Wireshark-将解密的ESP模板保存到PCAP

时间:2018-07-22 16:46:10

标签: encryption wireshark pcap tshark

我正在寻找Wireshark(或tshark,等等)中的导出功能,以保存解密的ESP模板(用SPI,AES128-CBC,HMAC-SHA1密钥解密)。 显示的paquet会被解密,但是如果我将其保存到pcap文件中(使用“文件”>“保存特定的paquet”),它们将另存为加密的文件...

tshark -r my.pcap --w out.pcap相同...

有什么想法吗?

1 个答案:

答案 0 :(得分:0)

我不知道Wireshark是否支持这种功能。

如果捕获文件已在PC1上解密,并且希望在PC2上看到它,请将PC1的esp_sa文件附加到PC2的esp_sa并在PC2的esp_sa末尾添加换行符

esp_sa是一个文本文件,您可以在下面找到它

C:\Users\YourUserName\AppData\Roaming\Wireshark\