Tatsächliche Ziel-IP anstelle der IP des Proxys bei der Traffic-Erfassung
Ich möchte den Netzwerkverkehr meines Hosts über Wireshark erfassen und muss die Quell-und Ziel-IP-Adressen aus den Paketen abrufen. Das Problem, mit dem ich konfrontiert bin, ist, dass ich mich hinter dem Proxyserver befinde und die IP des Proxys als Ziel-IPs erhalte. Ich möchte jedoch die IP-Adresse des tatsächlichen Servers abrufen, auf den über meinen Host zugegriffen wird.
Ist es möglich, dass ich die tatsächlichen Ziel-IPs anstelle der Proxy-IP abrufen kann?
1 answers
Danke für deine Frage. Angenommen, Sie möchten Informationen über den Zielhost abrufen, mit dem die Pakete über den Proxyserver ausgetauscht werden, hier ist die Erklärung.
Der HTTP-Client verwendet normalerweise den Hostnamen-Teil der URL, um eine DNS-Suche durchzuführen, um eine Verbindung zum angeforderten Host herzustellen. Anschließend wird eine HTTP-GET-Anforderung für den Rest der URL gesendet. Der Hostname ist ebenfalls in dieser Anforderung enthalten. Wenn Sie sich nun hinter einem Proxyserver befinden, werden zuerst die HTTP-GET-Anforderungen gestellt an diesen Proxyserver gesendet, von wo aus sie an den Zielhost weitergeleitet werden. Alle erhaltenen Antworten nehmen den gleichen umgekehrten Weg.
Um nun Pakete dieses Hosts zu erfassen und zu filtern, geben Sie
http.host == 'www.example.com'
Im Feld Anzeigefilter. Dann könnten Sie in dem Feld mit dem Titel "Info" die Pakete herausfinden, die zu example.com. Sie können die Details dieses Pakets abrufen, indem Sie darauf doppelklicken. Beachten Sie, dass die IP-Adresse des Hosts in der Zieladresse nicht angezeigt wird feld, sondern es würde den Proxy-Server darstellen, den Sie verwenden, und seine Geolokalisierung.
Sie müssen sich also die TCP-Verbindung und den Hostnamen der GET-Anforderungen ansehen. Diese Anfragen werden weitergesendet und die Antworten kommen auf die gleiche Weise zurück. Ihre Endpunktverfolgung wurde also von der Netzwerkebene auf die Sitzungsebene erhöht.
Wenn Sie die IP-Adresse eines Hosts ermitteln möchten, können Sie einfach Online-Tools wie spfld oder iplocation, vorausgesetzt, Sie kennen den Domainnamen.
Hier habe ich ein Beispiel für Pakete gezeigt, die vom Host erfasst wurden example.com. Beachten Sie, dass der im Bild angezeigte Quelladressenwert (10.3.2.65) meine Hostelzimmer-IP ist, während der angezeigte Zieladressenwert (202.141.80.24) der Proxyserver meines Instituts ist. Ich habe alle mit dem Host ausgetauschten HTTP-Pakete gefiltert example.com
Wenn Sie jedoch die IP-Adresse des Hosts direkt über Wireshark finden möchten, wie bereits erwähnt in den Kommentaren ist es ab sofort nicht mehr möglich.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2018-02-15 19:48:25