Ich versuche, den SSL-Verkehr in Wireshark zu entschlüsseln, und es funktioniert teilweise, weil ich die entschlüsselten Header anzeigen kann. Das Problem ist, dass ich keinen der Paketinhalte sehe, nur deren Header. Gibt es eine Erklärung für dieses Verhalten?
Ein bisschen detaillierter: Wir haben openssl verwendet, um Schlüssel und Zertifikate mit dem Befehl zu generieren:
openssl req -config *.cnf -new -x509 -extensions v3_ca -keyout *.key -out *.crt -days 1825
und dann, um den privaten Schlüssel in ein PKCS # 8-Format zu entschlüsseln, das wireshark angeblich unterstützt, gaben wir diesen Befehl aus:
openssl pkcs8 -nocrypt -in *.key -informat DER -out *.key -outformat PEM
In Wireshark haben wir die folgenden Parameter im Abschnitt zur SSL-Entschlüsselung ausgegeben:
10.10.10.10,443,http,*.key
- Dabei ist 10.10.10.10 der Client, den wir mit sslsniff auf MITM testen. Wir haben auch versucht, Localhost und Server IP ohne Erfolg. Irgendwelche Vorschläge?
Konnten Sie verschlüsselte Daten mit komprimierten Daten verwechseln? Webserver verwenden normalerweise eine Form der Datenkomprimierung (gzip oder deflate), die die Nutzlast verdecken kann, so dass sie verschlüsselt aussieht.
quelle