Sniff handshake SSL usando tshark

Assim.

tshark -nn -i <interface> -s 0 -w mycapture.pcap <hostname> and port <portnumber>

Substitua <interface> pelo nome da interface a ser capturada (por exemplo, eth0 ). Substitua <hostname> pelo nome ou endereço IP do host remoto para o qual você deseja capturar os pacotes. Substitua <portnumber> pela porta em que o serviço está sendo executado (provavelmente 443 ).

Você também pode usar tcpdump . Tanto o Wireshark quanto o tcpdump usam o libpcap para capturar, então você capturará exatamente a mesma informação. Você também pode copiar o arquivo resultante e abri-lo no Wireshark em um computador diferente.

Os sinalizadores de linha de comando para tcpdump e tshark estão próximos o suficiente para que, na maioria dos casos, eles possam ser usados de maneira intercambiável.

Supondo que você já saiba como usar filtros com tshark, basta fornecer o seguinte filtro de exibição:

ssl.handshake.type == 1

Se você quiser todo o tráfego SSL, basta colocar ssl como filtro.

Você não pode usá-los diretamente nos filtros de captura, pois o mecanismo de filtragem de captura não sabe se a carga útil é ssl ou não.

Como alternativa, se você souber a que porta o tráfego ssl está passando, poderá usar um filtro de captura para essa porta, por exemplo, se o tráfego SSL estiver na porta 443, use o filtro port 443

Para mais informações, consulte:

1. Lista mais extensa de filtros de exibição ssl aqui

2. Como capturar SSL usando filtros de captura

Um exemplo de comando para você capturar o tráfego ssl em um formato legível e colocá-lo em um arquivo será:

tshark -i <interface> -c <no. of packets to capture> -V -R "ssl" > capturefile.txt

Ou usando filtros de captura

tshark -i <interface> -c <no. of packets to capture> -V -f "port 443" > capturefile.txt

Consulte também a página do manual do tshark para obter mais detalhes.