Articles

SSL / TLS-Datenverkehr mit Wireshark entschlüsseln

by admin

In diesem Artikel werden wir Linux einrichten und erfassen HTTPS (Hypertext Transfer Protocol Secure) Pakete in Wireshark. Dann werden wir versuchen, die SSL-Verschlüsselungen (Secure Socket Layer) zu dekodieren.

Beachten Sie Folgendes: Die Entschlüsselung von SSL /TLS funktioniert möglicherweise nicht ordnungsgemäß über Wireshark. Dies ist nur ein Versuch, um zu sehen, was möglich ist und was nicht.

Was sind SSL, HTTPS und TLS?

Eigentlich sind alle diese drei Fachbegriffe miteinander verknüpft. Wenn wir nur HTTP (Hypertext Transfer Protocol) verwenden, wird keine Transportschichtsicherheit verwendet und wir können den Inhalt eines Pakets leicht sehen. Wenn jedoch HTTPS verwendet wird, können wir sehen, dass TLS (Transport Layer Security) zum Verschlüsseln der Daten verwendet wird.

Einfach gesagt.

HTTP + (über) TLS/SSL = HTTPS

Hinweis: HTTP sendet Daten über Port 80, HTTPS verwendet jedoch Port 443.

Screenshot für HTTP-Daten:

Screenshot für HTTPS-Daten:

Machen Linux für SSL-Paket Beschreibung einrichten

Schritt 1
Fügen Sie unten Umgebungsvariable innerhalb der .bashrc-Datei. Öffnen Sie die .bashrc-Datei und fügen Sie die folgende Zeile am Ende der Datei hinzu. Speichern und schließen Sie die Datei.

exportieren Sie SSLKEYLOGFILE=~/.ssl-Schlüssel.log

Führen Sie nun den folgenden Befehl aus, um den Effekt zu erzielen.

Quelle ~/.bashrc

Versuchen Sie nun den folgenden Befehl, um den Wert von „SSLKEYLOGFILE“ zu erhalten

echo $SSLKEYLOGFILE

Hier ist der Screenshot für alle obigen Schritte

Schritt 2
Die obige Protokolldatei ist unter Linux nicht vorhanden. Erstellen Sie die obige Protokolldatei unter Linux. Verwenden Sie den folgenden Befehl, um eine Protokolldatei zu erstellen.

berühren Sie ~/.ssl-Schlüssel.log

Schritt 3
Starten Sie den standardmäßig installierten Firefox und öffnen Sie eine beliebige https-Site wie Linuxhint oder Upwork.

Hier habe ich das erste Beispiel als genommen upwork.com .

Nachdem die upwork-Website in Firefox geöffnet wurde, überprüfen Sie den Inhalt dieser Protokolldatei.

Befehl:

cat ~/.ssl-Schlüssel.log

Wenn diese Datei leer ist, verwendet Firefox diese Protokolldatei nicht. Schließen Sie Firefox.

Befolgen Sie die folgenden Befehle, um Firefox zu installieren.

Befehle:

sudo add-apt-repository ppa:ubuntu-mozilla-daily/firefox-aurora
sudo apt-get update
sudo apt-get firefox installieren

Starten Sie nun Firefox und überprüfen Sie den Inhalt dieser Protokolldatei

Befehl:

atze ~/.ssl-Schlüssel.log

Jetzt können wir riesige Informationen wie den folgenden Screenshot sehen. Wir sind gut zu gehen.

Schritt 4
Jetzt müssen wir diese Protokolldatei in Wireshark hinzufügen. Folgen Sie dem folgenden Pfad:

Wireshark->Edit->Preferences->Protocol->SSL->”Here provide your master secret log file path”.

Follow the below screenshots for visual understanding.

Nachdem Sie alle diese Einstellungen vorgenommen haben, gehen Sie zu OK und starten Sie Wireshark an den erforderlichen Schnittstellen.

Jetzt ist das Setup bereit, die SSL-Entschlüsselung zu überprüfen.

Wireshark-Analyse

Nachdem Wireshark mit der Erfassung begonnen hat, setzen Sie filter als „ssl“, damit nur SSL-Pakete in Wireshark gefiltert werden.

Schauen Sie sich den Screenshot unten an, hier können wir sehen, dass HTTP2 (HTTPS) für einige Pakete geöffnet ist, die zuvor SSL / TLS-Verschlüsselung waren.

Jetzt können wir die Registerkarte „Entschlüsseltes SSL“ in Wireshark sehen und die HTTP2-Protokolle werden sichtbar geöffnet. Siehe den folgenden Screenshot für Zeiger.

Sehen wir uns die Unterschiede zwischen „Before SSL log file enabled“ und „After SSL log file enabled“ für https://linuxhint.com

Hier ist der Screenshot für Pakete von Linuxhint, wenn „SSL log wurde nicht aktiviert“

Hier ist der Screenshot für Pakete von Linuxhint, wenn „SSL log aktiviert wurde“

Wir können die Unterschiede leicht erkennen. Im zweiten Screenshot sehen wir deutlich die URL, die vom Benutzer angefordert wurde.

https://linuxhint.com/bash_scripting_tutorial_beginners/\r\n

Jetzt können wir andere Websites ausprobieren und beobachten, ob diese Methoden funktionieren oder nicht.

Fazit

Die obigen Schritte zeigen, wie Linux eingerichtet wird, um SSL/TLS-Verschlüsselung zu entschlüsseln. Wir können sehen, dass es gut funktioniert hat, aber einige Pakete sind immer noch SSL / TLS-verschlüsselt. Wie bereits erwähnt, funktioniert es möglicherweise nicht für alle Pakete oder vollständig. Dennoch ist es gut, etwas über SSL / TLS-Entschlüsselung zu lernen.