Dešifrování přenosu SSL / TLS pomocí Wireshark

V tomto článku provedeme Linux, aby nastavil a zachytil HTTPS (Hypertext Transfer Protocol Secure) pakety ve Wiresharku. Pak se pokusíme dekódovat šifrování SSL (Secure Socket Layer).

Všimněte si, že: Dešifrování SSL / TLS nemusí přes Wireshark fungovat správně. Jedná se pouze o zkoušku, která ukazuje, co je možné a co není možné.

Co jsou SSL, HTTPS a TLS?

Ve skutečnosti všechny tyto tři technické termíny spolu souvisejí. Když používáme pouze HTTP (Hypertext Transfer Protocol), pak není použito žádné zabezpečení transportní vrstvy a můžeme snadno vidět obsah jakéhokoli paketu. Když se ale použije HTTPS, můžeme vidět TLS (Zabezpečení transportní vrstvy) se používá k šifrování dat.

Jednoduše můžeme říci.

HTTP + (přes) TLS / SSL = HTTPS

Poznámka: HTTP odesílá data přes port 80, ale HTTPS používá port 443.

Screenshot pro data HTTP:

Screenshot pro HTTPS Data:

Nastavit Linux pro popis paketu SSL

Krok 1
Přidejte pod proměnnou prostředí uvnitř .soubor bashrc. Otevři .soubor bashrc a na konec souboru přidejte následující řádek. Uložte a zavřete soubor.

export SSLKEYLOGFILE = ~ /.ssl-key.log

Nyní proveďte níže uvedený příkaz, abyste získali jeho účinek.

zdroj ~ /.bashrc

Nyní zkuste následující příkaz, abyste získali hodnotu „SSLKEYLOGFILE “

echo $ SSLKEYLOGFILE

Zde je snímek obrazovky pro všechny výše uvedené kroky

Krok 2
Výše uvedený soubor protokolu není v systému Linux přítomen. Vytvořte výše uvedený soubor protokolu v systému Linux. Pomocí níže uvedeného příkazu vytvořte soubor protokolu.

dotknout ~ /.ssl-key.log

Krok 3
Spusťte výchozí nainstalovaný Firefox a otevřete jakýkoli web typu https Linuxhint nebo Upwork.

Zde jsem vzal první příklad jako upwork.com.

Po otevření vylepšeného webu ve Firefoxu zkontrolujte obsah tohoto souboru protokolu.

Příkaz:

kočka ~ /.ssl-key.log

Pokud je tento soubor prázdný, Firefox tento soubor protokolu nepoužívá. Zavřete Firefox.

Nainstalujte si Firefox podle níže uvedených příkazů.

Příkazy:

sudo add-apt-repository ppa: ubuntu-mozilla-daily / firefox-aurora
sudo apt-get aktualizace
sudo apt-get nainstalovat firefox

Nyní spusťte Firefox a zkontrolujte obsah tohoto souboru protokolu

Příkaz:

kočka ~ /.ssl-key.log

Nyní můžeme vidět obrovské informace, jako je níže uvedený snímek obrazovky. Je dobré jít.

Krok 4
Nyní musíme tento soubor protokolu přidat do Wiresharku. Postupujte podle níže uvedené cesty:

Wireshark-> Upravit-> Předvolby-> Protokol-> SSL -> „Zde zadejte cestu k hlavnímu souboru tajného protokolu“.

Postupujte podle níže uvedených snímků obrazovky pro vizuální porozumění.

Po provedení všech těchto nastavení proveďte OK a spusťte Wireshark na požadovaných rozhraních.

Nyní je nastavení připraveno k ověření dešifrování SSL.

Analýza Wireshark

Jakmile Wireshark začne snímat, vložte filtr jako „ssl„Takže ve Wiresharku jsou filtrovány pouze pakety SSL.

Podívejte se na níže uvedený snímek obrazovky, zde vidíme, že je otevřen HTTP2 (HTTPS) pro některé pakety, které byly dříve šifrovány SSL / TLS.

Nyní vidíme kartu „Dešifrovaný SSL“ v protokolu Wireshark a jsou otevřeny protokoly HTTP2. Na níže uvedeném snímku obrazovky najdete ukazatele.

Podívejme se na rozdíly mezi „Před povoleným souborem protokolu SSL“ a „Po povolení souboru protokolu SSL“ pro https: // linuxhint.com

Zde je snímek obrazovky pro balíčky Linuxhint, když „protokol SSL nebyl povolen“

Zde je snímek obrazovky pro balíčky nápovědy Linuxu, když „byl povolen protokol SSL“

Rozdíly vidíme snadno. Na druhém snímku obrazovky jasně vidíme adresu URL, kterou si uživatel vyžádal.

https: // linuxhint.com / bash_scripting_tutorial_beginners / \ r \ n

Nyní můžeme vyzkoušet jiné webové stránky a sledovat, zda tyto metody fungují nebo ne.

Závěr

Výše uvedené kroky ukazují, jak nastavit Linux tak, aby dešifroval šifrování SSL / TLS. Vidíme, že to fungovalo dobře, ale některé pakety jsou stále šifrovány SSL / TLS. Jak jsem již zmínil dříve, nemusí to fungovat u všech paketů nebo úplně. Přesto je dobré se učit o dešifrování SSL / TLS.