当我使用 snoop 记录/查看 Solaris 10 服务器上的流量时,如果我指定端口 389,它会自动显示/解码 LDAP 流量
但我还需要监听端口 3268(这也是 LDAP 流量 - 到 AD 的“全局目录”),但当我查看输出时,没有发现任何 LDAP 的迹象
答案1
对于使用 snoop,我认为我们处于步骤 -1:说服 Oracle 他们需要让他们的软件处理这个问题。
查看在线 snoop 手册页,我发现了这一点:
ldap
True if the packet is an LDAP packet on port 389.
这表明协议解码是由认为 LDAP 与端口 389 根本相关的人编写的。
我不喜欢这个答案,所以寻找另一个:
Wireshark 可能是另一个选择。它适用于 Solaris,可以理解来自 snoop 的捕获文件。它的文档没有明确说明它是否能够在备用端口上解码 LDAP,所以我搜索了一下,看看它是否可以,然后找到了这个https://osqa-ask.wireshark.org/questions/21358/failure-to-recognize-ldap-if-not-port-389:
问题:
... 我使用的是端口 50000。我能够成功验证并捕获流量。但是,wireshark 将其解释为 TCP 而不是 LDAP,并且在信息字段中没有显示绑定请求等。这是由于我使用的端口造成的吗?
回答:
您可以在首选项中更改 LDAP 的默认端口(单击协议,然后搜索 LDAP)。
或者您可以右键单击数据包并使用“解码为...”