Sniff handshake SSL usando tshark

7

Como faço para obter um dump de um handshake SSL em um formato legível usando o tshark? Eu preciso fornecer isso a um fornecedor para depurar um problema de handshake SSL com falha.

Isso precisa ser feito em tshark, não em wireshark, como está sendo feito em um servidor remoto sem GUI.

    
por goji 03.08.2012 / 01:34

2 respostas

4

Assim.

tshark -nn -i <interface> -s 0 -w mycapture.pcap <hostname> and port <portnumber>

Substitua <interface> pelo nome da interface a ser capturada (por exemplo, eth0 ). Substitua <hostname> pelo nome ou endereço IP do host remoto para o qual você deseja capturar os pacotes. Substitua <portnumber> pela porta em que o serviço está sendo executado (provavelmente 443 ).

Você também pode usar tcpdump . Tanto o Wireshark quanto o tcpdump usam o libpcap para capturar, então você capturará exatamente a mesma informação. Você também pode copiar o arquivo resultante e abri-lo no Wireshark em um computador diferente.

Os sinalizadores de linha de comando para tcpdump e tshark estão próximos o suficiente para que, na maioria dos casos, eles possam ser usados de maneira intercambiável.

    
por 03.08.2012 / 02:37
4

Supondo que você já saiba como usar filtros com tshark, basta fornecer o seguinte filtro de exibição:

ssl.handshake.type == 1

Se você quiser todo o tráfego SSL, basta colocar ssl como filtro.

Você não pode usá-los diretamente nos filtros de captura, pois o mecanismo de filtragem de captura não sabe se a carga útil é ssl ou não.

Como alternativa, se você souber a que porta o tráfego ssl está passando, poderá usar um filtro de captura para essa porta, por exemplo, se o tráfego SSL estiver na porta 443, use o filtro port 443

Para mais informações, consulte:

  1. Lista mais extensa de filtros de exibição ssl aqui

  2. Como capturar SSL usando filtros de captura

Um exemplo de comando para você capturar o tráfego ssl em um formato legível e colocá-lo em um arquivo será:

tshark -i <interface> -c <no. of packets to capture> -V -R "ssl" > capturefile.txt

Ou usando filtros de captura

tshark -i <interface> -c <no. of packets to capture> -V -f "port 443" > capturefile.txt

Consulte também a página do manual do tshark para obter mais detalhes.

    
por 03.08.2012 / 02:40