Como visualizar o tráfego em uma porta ssh encaminhada?

Eu fazia batota e colocava um par de netcat e tee no pipeline:

nc -k -l -p $localport -c "tee file.out | nc 127.0.0.1 $portforwardport"

em que $localport é uma porta arbitrária para apontar seu processo de java em e $portforwardport é seu número de porta de encaminhamento de porta ssh. O -k faz com que o netcat de escuta fique em escuta, em vez de sair após a primeira vez que um cliente se desconecta. A saída terminará em file.out no seu host local.

Como @derobert disse nos comentários, sua melhor aposta provavelmente será com uma ferramenta como a wireshark. Você desejará direcionar o tráfego entrando e saindo de seu processo Java antes de entrar no túnel ssh. Como o túnel está criptografado, você não conseguirá atingir o pico dentro dele.

Além disso, o site sectools.org mantém uma extensa lista de ferramentas de sniffing que você pode verificar se o wireshark não parece atender às suas necessidades.

• link

Você pode usar tcpdump

$> sudo tcpdump -vv -x -X -s 1500 -i lo 'port 8000' 

Isso funciona se você mapeou o túnel ssh para localhost (interface lo ) para a porta 8000

-vv verbose level 2
-X  print data in hex and ASCII 
-x  print data in hex to a max limit of -s 
-s  snaplen - limit of data to print
-i eth0 tcpdump on the eth0 interface

Você também pode salvar este script no seu caminho como sniff-port

#!/bin/bash -xe
# use the first argument as port. if not defined default to 8080
PORT=${1:-8080} 
# sniff sniff
sudo tcpdump -vv -x -X -s 1500 "port $PORT" -i lo

e depois usá-lo como

$> sniff-port 1234

Você pode usar o link do kismet para sniffing.