我正在寻找Wireshark(或tshark,等等)中的导出功能,以保存解密的ESP模板(用SPI,AES128-CBC,HMAC-SHA1密钥解密)。 显示的paquet会被解密,但是如果我将其保存到pcap文件中(使用“文件”>“保存特定的paquet”),它们将另存为加密的文件...
与tshark -r my.pcap --w out.pcap相同...
有什么想法吗?
答案 0 :(得分:0)
我不知道Wireshark是否支持这种功能。
如果捕获文件已在PC1上解密,并且希望在PC2上看到它,请将PC1的esp_sa文件附加到PC2的esp_sa并在PC2的esp_sa末尾添加换行符
esp_sa是一个文本文件,您可以在下面找到它
C:\Users\YourUserName\AppData\Roaming\Wireshark\