Eu tenho um arquivo PCAP contendo tráfego HTTP criptografado por SSL e a chave privada do servidor web relevante. Eu gostaria de um arquivo PCAP que contém o tráfego HTTP descriptografado para alimentar uma ferramenta diferente. Consegui obter tshark para descriptografar e exibir o protocolo HTTP; no entanto, quando eu envio seus resultados para um arquivo de despejo de pacotes, o arquivo ainda contém o tráfego criptografado por SSL. Posso usar o tshark para reconstruir e escrever um PCAP com o tráfego descriptografado?
Atualmente estou usando o seguinte comando:
./tshark \
-o ssl.desegment_ssl_records:TRUE \
-o ssl.desegment_ssl_application_data:TRUE \
-o ssl.keys_list:"127.0.0.1","443","http","../snakeoil/rsasnakeoil2.key" \
-V -2 -R http \
-r ../snakeoil/rsasnakeoil2.cap \
-w out.pca