用Wireshark轻松解密TLS浏览器流量

  • 用Wireshark轻松解密TLS浏览器流量已关闭评论
  • 11 views
  • A+
所属分类:安全闲碎
2015-02-13 19:37:17
阅读:0次


来源: 360安全播报


概述:

http://p2.qhimg.com/t01dcf9db7fe9868178.jpg

引言

大多搞IT的人多少知道点Wireshark。它是一款浏览分析器,可以帮助你知道有多少网络在运行、诊断网络问题等等。

t0197e9a11e10b451ad.png

Wireshark运行的一个问题是它无法轻易地分析出加密流量,如TLS。之前你只要有密钥,将它们输入Wireshark就可以解密流量,但只有在密钥交换机制使用RSA时才能起作用。随着使用正向加密的人开始变少,只拥有密钥并不足以得到用于解密数据的会话密钥。另外一个问题是,密钥不应该也不能离开客户端、服务器或者它所在的高速存储器。这让我想到非常具有争议的中间人方法(例如sslstrip)。

登录会话加密来救场!

朋友们,我要告诉你们还有一种更简单的办法!Firefox跟Chrome都支持登录会话对称加密,以将TLS流量加密至一个文件中。随后你可将Wireshark指向所述文件——神奇的时刻来了:我们得到了解密之后的TLS流量。下面来看看怎么进行设置。

设置浏览器

我们需要设置一个环境变量

Windows:

进入电脑属性页面,点击“高级系统设置”,点击“环境变量”

t0142722ee00ff38a5b.png

添加一个新的用户变量“SSLKEYLOGFILE”并将其指向你想要放日志文件的地方。

t01606f5621ac993360.png

Linux或Max OS X

1

export SSLKEYLOGFILE=~/path/to/sslkeylog.log

同时,将它加入Linux上如下代码的最后一行

或者将

添加到OS X,这样每当你登录时一切都已设置好。

下次当我们登录Firefox或者Chrome最新开发版时,它们会将你的TLS密钥登录到这个文件。

设置Wireshark

Wireshark

t01f418470fd4c10a52.jpg

扩展协议部分:

http://p9.qhimg.com/t010b7864d560eab7e3.jpg

浏览你的日志文件位置

t018f1ec6602b0ebbbf.jpg

结果

它比我们正常看到的TLS包多了几行:

t01660cb3c0036f2408.png

当你转换到“解密SSL数据”标签时,会看到如下内容。现在,我们能够看到明文请求信息了!成功了!

t013285b6298a66ca60.png

结论

我希望你今天能学到一些东西,这个方法让捕获TLS通信更容易。这个设置的好处之一是生成TLS流量的客户端/服务器无需Wireshark,因此你不需要用这些东西搞砸客户端机器,你可以让它们把日志转储到网络共享或将其复制并与机器共同做抓包。


用Wireshark轻松解密TLS浏览器流量
用Wireshark轻松解密TLS浏览器流量

本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

相关推荐: TCP/UDP 协议 与 Socket 网络通信

任务目标:建立 socket 连接通道,可以相互之间传输数据使用环境:python任务要求:1、理解TCP、UDP协议的原理及特点。2、分别使用 TCP、UDP 协议实现数据通讯。拓展任务:实现客户端发送命令,服务端接收命令并执行。前言好令人蒙蔽,大雾。tcp…