Decifrare SSL usando Wireshark su Linux vs Windows

Naviga le tue risposte
5

Sto lavorando per decodificare il mio stesso traffico che viene inviato tramite Wireshark e ho seguito questa guida per riferimento. Ho usato la variabile di ambiente SSLKEYLOGFILE e posso ottenere i file chiave popolati sia su Windows 8.1 sia su Ubuntu 14.04 LTS.

Il test che sto utilizzando è l'accesso a Facebook e la ricerca della scheda Dati decrittografati su Wireshark. Appare durante l'esecuzione di Windows, ma non si trova da nessuna parte su Linux. Ho anche notato che nella scheda Protocollo, SSL apparirà tra tutti i protocolli di Windows, ma non si trova da nessuna parte sulla versione di Linux. Entrambi mostrano ancora TLSv1.2, quindi non credo di collegarmi a una versione non protetta di Facebook.

La versione Linux di Wireshark è compilata con GnuTLS 2.12.23, quindi anche questo non è il problema. Qualcuno può aiutarti?

    
posta user2132167 27.10.2015 - 17:00
fonte

2 risposte

1

Grazie a tutti, ma la soluzione è stata davvero semplice. Dovevo semplicemente aggiornare. Stavo usando 1.10.6 su Linux (la versione sul software center di Ubuntu), che aveva alcuni problemi riguardanti la decrittazione di SSL. Ho semplicemente dovuto aggiornarlo usando i seguenti comandi. 

sudo apt-add-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get upgrade

Dopo che ha funzionato bene.

Dichiarazione di non responsabilità: ho anche posto questa domanda su Wireshark Q & A forum, e ottenuto la risposta lì.

    
risposta data 03.11.2015 - 17:48
fonte
2

In Wireshark (Ubuntu 14.04) puoi fare clic con il tasto destro il flusso SSL e andare a:

Preferenze protocollo > Preferenze Secure Sockets Layer

Qui è possibile aggiungere elenchi di chiavi RSA in cui è possibile immettere la password della chiave privata utilizzata per proteggere le comunicazioni. Puoi anche inserire una chiave pre-condivisa o un file di registro segreto pre-master (che credo sia quello che hai).

Ecco un tutorial su come decodificare il traffico SSL con Wireshark in Linux.

In alternativa, vorrei utilizzare un proxy come Charles per agire da utente centrale nel visualizzare il traffico SSL tra i siti Web . Rende molto facile vedere il traffico decrittografato e puoi avere più sessioni attive contemporaneamente. Questo è l'ideale in una rete chiusa dal momento che dovrai installare la CA nel tuo negozio di fiducia.

Questo è un ottimo modo per eseguire il debug / visualizzare il traffico web sicuro.

    
risposta data 27.10.2015 - 17:14
fonte

Leggi altre domande sui tag

malware "segmentato" Memorizza le password di base in Lastpass