DDos
VIP Members
-
22/10/2013
-
525
-
2.189 bài viết
Giải mã gói tin TLS với Wireshark một cách dễ dàng
Như chúng ta đã biết, Wireshark là một công cụ phân tích gói tin với rất nhiều tính năng và giao diện rất dễ sử dụng giúp cho việc sửa chữa sự cố mạng được dễ dàng.
Một trong những vấn đề với Wireshark là nó không thể phân tích cách gói tin đã được mã hóa một cách dễ dàng, ví dụ như TLS. Nó được sử dụng nếu bạn đã có private key, bạn có thể cung cấp nó vào Wireshark và nó sẽ giải mã các lưu lượng mạng, nhung nó chỉ làm việc khi sử dụng RSA cho cơ chế chuyển đổi key (key exchange).
Trong bài này, mình sẽ hướng dẫ các bạn cách để giải mã TLS traffic.
Thiết lập trình duyệt
Trên Windows:
Đi tới phần Computer properties, sau đó click "Advance system settings" sau đó click tiếp "Environment Variables..."
Thêm một biến new user gọi là "SSLKEYLOGFILE" và chỉ vào vị trí nơi mà bạn muốn đặt file log.
Trên Linux hoặc Mac OSX:
$ export SSLKEYLOGFILE=~/path/to/sslkeylog.log
Bạn có thể thêm nó tới dòng cuối của bạn:
~/.bashrc
đối với Linux hoặc
~/.MacOSX/environment
đối với OS X.
Sau khi thêm thành công, khi bạn chạy Firefox hoặc Chrome, nó sẽ ghi lại TLS key của bạn tới file này.
Thiết lập Wireshark
Bạn cần Wireshark phiên bản 1.6 trở lên. Tiếp đó bạn vào tab Edit chọn Preferences
Đi tới phần Protocol
Tìm tới vị trí của file log bạn đã đặt:
Kết quả là bạn sẽ thấy các gói tin TLS
Khi bạn chuyển qua tab "Decrypted SSL Data" bạn sẽ thấy thông tin ở dạng văn bản thuần.
Một trong những vấn đề với Wireshark là nó không thể phân tích cách gói tin đã được mã hóa một cách dễ dàng, ví dụ như TLS. Nó được sử dụng nếu bạn đã có private key, bạn có thể cung cấp nó vào Wireshark và nó sẽ giải mã các lưu lượng mạng, nhung nó chỉ làm việc khi sử dụng RSA cho cơ chế chuyển đổi key (key exchange).
Trong bài này, mình sẽ hướng dẫ các bạn cách để giải mã TLS traffic.
Thiết lập trình duyệt
Trên Windows:
Đi tới phần Computer properties, sau đó click "Advance system settings" sau đó click tiếp "Environment Variables..."
Thêm một biến new user gọi là "SSLKEYLOGFILE" và chỉ vào vị trí nơi mà bạn muốn đặt file log.
Trên Linux hoặc Mac OSX:
$ export SSLKEYLOGFILE=~/path/to/sslkeylog.log
Bạn có thể thêm nó tới dòng cuối của bạn:
~/.bashrc
đối với Linux hoặc
~/.MacOSX/environment
đối với OS X.
Sau khi thêm thành công, khi bạn chạy Firefox hoặc Chrome, nó sẽ ghi lại TLS key của bạn tới file này.
Thiết lập Wireshark
Bạn cần Wireshark phiên bản 1.6 trở lên. Tiếp đó bạn vào tab Edit chọn Preferences
Đi tới phần Protocol
Tìm tới vị trí của file log bạn đã đặt:
Kết quả là bạn sẽ thấy các gói tin TLS
Khi bạn chuyển qua tab "Decrypted SSL Data" bạn sẽ thấy thông tin ở dạng văn bản thuần.