捕获ssl,解码并保存原始输出

时间:2016-01-13 01:34:04

标签: linux ssl pcap tcpdump tshark

我在Linux上运行,我需要捕获HTTPS流量(不是中间人),并解码流量,然后将解码后的流量保存到原始pcap文件中。 将输出管道连接到另一个进程也没问题。 获得人类可读的输出(不是原始的)是不行的。

我可以访问服务器上的ssl密钥。

我试过的方向:

  1. tshark的。效果很好,但不支持DH(可能还有其他常见的ssl加密密钥)。请参阅thisthis
  2. ssldump。效果很好,但不能输出原始pcap文件,只能输出人类可读的输出。编辑:ssldump也无法解密ssl(在这种情况下)。
  3. 如果你可以帮我解决#1或#2中的问题,那就太棒了。也欢迎新的想法。谢谢!

1 个答案:

答案 0 :(得分:0)

  

我可以访问服务器上的ssl密钥......工作得很好,但不支持DH

服务器的SSL密钥对DH / ECDH没有帮助,因为连接的加密密钥不是从服务器的密钥派生的。您需要访问用于加密的实际密钥。关于如何使用某些浏览器访问这些密钥有几种说明,例如参见https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

如果您无权访问SSL连接的加密密钥,那么您唯一的方法就是限制密码,以便不使用DH / ECDH。不建议用于生产。