Ubuntu

使用 tcpdump 擷取 LDAPS 流量

  • January 13, 2015

我有一個使用 LDAPS 對 Active Directory 進行身份驗證的應用伺服器。我通過埠 636 連接到 AD 伺服器。

我正在嘗試對一些性能問題進行故障排除/調試,並開始懷疑延遲來自 AD 本身或應用伺服器與 AD 之間的連接。我想執行一個tcpdump(我的第一次!)以在身份驗證性能不佳期間擷取流量(使用者正在登錄,只是在翻騰的瀏覽器前等待)。到目前為止,從本教程來看,我的命令如下所示:

tcpdump port <???> -v -i eth0 -w ~/capture.log

然而,由於這是我的第一次tcpdump,我對港口周圍的一些事情很感興趣。我知道我的應用伺服器在 AD 的埠 #636 上連接到 AD,但我不知道我們在哪個埠(在應用伺服器 VM 上)啟動該連接。我也不知道 LDAPS 為其協議使用什麼樣的出站/入站埠,Google在這個部門沒有提供太多幫助。例如,我知道 FTP 總是使用 2 個 TCP 連接(命令 + 數據);我想知道 LDAPS 是否做類似的事情?

我想這一切都在問:**如果我在tcpdump應用伺服器 VM 上做,我應該在哪個埠上擷取流量?**而且,如果 LDAPS 對其協議使用多個埠,我可以同時tcpdump在多個埠上執行(如果可以,如何)?

並且,如果有幫助,應用伺服器將使用 Javaldaptive庫來使用 AD 啟動基於 LDAPS 的身份驗證。

源埠(啟動埠)是可變的(每次都改變),但在這種情況下也無關緊要;當您使用“埠 636”作為過濾器時,它將匹配源埠或目標埠,我們知道在這種情況下目標埠將始終為 636。

所以:在埠 636 上擷取。如果您還需要在另一個埠上擷取,比如 389:

tcpdump 埠 636 或 389 {其餘選項}

會工作。

引用自:https://serverfault.com/questions/659084