Como imprimir os detalhes do pacote SSL com o tshark?

4

Coletei uma breve troca entre um cliente e um servidor SSL ( s_client e s_server do openssl, para ser exato) e desejo visualizar as partes ssl do arquivo pcap com tshark . Não preciso descriptografar as partes criptografadas, mas pelo menos gostaria de saber os valores nos campos não criptografados.

Ao copiar o arquivo do servidor para a minha área de trabalho, posso abrir o arquivo pcap com o Wireshark e ver os campos por padrão:

Poroutrolado,tshark-rtls_dump.pcapexibeapenasaparteTCPdospacotes.Porexemplo,paraomesmopacote:

40.000069237127.0.0.1→127.0.0.1TCP37354312→44330[PSH,ACK]Seq=1Ack=1Win=43776Len=307...

Eutenteicoletarospacotescomtcpdump-U-ilo'port44330'-wtls_dump.pcapetshark-nn-ilo-s0-wtls_dump.pcapport44330(como aqui ), mas ao tentar visualizar os pacotes os resultados são os mesmos.

tshark opções que experimentei:

  • -2 não tem efeito

  • -2R "ssl" não mostra nada

  • -Y "ssl" não mostra nada

  • -o "ssl.desegment_ssl_records: TRUE" -o "ssl.desegment_ssl_application_data: TRUE" não tem efeito

  • -T json mostra apenas dados de carga útil TCP não interpretados

  • -V mostra apenas dados de carga útil TCP não interpretados

  • --print não tem efeito

  • --enable-protocol "ssl" não tem efeito

  • --enable-heuristic "ssl" me fornece um erro No such protocol ssl, can't enable

Como um pacote de saída SSL detalha um pacote SSL com tshark ?

    
por vasilyrud 02.07.2018 / 17:10

1 resposta

4

O que funcionou no final foi especificar a porta usando -d tcp.port==44330,ssl , assim meu comando completo era:

tshark -r tls_dump.pcap -d tcp.port==44330,ssl

A razão pela qual isso foi necessário foi devido a algumas diferenças específicas de versão no Wireshark. Minha área de trabalho tinha a versão 2.6.0 , que detectava automaticamente o protocolo SSL. O servidor tinha a versão 2.4.6 , que não conseguia detectar o SSL e precisava que o número da porta fosse especificado.

Somente pacotes SSL podem ser impressos com:

tshark -r tls_dump.pcap -d tcp.port==44330,ssl -2R "ssl"

Somente pacotes SSL no formato JSON:

tshark -r tls_dump.pcap -d tcp.port==44330,ssl -2R "ssl" -T json
    
por 02.07.2018 / 20:30