2

Я пытаюсь расшифровать трафик SSL в Wireshark, и он частично работает, потому что я могу просматривать расшифрованные заголовки. Проблема в том, что я не вижу ни одного содержимого пакета, только их заголовки. Есть ли объяснение этому поведению?

Немного подробнее: мы использовали openssl для генерации ключей и сертификатов с помощью команды: openssl req -config *.cnf -new -x509 -extensions v3_ca -keyout *.key -out *.crt -days 1825

и затем, чтобы расшифровать закрытый ключ в формате PKCS # 8, который якобы поддерживает wireshark, мы выполнили следующую команду:openssl pkcs8 -nocrypt -in *.key -informat DER -out *.key -outformat PEM

В Wireshark мы выдавали следующие параметры в разделе расшифровки SSL:10.10.10.10,443,http,*.key - где 10.10.10.10 - это клиент, которого мы пытаемся MITM, используя sslsniff. Мы также попробовали IP-адреса локального хоста и серверов, но безуспешно. Какие-либо предложения?

3 ответа3

5

SSL-соединение, вероятно, использовало Диффи-Хеллмана для установления сеансового ключа. DH позволяет двум сторонам устанавливать общий секрет по небезопасному каналу без предварительной связи. Это означает, что даже если у вас есть закрытый ключ, вы не можете определить ключ сеанса, проверив трафик. Чтобы декодировать сеанс DH, вы должны активно MITM-соединение или получить одну из сторон для записи ключа сеанса.

2

Вам нужно будет захватить и затем настроить wireshark для расшифровки.

Ознакомьтесь с этим руководством (кажется, что шаги 2 и 3 решают вашу проблему)

Может также хотеть проверить это

0

Возможно, вы ошибочно приняли зашифрованные данные за сжатые данные? Веб-серверы обычно используют некоторую форму сжатия данных (gzip или deflate), которая может скрыть полезную нагрузку, чтобы она выглядела как зашифрованная.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .