Quindi sto cercando di capire quale sia il carico utile del pacchetto fuori da un possibile avviso TLS HeartBleed dal mio IDS. Ho letto che Wireshark è in grado di farlo con alcune chiavi, ma non è in tempo reale (ish). Sarei in grado di mettere quella cattura in wireshark se posso usare il certificato dal mio server?
Credo che sarebbe il .cer giusto?
Probabilmente non è necessario decodificare il pacchetto poiché molto probabilmente non contiene informazioni utili. Se guardi nel pacchetto con Wireshark dovresti vedere che il tipo di (almeno uno) record TLS nel pacchetto è 0x18 (protocollo heartbeat). Il messaggio Heartbeat (decrittografato) contiene due campi TLS: HeartbeatLength e HeartbeatPayload. Se il tuo IDS è stato in grado di decodificare il record, probabilmente ha visto che HeartbeatLength nel record era maggiore del numero di byte HeartbeatPayload. Se anche il server che questo pacchetto è stato inviato è vulnerabile a Heartbleed, questo pacchetto avrebbe attivato la famosa vulnerabilità Heartbleed. D'altra parte, se il tuo IDS non può decifrare i record, probabilmente non gli piacevano i messaggi di Heartbeat in generale.