Захватите ssl, расшифруйте его и сохраните необработанный вывод

Я работаю в Linux, и мне нужно захватить HTTPS-трафик (не будучи посредником) и декодировать трафик, а затем сохранить декодированный трафик в необработанный файл pcap. Передача вывода другому процессу также допустима. Получение удобочитаемого вывода (не необработанного) не является нормальным.

У меня есть доступ к ключу ssl на сервере.

Направления, которые я пробовал:

  1. акула. Отлично работает, но не поддерживает DH (и, возможно, другие распространенные ключи шифрования ssl). См. это и это
  2. сслдамп. Отлично работает, но не может выводить необработанный файл pcap, только удобочитаемый вывод. РЕДАКТИРОВАТЬ: ssldump также не может расшифровать ssl (в этом сценарии).

Если вы можете помочь мне решить проблему в # 1 или # 2, это было бы здорово. Новые идеи также приветствуются. Спасибо!


linux ssl pcap tcpdump tshark
person Hibuki    schedule 13.01.2016    source источник

Ответы (1)


arrow_upward
0
arrow_downward

У меня есть доступ к ключу ssl на сервере... Отлично работает, но не поддерживает DH

Ключ SSL сервера не помогает с DH/ECDH, поскольку ключи шифрования для соединения не являются производными от ключа сервера. Вам потребуется доступ к фактическим ключам, используемым для шифрования. Существует несколько описаний того, как получить доступ к этим ключам в некоторых браузерах, см., например, https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/.

Если у вас нет доступа к ключам шифрования SSL-соединения, единственным способом будет ограничить шифры, чтобы не использовались DH/ECDH. Это не рекомендуется для производства.

person Steffen Ullrich    schedule 13.01.2016
comment
Резюме: SSL не может быть расшифрован, даже если у меня есть закрытый ключ сервера. Что я решил сделать: Написать промежуточное ПО для сервера моего заказчика, где ssl уже расшифрован - person Hibuki; 27.01.2016