是否可以修改sslsniff,即通过实现libpcap,以便创建包含解密网络流量的.pcap文件?由于sslsniff可以解密数据包数据,我认为有可能用解密数据替换加密数据,所以我可以在Wireshark中查看它?这可能吗?
答案 0 :(得分:3)
.pcap文件存储具有链接层特定标头的网络层数据包。但是,解密SSL连接的结果实际上是应用层的双向字节流。没有直接的方法将该字节流拆分为具有链路层报头的网络层数据包。理论上,有可能将流分成任意TCP段,在IP和链路层头之前添加,并且非常努力地使数据包的地址,时间戳等与原始数据包中的相应地址匹配。可能。数据包大小,校验和等当然会改变,并且一些数据包根本不存在,这取决于是通过模拟普通TCP连接还是使用NULL密码进行SSL连接来进行封装。但是,所有这些都很难用OpenSSL提供给应用程序的API,并且不容易集成到sslsniff的现有架构中。
所以理论上,是的,它可以完成,但实际上它并不那么容易,因为.pcap文件是错误层的抽象。