使用 tcpdump 擷取 LDAPS 流量

我有一個使用 LDAPS 對 Active Directory 進行身份驗證的應用伺服器。我通過埠 636 連接到 AD 伺服器。

我正在嘗試對一些性能問題進行故障排除/調試，並開始懷疑延遲來自 AD 本身或應用伺服器與 AD 之間的連接。我想執行一個tcpdump（我的第一次！）以在身份驗證性能不佳期間擷取流量（使用者正在登錄，只是在翻騰的瀏覽器前等待）。到目前為止，從本教程來看，我的命令如下所示：

tcpdump port <???> -v -i eth0 -w ~/capture.log

然而，由於這是我的第一次tcpdump，我對港口周圍的一些事情很感興趣。我知道我的應用伺服器在 AD 的埠 #636 上連接到 AD，但我不知道我們在哪個埠（在應用伺服器 VM 上）啟動該連接。我也不知道 LDAPS 為其協議使用什麼樣的出站/入站埠，Google在這個部門沒有提供太多幫助。例如，我知道 FTP 總是使用 2 個 TCP 連接（命令 + 數據）；我想知道 LDAPS 是否做類似的事情？

我想這一切都在問：**如果我在tcpdump應用伺服器 VM 上做，我應該在哪個埠上擷取流量？**而且，如果 LDAPS 對其協議使用多個埠，我可以同時tcpdump在多個埠上執行（如果可以，如何）？

並且，如果有幫助，應用伺服器將使用 Javaldaptive庫來使用 AD 啟動基於 LDAPS 的身份驗證。

源埠（啟動埠）是可變的（每次都改變），但在這種情況下也無關緊要；當您使用“埠 636”作為過濾器時，它將匹配源埠或目標埠，我們知道在這種情況下目標埠將始終為 636。

所以：在埠 636 上擷取。如果您還需要在另一個埠上擷取，比如 389：

tcpdump 埠 636 或 389 {其餘選項}

會工作。

引用自：https://serverfault.com/questions/659084