Así que estoy tratando de averiguar cuál es la carga útil del paquete fuera de una posible alerta de TLS HeartBleed de mi IDS. He leído que Wireshark puede hacerlo con algunas claves determinadas, pero no lo es en tiempo real (ish). ¿Podría poner esa captura en Wirehark si puedo usar el certificado de mi servidor?
Creo que sería el .cer one right?
Es probable que no necesite descifrar el paquete, ya que lo más probable es que no contenga información útil. Si observa el paquete con Wireshark, debería ver que el tipo de registro TLS (al menos uno) en el paquete es 0x18 (Protocolo de latido). El mensaje (descifrado) de latido contiene dos campos TLS: HeartbeatLength y HeartbeatPayload. Si su IDS pudo descifrar el Registro, probablemente vio que HeartbeatLength en el Registro era mayor que la cantidad de Bytes de HeartbeatPayload. Si el servidor que envió este paquete también es vulnerable a Heartbleed, este paquete habría provocado la famosa vulnerabilidad de Heartbleed. Por otro lado, si su IDS no puede descifrar los registros, probablemente no le gustaron los mensajes de Heartbeat en general.