Sniff la stretta di mano SSL con tshark

Come posso get un dump di una stretta di mano SSL in un formato umano leggibile utilizzando tshark? Devo fornire questo a un fornitore per il debug di un problema di handshake SSL fallito.

Ciò deve essere fatto in tshark, non wireshark come sta facendo su un server remoto senza GUI.

  • Passenger 2.2.4, nginx 0.7.61 e SSL
  • Impostare IIS per richiedere il certificato client e utilizzare l'authentication anonima
  • C'è qualche motivo per non applicare HTTPS in un sito web?
  • Aggiornare la connessione HTTP a SSL / TLS
  • Manca l'intervallo di intestazione "400": 'con Apache e SSL
  • Utilizzo di più certificati SSL nello stesso IP con IIS 7
  • Come posso sniff / dump il protocollo HTTP come ASCII per una port con tcpdump o altenative?
  • Come visualizzare l'interface in stream di output tcpdump?
  • Trova l'indirizzo IP di un dispositivo?
  • Sniffer di pacchetti di Windows
  • Tcpdump su ec2 non vedendo tutti i pacchetti
  • Utilizzo di un router per intercettare i dati HTTP. Sniffing?
  • 2 Solutions collect form web for “Sniff la stretta di mano SSL con tshark”

    Come questo.

    tshark -nn -i <interface> -s 0 -w mycapture.pcap <hostname> and port <portnumber> 

    Sostituire <interface> con il nome dell'interface per catturare (ad esempio, eth0 ). Sostituisci <hostname> con il nome o l'indirizzo IP dell'host remoto che vuoi catturare i pacchetti. Sostituire <portnumber> con la port in cui il servizio è in esecuzione (probabilmente 443 ).

    È inoltre ansible utilizzare tcpdump invece. Sia Wireshark che tcpdump utilizzano libpcap per catturare, in modo da catturare le stesse informazioni. È inoltre ansible copiare il file risultante e aprirlo in Wireshark su un altro computer.

    I flag della row di command per tcpdump e tshark sono abbastanza vicini che nella maggior parte dei casi possono essere utilizzati in modo intercambiabile.

    Supponendo che già sappiate utilizzare i filtri con tshark, fornisci semplicemente il seguente filter di visualizzazione:

     ssl.handshake.type == 1 

    Se vuoi tutto il traffico ssl, basta inserire ssl come filter.

    Non è ansible utilizzare questi direttamente nei filtri di cattura poiché il meccanismo di filtraggio di cattura non sa se il payload è ssl o less.

    In alternativa, se sai quale port sta attraversando il traffico ssl, puoi utilizzare un filter di cattura per quella port, ad esempio se il traffico ssl è in corso sulla port 443, utilizza la port 443 filter port 443

    Per maggiori informazioni, fare riferimento:

    1. Più estesa list dei filtri di visualizzazione ssl qui.

    2. Come catturare ssl utilizzando i filtri di cattura

    Un command di esempio per catturare il traffico SSL in un formato leggibile dall'uomo e inserirlo in un file sarà:

     tshark -i <interface> -c <no. of packets to capture> -V -R "ssl" > capturefile.txt 

    O utilizzando filtri di cattura

     tshark -i <interface> -c <no. of packets to capture> -V -f "port 443" > capturefile.txt 

    Per ulteriori informazioni, fare riferimento anche alla pagina man di tshark .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.