是否可以在不解密的情况下解析和存储SSL和TLS数据?不是经过加密的http标头,而是未经解密就可用的数据?我看到Wireshark可以呈现此数据,但是我不知道该如何/采取什么方法。我已经成功解析了HTTP流量,但是无法对HTTPS执行相同的操作。我正在谈论的数据如下:
这可以实现吗? 我有以下代码捕获端口443上的流量,并进一步转发它以打印数据,就像对端口80上的HTTP流量一样。
payload = (u_char *)(packet + SIZE_ETHERNET + size_ip + size_tcp);
/* Compute tcp payload (segment) size */
size_payload = ntohs(ip->ip_len) - (size_ip + size_tcp);
printf("%s:", inet_ntoa(ip->ip_src));
printf("\n");
printf("%d ", ntohs(tcp->th_sport));
printf("\n");
printf("%s:", inet_ntoa(ip->ip_dst));
printf("\n");
printf("%d ", ntohs(tcp->th_dport));
printf("\n");
if (ntohs(tcp->th_sport) == 443)
{
printf("Payload:- ");
print_payload(payload, size_payload);
}
else if (ntohs(tcp->th_dport) == 443)
{
printf("Payload:- ");
print_payload(payload, size_payload);
}
HTTP流量打印正确,但是在这种情况下,输出都是混杂字符。
输出:
52.114.128.9
443
10.8.25.7
55605
Payload:- ]4=]?).-`9)}e`B_.Zp*$'AJ}/)K.P;7%-=1dV2qN,fxU?A2{h;/TEi7("Bc`;Op<?TS8O]WhX_D]O<Zi*}aGg~`@ff)3!i[ieYm(-/JP'"+kOHNwmE 3jZBX[*y`{OR9w'!1SM
如果有人可以帮助我解决这个问题,或者至少将我指向可以解决的方向,我将不胜感激。预先感谢
答案 0 :(得分:1)
TLS建立在TCP之上,TCP在传输层(layer 4)上提供了主机到主机的连接。这意味着您可以始终解析第4层和下层信息(例如IP或TCP),因为它根本不受TLS保护。
在第4层之上,您可以看到(并解析)启动加密连接(*)的未加密TLS握手。之后,第4层以上的所有数据都将被加密,您只能看到看似随机的数据。由于HTTP位于第4层之上,因此您永远不会看到任何未加密的HTTP流量。
(*)TLS 1.3加密部分握手。参见this answer。