:48:50

Tak si nastudujte IP, TCP a SMTP, pak vam postaci hexdump z provozu

To je opruz (trackovat navázaná spojení, skládat segmenty a retransmissions).

Naštěstí existuje itilita tcpflow, která dělá přesně toto.

JardaP . · « **Odpověď #8 kdy:** 13. 11. 2017, 15:08:50 »

Citace: expert 13. 11. 2017, 14:12:28

Není to jedno? Dostal úkol a má jej splnit. Voják taky musí plnit rozkazy bez ohledu na vlastní názor.

Aha. To az ho poslou zabit Sekala, tak ho zabije a co na tom, ze je to proti zakonu?

j · « **Odpověď #9 kdy:** 14. 11. 2017, 09:55:45 »

A on snad jeste nekdo posila a prijima maily jako text? Paac jestli to chce chytat na siti, tak si nachyta leda tak ty zasifrovany pakety.

Nehlede na to, ze jak bylo zmineno, jedna se o tr cin nezakonneho odposlechu.

Ray Charles · « **Odpověď #10 kdy:** 15. 11. 2017, 21:01:43 »

Je to pro to abychom nemuseli tolerovat hw sondu v síti na základě nařízení soudu. Navíc dotyčnej resp celej server jede tak 120:50 přes SSL vs čistá 25. Tj nejde o to najít to v provozu, to si klidně ručně rozkuchám a pak najdu to co je z toho emaily (což je vše protože to filtrujeme jen na src or dst 25 a smtps). Ale je to zbytečně komplikované.

Extrakce mailu z provozu nebo pcap

Ray Charles

Extrakce mailu z provozu nebo pcap

Reklama

expert

Re:Extrakce mailu z provozu nebo pcap

JardaP .

Re:Extrakce mailu z provozu nebo pcap

asdf123

Re:Extrakce mailu z provozu nebo pcap

JardaP .

Re:Extrakce mailu z provozu nebo pcap

Reklama

RDa

Re:Extrakce mailu z provozu nebo pcap

expert

Re:Extrakce mailu z provozu nebo pcap

Jenda

Re:Extrakce mailu z provozu nebo pcap

JardaP .

Re:Extrakce mailu z provozu nebo pcap

j

Re:Extrakce mailu z provozu nebo pcap

Ray Charles

Re:Extrakce mailu z provozu nebo pcap