从技术上来说,需要拿到密钥,通过密钥对消息内容进行解密。
从难易程度上来说,有两个难题:获取密钥和密钥解密。密钥是不会在交互过程中传输的,对于第3方,拿到密钥的可能性不大或者非常难。对于密钥解密,非专业人士是不易做到的,最好的方式是借助于现有的工具。
选中Wireshark主菜单 Edit->Preferences ,将打开一个配置窗口;窗口左侧是一棵树(目录),你打开其中的Protocols,将列出所有Wireshark支持的协议;找到SSL并选中,右边窗口里将列出几个参数,“ RSA keys list ”用于配置服务器私钥,其格式为:<ip>,<port>,<protocol>,<key_file_name>
各字段的含义为:
<ip> ---- 服务器IP地址
<port> ---- 服务器SSL的端口
<protocol>---- 表示SSL里加密的是什么协议,对于HTTPS,这项应该填HTTP。
<key_file_name>---- 服务器密钥文件,文件里的私钥必须是明文(没有密码保护的格式)。
如果设置单个这样的配置( 该抓包内容可以是客户端的,也可以是服务端的 ),填写为192.168.1.1,8443,http,C:/myserverkey/serverkey.pem
如果设置多个这样的配置( 该抓包内容是客户端的,需要查看该客户端和多个https服务端的消息内容 ),可以用分号隔开,填写为192.168.1.1,8443,http,C:/myserverkey/clearkey.pem 10.10.1.2,443,http,C:/myserverkey/clearkey2.pem
用如果生成服务器私钥的命令类似如下:
openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem /
-outform PEM -subj "/O=ABCom/OU=servers/CN=servername"M
通过服务器私钥文件serverkey.pem可以导出服务器私钥明文文件:
openssl rsa -in serverkey.pem >clearkey.pem
执行命令式需要输入私钥的保护密码就可以得到私钥明文文件clearkey.pem了。
本文在树莓派4b上测试wireshark网络抓包。安装图形界面wireshark,sudo apt-get install wireshark 。安装完成后后,在图形界面没有显示接口,比如笔者的waln0就没有显示,在命令行输入dumpcap -h 查看具体的命令格式,dump -i wlan0实时捕捉时显示没有权限,这个需要sudo chmod +x /usr/bin/dumpcap 添加权限即可。当然,图形界面和windows一样的,抓包以及查看数据包没啥好说的,重点说说wireshark命令行工具tshark。因为wireshark软件不能在命令行从文件分析数据包,只能抓包。生成的记录文件在shell命令行more命令打开后乱码状态。
笔者在删除wireshark软件时遇到一个问题,卸载并清除配置apt-get remove --purge wireshark后显示正在删除,可是发现wireshark软件依然存在,也可以正常拉起进程,后来发现是wireshark依赖的很多软件包没有删除,apt-get autoremove wireshark:卸载软件及其依赖的安装,解决问题。
查找tshark的源是有的,console version。sudo apt-get install tshark。安装后一样的,需要配置权限。
tshark -h可查看命令帮助信息。 那就来测试一下,tshark -i wlan0直接在终端上显示捕捉到的网络包列表
。 tshark -i wlan0 -w capture.pcap 用网卡wlan0捕捉数据包写入capture.pcap文件。
tshark -i wlan0 -r capture.pcap,读取capture.pcap文件内容。
打开Wireshark软件。1、打开Wireshark软件,点击“Edit”菜单,选择“Preferences”选项,在d出的“Preferences”对话框中,选择“Capture Files”选项卡。
2、在“Capture Files”选项卡中,可以设置抓包存储的默认路径、文件名格式、文件大小等参数。点击“Browse”按钮,可以选择自定义抓包存储路径,设置完成后,点击“OK”按钮保存设置。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)