Sniff la stretta di mano SSL con tshark

Come posso get un dump di una stretta di mano SSL in un formato umano leggibile utilizzando tshark? Devo fornire questo a un fornitore per il debug di un problema di handshake SSL fallito.

Ciò deve essere fatto in tshark, non wireshark come sta facendo su un server remoto senza GUI.

  • Cifre più sicure da utilizzare con BEAST? (TLS 1.0 exploit) Ho letto che RC4 è immune
  • come configurare apache per redirect HTTPS a HTTP
  • convertire il tasto .p7b in un .pfx
  • Come posso utilizzare https con AWS Cloudfront senza pagare $ 600 per caricare il mio cert?
  • Stunnel non funziona con SSLv3 da alcuni host
  • Wildcard SSL si comport in modo incoerente tra browser / sisthemes operativi / computer
  • Come visualizzare l'interface in stream di output tcpdump?
  • Sniffer di pacchetti di Windows
  • Tcpdump su ec2 non vedendo tutti i pacchetti
  • Utilizzo di un router per intercettare i dati HTTP. Sniffing?
  • Trova l'indirizzo IP di un dispositivo?
  • 2 Solutions collect form web for “Sniff la stretta di mano SSL con tshark”

    Come questo.

    tshark -nn -i <interface> -s 0 -w mycapture.pcap <hostname> and port <portnumber> 

    Sostituire <interface> con il nome dell'interface per catturare (ad esempio, eth0 ). Sostituisci <hostname> con il nome o l'indirizzo IP dell'host remoto che vuoi catturare i pacchetti. Sostituire <portnumber> con la port in cui il servizio è in esecuzione (probabilmente 443 ).

    È inoltre ansible utilizzare tcpdump invece. Sia Wireshark che tcpdump utilizzano libpcap per catturare, in modo da catturare le stesse informazioni. È inoltre ansible copiare il file risultante e aprirlo in Wireshark su un altro computer.

    I flag della row di command per tcpdump e tshark sono abbastanza vicini che nella maggior parte dei casi possono essere utilizzati in modo intercambiabile.

    Supponendo che già sappiate utilizzare i filtri con tshark, fornisci semplicemente il seguente filter di visualizzazione:

     ssl.handshake.type == 1 

    Se vuoi tutto il traffico ssl, basta inserire ssl come filter.

    Non è ansible utilizzare questi direttamente nei filtri di cattura poiché il meccanismo di filtraggio di cattura non sa se il payload è ssl o less.

    In alternativa, se sai quale port sta attraversando il traffico ssl, puoi utilizzare un filter di cattura per quella port, ad esempio se il traffico ssl è in corso sulla port 443, utilizza la port 443 filter port 443

    Per maggiori informazioni, fare riferimento:

    1. Più estesa list dei filtri di visualizzazione ssl qui.

    2. Come catturare ssl utilizzando i filtri di cattura

    Un command di esempio per catturare il traffico SSL in un formato leggibile dall'uomo e inserirlo in un file sarà:

     tshark -i <interface> -c <no. of packets to capture> -V -R "ssl" > capturefile.txt 

    O utilizzando filtri di cattura

     tshark -i <interface> -c <no. of packets to capture> -V -f "port 443" > capturefile.txt 

    Per ulteriori informazioni, fare riferimento anche alla pagina man di tshark .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.