使用tcpdump監控HTTPS流量

一、什麼是tcpdump

tcpdump是一種包分析器（也叫做網絡抓包工具），用於抓取網絡數據包。它可以實時顯示分組的詳細信息，比如源頭地址、目標地址、協議、包大小、時間戳等等，並將數據包以十六進制和ASCII碼形式打印輸出。tcpdump可以對網絡流量進行詳細的分析，對於網絡問題的調試和研究非常有用。

二、如何使用tcpdump監控HTTPS流量

在使用tcpdump監控HTTPS流量之前，需要了解一下HTTPS的運作原理。HTTPS使用SSL/TLS協議進行加密傳輸。在客戶端和服務器建立連接之後，會進行握手過程，以確保連接的安全性。握手過程包括證書驗證、密鑰交換等步驟。在握手成功之後，客戶端和服務器之間的數據傳輸就會進行加密。

如果我們想要監控HTTPS流量，需要在客戶端和服務器之間插入一個中間人攻擊（Man-in-the-middle attack，簡稱MITM）來截獲數據包。MITM攻擊需要將本機配置成網關或者路由器，所有的數據包都經過本機，由本機進行攔截和轉發。為了實現HTTPS流量的監控，我們需要裝載自己的CA證書，並讓客戶端信任它，這樣就可以偽裝成服務器，截獲並解密雙方的數據流量。

下面是通過tcpdump監控HTTPS流量的步驟：

1. 安裝tcpdump

sudo apt-get update
sudo apt-get install tcpdump

2. 安裝mitmproxy

sudo apt-get install libxml2-dev libxslt1-dev python-dev
sudo -H pip install mitmproxy

3. 啟動mitmproxy

mitmproxy -T --host

這個命令會生成一個CA證書，並且打印出當前的IP地址和端口號。需要將證書導入到客戶端中以實現HTTPS流量的截獲。在瀏覽器中打開mitm.it網址，選擇對應的操作系統，下載並安裝證書即可。

4. 使用tcpdump截獲流量

sudo tcpdump -i any -w /tmp/https.cap port 443

該命令將截獲所有端口為443的HTTPS流量，並將其保存至/tmp/https.cap文件中。

三、如何分析截獲的流量

使用tcpdump截獲HTTPS流量之後，需要使用其他工具進行分析、解密。如果使用Wireshark進行分析，需要在其設置中添加mitmproxy生成的CA證書，這樣Wireshark就能夠解密HTTPS流量並顯示其明文。

如果想要通過命令行進行分析，則可以使用tshark工具。tshark是Wireshark的命令行版本，可以對類似的文件進行分析。下面是一個使用tshark對HTTPS流量進行分析的示例：

tshark -r /tmp/https.cap -T fields -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport -e http.request.full_uri -e http.response.full_header -e http.response.code

這個命令會讀取/tmp/https.cap文件，並輸出相關信息，比如源地址、目標地址、URI、HTTP響應碼等。

四、注意事項

使用tcpdump監控HTTPS流量需要使用MITM攻擊手段，具有一定風險，不建議在生產環境中使用。同時，由於HTTPS流量是加密傳輸的，需要進行解密才能查看明文。使用起來比較麻煩，建議在必要時進行使用。