Descriptografar o tráfego SSL no Wireshark. Somente cabeçalhos são descriptografados

2

Estou tentando descriptografar o tráfego SSL no Wireshark e isso funciona parcialmente porque consigo visualizar os cabeçalhos descriptografados. O problema é que não vejo nenhum dos conteúdos do pacote, apenas seus cabeçalhos. Existe uma explicação para esse comportamento?

Um pouco mais detalhadamente: usamos o openssl para gerar chaves e certificados com o comando: openssl req -config *.cnf -new -x509 -extensions v3_ca -keyout *.key -out *.crt -days 1825

e, em seguida, para descriptografar a chave privada para um formato PKCS # 8, que supostamente suporta wireshark, emitimos este comando: openssl pkcs8 -nocrypt -in *.key -informat DER -out *.key -outformat PEM

No Wireshark, emitimos os seguintes parâmetros na seção de descriptografia SSL: 10.10.10.10,443,http,*.key - onde 10.10.10.10 é o cliente que estamos tentando usar o MITM sslsniff. Nós também tentamos localhost e servidores IP sem sucesso. Alguma sugestão?

    
por user1049697 13.02.2012 / 20:57

3 respostas

5

A conexão SSL provavelmente estava usando Diffie-Hellman para estabelecer a chave da sessão. O DH permite que duas partes estabeleçam um segredo compartilhado sobre um canal inseguro sem comunicação prévia. Isso significa que mesmo que você tenha a chave privada, não será possível determinar a chave da sessão inspecionando o tráfego. Para decodificar uma sessão DH, você deve habilitar MITM ativamente a conexão ou fazer com que uma das partes registre a chave da sessão.

    
por 06.06.2012 / 02:09
2

Você terá que capturar e configurar o wireshark para descriptografar.

Confira este tutorial (os passos 2 e 3 parecem resolver o seu problema)

Também pode querer verificar esta saída

    
por 13.02.2012 / 21:09
0

Você poderia estar confundindo dados criptografados com dados compactados? Os servidores da Web geralmente usam alguma forma de compactação de dados (gzip ou deflate) que poderia obscurecer a carga para parecer que estava criptografada.

    
por 19.11.2014 / 23:42

Tags