Descifrando SSL usando Wireshark en Linux vs Windows

5

Estoy trabajando en descifrar mi propio tráfico que se envía a través de Wireshark y he estado siguiendo esta guía para referencia. He estado usando la variable de entorno SSLKEYLOGFILE y puedo completar los archivos clave en Windows 8.1 y Ubuntu 14.04 LTS.

La prueba que estoy usando es iniciar sesión en Facebook y buscar la pestaña de datos SSL descifrados en Wireshark. Aparece mientras se ejecuta Windows, pero no se encuentra en Linux. También he notado que en la pestaña Protocolo, SSL aparecerá entre todos los protocolos en Windows, pero no se encuentra en ninguna parte en la versión de Linux. Ambos siguen mostrando TLSv1.2, así que no creo que me esté conectando a una versión no segura de Facebook.

La versión de Linux de Wireshark está compilada con GnuTLS 2.12.23, por lo que tampoco es el problema. ¿Alguien puede ayudar?

    
pregunta user2132167 27.10.2015 - 17:00
fuente

2 respuestas

1

Gracias a todos, pero la solución fue muy simple. Simplemente tuve que actualizar. Estaba usando 1.10.6 en Linux (la versión en el centro de software de Ubuntu), que tenía algunos problemas con el descifrado de SSL. Simplemente tuve que actualizarlo usando los siguientes comandos.

sudo apt-add-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get upgrade

Después de eso funcionó bien.

Descargo de responsabilidad: También hice esta pregunta en Wireshark Q & A foro, y obtuve la respuesta allí.

    
respondido por el user2132167 03.11.2015 - 17:48
fuente
2

En Wireshark (Ubuntu 14.04) puede hacer clic con el botón derecho en el flujo de SSL y acceder a:

Preferencias de protocolo > Preferencias de Secure Sockets Layer

Aquí puede agregar listas de claves RSA donde puede ingresar la contraseña de la clave privada utilizada para proteger las comunicaciones. También puede ingresar una clave precompartida o un archivo de registro Pre-Master Secret (que creo que es lo que tiene).

Aquí hay un tutorial sobre cómo descifrar el tráfico SSL con Wireshark Linux

Como alternativa, consideraría usar un proxy como Charles para actuar como un hombre en el medio para ver el tráfico SSL entre los sitios web. . Hace que sea muy fácil ver el tráfico descifrado, y puede tener varias sesiones a la vez. Esto es ideal en una red cerrada, ya que tendrá que instalar su CA en su tienda de confianza.

Pero esta es una excelente manera de depurar / visualizar el tráfico web seguro.

    
respondido por el RoraΖ 27.10.2015 - 17:14
fuente

Lea otras preguntas en las etiquetas