使用tcpdump,我如何尽可能清楚地看到未encryption的SMTP对话?

我试图debugging一个应用程序,这不是一个方便运行WireShark的地方。

我一直在使用“tcpdump -nn -x -X port 25”,但输出并不是最方便的格式。 思考?

你总是可以使用“-w dump.txt -s 0”作为额外的参数将tcpdump写出到文件中,然后将输出文件加载到WireShark本地。

tcpdump -A (而不是-X )将以ASCII格式打印数据包内容。

我认为最简单的方法就是将应用程序指向一个SMTP代理,它将所有事情都传递给真实的服务器并同时记录下来(可能会在几分钟内与socat一起破解),但是用你目前的方法…

  • 使用TShark生成一个捕获文件,并将该文件加载到WireShark更方便的地方。
  • 或者在tcpdump或TShark输出上使用tcptrace 。
  • 或者使用tcpflow 。

存在一个名为ngrep的实用工具,可能对您有所帮助。 它具有所有常规grep的功能,但是它对pcap数据有效。 看看这里