Come filtrare i pacchetti "dati applicativi" di PCAP per TLS?

1

Ho un file pcap contenente traffico crittografato.

Voglio filtrare i pacchetti SSL che contengono i dati dell'applicazione. Tieni presente che non desidero decrittografare il traffico, ma voglio solo prendere nota dei pacchetti con dati crittografati. Inizialmente, stavo usando il campo tipo di contenuto (valore = 23 ) nel record TLS per filtrare tale traffico.

Tuttavia, nel file pcap osservo pacchetti con diverso tipo di contenuto come 12 , 108 , 73 ecc. Non sono riuscito a trovare cosa significano da RFC.

    
posta user1743182 18.06.2017 - 17:56
fonte

1 risposta

2

Ho controllato il file pcap fornito e contato i ContentType usati nel traffico SSL:

$ tshark -O ssl -r youtube_song_wireshark.pcap tcp.port == 443 |\
grep 'Content Type' | sort | uniq -c

Questo mi dà 64 x Alert (21), 86 x ChangeCipherSpec (20), 362 x Handshake (22), 2188 x ApplicationData (23). Non fornisce nessuno dei ContentType che hai visto nella tua analisi.

In un commento fornisci il seguente frammento dei risultati restituiti dall'analisi basata su scapy:

<SSL records=[<TLSRecord content_type=51 version=0x70c2 length=0x3c44 |<TLSCiphertext ...>

Dato che non esiste una versione SSL / TLS 0x70c2 ma che la versione dovrebbe essere nell'intervallo 0x0300 (SSL 3.0) a 0x0303 (TLS 1.2), sospetto che si analizzino dati come SSL che non sono affatto SSL e che ottieni così un risultato così strano. Ci sono diversi tipi di traffico non SSL nel pcap che hai fornito.

    
risposta data 18.06.2017 - 20:45
fonte

Leggi altre domande sui tag