Intereting Posts
Именованные трубы: несколько экспериментов приводят к путанице Как устранить то, что ест память? PXE USB BOOT Debian В linux можно ли запускать скрипт каждый день на 3 минуты позже, чем в предыдущий день? Удалить последний символ строки, используя строковое манипулирование в сценарии оболочки «Ls -l» показывает некоторые ненормальные файлы с «?» Предупреждение fdisk: (расширенный) Раздел не начинается с границы физического сектора Как получить свой собственный IP-адрес и сохранить его в переменной в сценарии оболочки? Как преобразовать общий формат XML-формата в формат свойств String из XML-файла с помощью скрипта ksh Vim продолжает показывать сообщение об ошибке в цветовой схеме без каких-либо причин Как grep перевернутый, не показывающий строки x до / после? В HP-UX, как я могу записывать сообщения системных событий Information Only Only в syslog.log? Извлечь имя файла из команды find Чтение пространства в качестве входного файла в сценарии оболочки Total Commander «сравнивает контент», как альтернатива?

Как постепенно шифровать выходной файл tshark вдоль захвата?

Чтобы обеспечить захват пакетов, какой метод вы бы использовали, чтобы сделать все (или близко ко всем) прошлым захваченным пакетом совершенно недоступным, если не указан данный пароль.

Мои habbits

Проблема с этим методом заключается в том, что файл capture-file.pcap является недоступным только после ecryptfs системы ecryptfs .

Как я могу сделать захват без какой-либо незашифрованной версии захвата в системе?

Фактически стандартным инструментом для шифрования данных является GnuPG (или совместимая проприетарная программа PGP .

Создайте пару ключей на машине, где вы захотите расшифровать данные ( gpg --gen-key ). Экспортируйте открытый ключ ( gpg --export … ) и скопируйте его на машину, где вы будете шифровать (конечно, вы можете пропустить этот шаг, если шифрование и дешифрование будут выполняться на одном компьютере). Затем запустите

 tshark … -w - | gpg -e >capture.pcap.gpg 

Чтобы расшифровать, просто запустите gpg capture.pcap.gpg .

GnuPG также может выполнять шифрование на основе пароля, с -c вместо -e . Это менее безопасно по двум причинам:

  • Потому что люди склонны выбирать недостаточно сильные пароли, и даже лучший запоминающийся пароль не такой сильный, как случайный ключ.
  • Поскольку информация, необходимая для шифрования, также достаточна для дешифрования, тогда как использование асимметричной пары ключей позволяет шифровать, не имея расшифровки учетных данных.

Для зашифрованного захвата

 tshark -w - | openssl enc -des3 -out capture.pcap.des3 

Чтение с

 openssl enc -d -des3 -out capture.pcap.des3 | wireshark -i - k