使用 tcpdump，如何尽可能清楚地查看未加密的 SMTP 会话？

Question

我正在尝试调试一个应用程序，但它不是一个方便运行 WireShark 的地方。

我一直在使用“tcpdump -nn -x -X port 25”，但输出并不是真正最方便的格式。想法？

Answer 1

您始终可以使用“-w dump.txt -s 0”作为额外参数将 tcpdump 写入文件，然后将输出文件本地加载到 WireShark 中。

Answer 2

tcpdump -A（而不是-X）将以 ASCII 格式打印数据包内容。

Answer 3

我认为最简单的做法是将应用程序指向 SMTP 代理，该代理将所有内容传递到真实服务器并同时记录它（可能会与 socat 几分钟后），但按照您当前的方法...

• 使用 socat wireshark.org/docs/man-pages/tshark.html" rel="nofollow noreferrer">TShark 生成捕获文件，并将该文件加载到 WireShark 中更方便的位置。
• 或者在 tcpdump 或 TShark 输出上使用 tcptrace。
• 或者使用 tcpflow。

Answer 4

存在一个名为 ngrep 的实用程序，它可能会对您有所帮助。它具有常规 grep 的所有功能，但它适用于 pcap 数据。 在这里查看