Articles

descodificando o tráfego SSL/TLS com o Wireshark

neste artigo, faremos com que o Linux configure e capture os pacotes HTTPS (Hypertext Transfer Protocol Secure) em Wireshark. Então vamos tentar descodificar as encriptações SSL (Secure Socket Layer).

Note que: a descodificação do SSL / TLS pode não funcionar correctamente através do Wireshark. Isto é apenas um teste para ver o que é possível e o que não é possível.o que são SSL, HTTPS e TLS?

na verdade, todos estes três termos técnicos estão inter-relacionados. Quando usamos apenas HTTP (Hypertext Transfer Protocol), então nenhuma segurança de camada de transporte é usada e podemos facilmente ver o conteúdo de qualquer pacote. Mas quando HTTPS é usado, então podemos ver TLS (Transport Layer Security) é usado para criptografar os dados.simplesmente podemos dizer.

HTTP + (over) TLS/SSL = HTTPS

Nota: HTTP envia dados sobre a porta 80 mas HTTPS usa a porta 443.

Screenshot de Dados HTTP:

Imagem para o HTTPS Dados:

Fazer o Linux configurado para SSL descrição de pacotes

Passo 1
Adicionar abaixo variável de ambiente dentro .ficheiro bashrc. Abre a porta .bashrc file and add the below line at end of the file. Salve e feche o arquivo.

export SSLKEYLOGFILE=~/.chave ssl.log

Agora, execute o comando abaixo para obter o efeito dele.

source~/.bashrc

Agora, tente o comando abaixo para obter o valor de “SSLKEYLOGFILE”

echo $SSLKEYLOGFILE

Aqui está a imagem de todas as etapas acima

Passo 2
O ficheiro de registo acima não está presente no Linux. Crie o ficheiro de registo acima no Linux. Use o comando abaixo para criar um ficheiro de Registo.

touch~/.chave ssl.log

Passo 3
Lançamento padrão instalado o Firefox e abra qualquer site https como Linuxhint ou Upwork.

aqui eu tomei o primeiro exemplo como upwork.com.

Após a abertura do site upwork no Firefox, verifique o conteúdo desse arquivo de log.

Comando:

cat ~/.chave ssl.log

Se este ficheiro estiver vazio, então o Firefox não está a usar este ficheiro de Registo. Fechem O Firefox.

siga os comandos abaixo para instalar o Firefox.comandos

:

sudo add-apt-repository ppa:ubuntu-mozilla-daily/firefox-aurora
sudo apt-get update
sudo apt-get install firefox

Agora, o lançamento do Firefox e verifique o conteúdo do arquivo de log

Comando:

cat ~/.chave ssl.log

Agora podemos ver informações enormes como a imagem abaixo. Estamos prontos.

Passo 4
Agora precisamos adicionar esse arquivo de log dentro do Wireshark. Seguir o caminho abaixo:

Wireshark->Edit->Preferences->Protocol->SSL->”Here provide your master secret log file path”.

Follow the below screenshots for visual understanding.

Depois de fazer todas essas configurações, faça OK e inicie o Wireshark sobre as interfaces necessárias.

Agora o conjunto está pronto para verificar a descodificação SSL.

análise Wireshark

após a Wireshark começar a capturar, coloque o filtro como” ssl ” de modo que apenas os pacotes SSL sejam filtrados em Wireshark.

Olhe para a imagem abaixo, aqui podemos ver o HTTP2 (HTTPS) aberto para alguns pacotes que eram encriptação SSL/TLS antes.

Agora, podemos ver o “Descriptografados SSL” no Wireshark e HTTP2 protocolos são abertos visível. Veja a imagem abaixo para os ponteiros.

Vamos ver as diferenças entre o “Antes SSL arquivo de log habilitado” e “Depois de SSL arquivo de log habilitado” para https://linuxhint.com

Aqui está a imagem para pacotes de Linuxhint quando “SSL de log não foi habilitado”

Aqui está a imagem para pacotes de Linuxhint quando “SSL de log foi habilitado”

podemos ver as diferenças facilmente. Na segunda imagem, podemos ver claramente a URL que foi solicitada pelo Usuário.

https://linuxhint.com/bash_scripting_tutorial_beginners/\r\n

Agora, podemos tentar outros sites e observar se esses métodos funcionam ou não.

conclusão

os passos acima mostram como fazer o Linux configurar para descodificar a encriptação SSL/TLS. Podemos ver que funcionou bem, mas alguns pacotes ainda estão encriptados com SSL / TLS. Como mencionei anteriormente, pode não funcionar para todos os pacotes ou completamente. Ainda assim, é bom aprender sobre a descodificação SSL/TLS.