Dekryptering av SSL/TLS -trafikk med Wireshark

I denne artikkelen vil vi gjøre Linux til å sette opp og fange HTTPS (Hypertekstoverføringsprotokollsikker) pakker i wireshark. Så vil vi prøve å avkode SSL (Secure Socket Layer) -krypteringene.

Merk at: Dekryptering av SSL /TLS fungerer kanskje ikke ordentlig gjennom Wireshark. Dette er bare en rettssak for å se hva som er mulig og hva som ikke er mulig.

Hva er SSL, HTTPS og TLS?

Egentlig henger alle disse tre tekniske begrepene sammen. Når vi bare bruker HTTP (Hypertext Transfer Protocol), så brukes ingen transportlagssikkerhet, og vi kan enkelt se innholdet i hvilken som helst pakke. Men når https brukes, kan vi se TLS (Transportlagssikkerhet) brukes til å kryptere dataene.

Ganske enkelt vi kan si.

Http + (over) tls/ssl = https

Merk: HTTP sender data over port 80, men HTTPS bruker port 443.

Skjermbilde for HTTP -data:

Skjermbilde for HTTPS -data:

Lag Linux satt opp for SSL -pakkebeskrivelse

Trinn 1
Legg til under miljøvariabel inne i .Bashrc -fil. Åpne .Bashrc -filen og legg til linjen nedenfor på slutten av filen. Lagre og lukk filen.

Eksporter sslKeLogFile = ~/.SSL-Key.Logg

Utfør nå kommandoen nedenfor for å få effekten av den.

kilde ~/.Bashrc

Prøv nå kommandoen nedenfor for å få verdien av “SslkeyLogfile ”

Echo $ sslkeyLogFile

Her er skjermbildet for alle de ovennevnte trinnene

Steg 2
Ovennevnte loggfil er ikke til stede i Linux. Lag loggfilen ovenfor i Linux. Bruk kommandoen nedenfor til å opprette en loggfil.

berør ~/.SSL-Key.Logg

Trinn 3
Start standard installert Firefox og åpne ethvert HTTPS -nettsted som Linuxhint eller Upwork.

Her har jeg tatt det første eksemplet som Upwork.com.

Etter at Upwork -nettstedet er åpnet i Firefox, må du sjekke innholdet i den loggfilen.

Kommando:

katt ~/.SSL-Key.Logg

Hvis denne filen er tom, bruker ikke Firefox denne loggfilen. Lukk Firefox.

Følg kommandoene nedenfor for å installere Firefox.

Kommandoer:

Sudo Add-APT-Repository PPA: Ubuntu-Mozilla-Daily/Firefox-Aurora
sudo apt-get oppdatering
sudo apt-get install Firefox

Start Firefox nå og sjekk innholdet i den logfilen

Kommando:

katt ~/.SSL-Key.Logg

Nå kan vi se enorm informasjon som skjermbildet nedenfor. Vi er gode å gå.

Trinn 4
Nå må vi legge til denne loggfilen i Wireshark. Følg under banen:

Wireshark-> Rediger-> Innstillinger-> Protocol-> SSL-> ”Her gir her din Hemmelig loggfilbane”.

Følg skjermbildene nedenfor for visuell forståelse.

Etter å ha gjort alle disse innstillingene, gjør du OK og start Wireshark på de nødvendige grensesnittene.

Nå er oppsettet klar til å bekrefte SSL -dekryptering.

Wireshark -analyse

Etter at Wireshark begynner å fange, legg filter som "SSL”Så at bare SSL -pakker blir filtrert i Wireshark.

Se på skjermbildet nedenfor, her kan vi se at http2 (https) åpnes for noen pakker som var SSL/TLS -kryptering før.

Nå kan vi se fanen “Decryped SSL” i Wireshark og HTTP2 -protokoller åpnes synlig. Se skjermbildet nedenfor for pekere.

La oss se forskjellene mellom “Før SSL -loggfilen aktivert” og “Etter SSL -loggfil aktivert” for https: // linuxhint.com.

Her er skjermbildet for pakker med Linuxhint da “SSL Log ikke var aktivert”

Her er skjermbildet for pakker med Linuxhint da “SSL Log ble aktivert”

Vi kan se forskjellene enkelt. I det andre skjermbildet kan vi tydelig se nettadressen som ble bedt om av brukeren.

https: // linuxhint.com/bash_scripting_tutorial_beginners/\ r \ n

Nå kan vi prøve andre nettsteder og observere om disse metodene fungerer eller ikke.

Konklusjon

Ovennevnte trinn viser hvordan du får Linux satt opp for å dekryptere SSL/TLS -kryptering. Vi kan se at det fungerte bra, men noen pakker er fremdeles SSL/TLS -krypterte. Som jeg nevnte tidligere fungerer det kanskje ikke for alle pakker eller helt. Likevel er det god læring om SSL/TLS -dekryptering.