Posso usar o tshark para gravar pacotes descriptografados em SSL em um arquivo?

2

Eu tenho um arquivo PCAP contendo tráfego HTTP criptografado por SSL e a chave privada do servidor web relevante. Eu gostaria de um arquivo PCAP que contém o tráfego HTTP descriptografado para alimentar uma ferramenta diferente. Consegui obter tshark para descriptografar e exibir o protocolo HTTP; no entanto, quando eu envio seus resultados para um arquivo de despejo de pacotes, o arquivo ainda contém o tráfego criptografado por SSL. Posso usar o tshark para reconstruir e escrever um PCAP com o tráfego descriptografado?

Atualmente estou usando o seguinte comando:

./tshark                                                                   \
  -o ssl.desegment_ssl_records:TRUE                                        \
  -o ssl.desegment_ssl_application_data:TRUE                               \
  -o ssl.keys_list:"127.0.0.1","443","http","../snakeoil/rsasnakeoil2.key" \
  -V -2 -R http                                                            \
  -r ../snakeoil/rsasnakeoil2.cap                                          \
  -w out.pca
    
por Willi Ballenthin 09.07.2014 / 00:57

0 respostas