Entschlüsseln des SSL-Verkehrs in Wireshark. Nur Header werden entschlüsselt

2

Ich versuche, den SSL-Verkehr in Wireshark zu entschlüsseln, und es funktioniert teilweise, weil ich die entschlüsselten Header anzeigen kann. Das Problem ist, dass ich keinen der Paketinhalte sehe, nur deren Header. Gibt es eine Erklärung für dieses Verhalten?

Ein bisschen detaillierter: Wir haben openssl verwendet, um Schlüssel und Zertifikate mit dem Befehl zu generieren: openssl req -config *.cnf -new -x509 -extensions v3_ca -keyout *.key -out *.crt -days 1825

und dann, um den privaten Schlüssel in ein PKCS # 8-Format zu entschlüsseln, das wireshark angeblich unterstützt, gaben wir diesen Befehl aus: openssl pkcs8 -nocrypt -in *.key -informat DER -out *.key -outformat PEM

In Wireshark haben wir die folgenden Parameter im Abschnitt zur SSL-Entschlüsselung ausgegeben: 10.10.10.10,443,http,*.key- Dabei ist 10.10.10.10 der Client, den wir mit sslsniff auf MITM testen. Wir haben auch versucht, Localhost und Server IP ohne Erfolg. Irgendwelche Vorschläge?

user1049697
quelle

Antworten:

5

Die SSL-Verbindung verwendete wahrscheinlich Diffie-Hellman , um den Sitzungsschlüssel herzustellen. Mit DH können zwei Parteien ohne vorherige Kommunikation ein gemeinsames Geheimnis über einen unsicheren Kanal einrichten. Dies bedeutet, dass Sie den Sitzungsschlüssel nicht durch Untersuchen des Datenverkehrs ermitteln können, obwohl Sie über den privaten Schlüssel verfügen. Um eine DH-Sitzung zu dekodieren, müssen Sie die Verbindung aktiv MITMEN oder einen der Teilnehmer auffordern, den Sitzungsschlüssel zu protokollieren.

mgorven
quelle
2

Sie müssen Wireshark zum Entschlüsseln aufzeichnen und dann konfigurieren.

Schauen Sie sich dieses Tutorial an (Schritte 2 und 3 scheinen Ihr Problem zu lösen)

Kann auch überprüfen möchten dies aus

sealz
quelle
Vielen Dank für die Antwort, aber ich habe diese Anleitung tatsächlich verwendet und konnte nur die Header entschlüsseln.
user1049697
@ user1049697 Diese Person konnte keine Pakete sehen, da sie eine Diffie-Hellman-Verschlüsselung verwendet hat. seclists.org/wireshark/2009/Nov/75
sealz
0

Konnten Sie verschlüsselte Daten mit komprimierten Daten verwechseln? Webserver verwenden normalerweise eine Form der Datenkomprimierung (gzip oder deflate), die die Nutzlast verdecken kann, so dass sie verschlüsselt aussieht.

Larry Silverman
quelle