ღ Miranda

Wireshark SSL加密流量包分析

wireshark分析不加密的流量时可以直接看到明文数据,可当传输协议为https等加密的流量时我们无法看到数据,今天总结一下怎么在拿到私钥的情况下获取加密流量包的内容

SSL

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

服务器认证阶段:

  1. 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接。
  2. 服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息。
  3. 客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器。
  4. 服务器回复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。

用户认证阶段:

在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。

https即http下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。


加密流量包破解

TLS1.2

首先还是打开.pcap包,为了分析加密流量,先应用过滤器条件ssl从而从中筛选出TLS1.2的包:

img

然后我们需要导入私钥文件a.key文件,文件大致内容为:

在偏好设置中选择Protocols,然后找到SSL一项,在RSA keys list项中选择私钥文件并配置IP地址为127.0.0.1,Port为443,Protocol为ssl,KeyFile为a.key文件然后退出重新打开流量包,不报错就说明密钥载入成功,接着应用过滤器ssl,就可以在16进制窗口底下看到有Decrypted SSL data这一个标签,点开就能看到解密后的流量。

HTTPS

解密https流量大致一样,不过只提供了一个log文件,直接将文件加到如图最后一项,重新打开即可。

img

发表评论

电子邮件地址不会被公开。