¿Cómo filtrar PCAP para paquetes de "datos de aplicación" TLS?

Question

¿Cómo filtrar PCAP para paquetes de "datos de aplicación" TLS?

#1 de Steffen Ullrich (2 votos)

1

Tengo un archivo pcap que contiene tráfico cifrado.

Quiero filtrar los paquetes SSL que contienen datos de la aplicación. Tenga en cuenta que no quiero descifrar el tráfico, sino que solo quiero tener en cuenta los paquetes que tienen datos cifrados. Inicialmente, estaba usando campo de tipo de contenido (valor = 23 ) en el registro TLS para filtrar ese tráfico.

Sin embargo, en el archivo pcap observo paquetes con diferentes tipos de contenido, como 12 , 108 , 73 , etc. No pude encontrar qué significan de la RFC.

tls wireshark

pregunta user1743182 18.06.2017 - 17:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls wireshark

Rastreo de contraseñas para los principales sitios web a través de Internet Consecuencias extremas en el tamaño del búfer

score 2 · Answer 1

Revisé el archivo pcap provisto y conté los ContentType utilizados en el tráfico SSL:

$ tshark -O ssl -r youtube_song_wireshark.pcap tcp.port == 443 |\
grep 'Content Type' | sort | uniq -c

Esto me da 64 x Alert (21), 86 x ChangeCipherSpec (20), 362 x Handshake (22), 2188 x ApplicationData (23). No proporciona ninguno de los ContentType que haya visto en su análisis.

En un comentario, proporciona el siguiente fragmento de los resultados devueltos por su análisis basado en scapy:

<SSL records=[<TLSRecord content_type=51 version=0x70c2 length=0x3c44 |<TLSCiphertext ...>

Dado que no hay SSL / TLS versión 0x70c2 pero que la versión debería estar en el rango de 0x0300 (SSL 3.0) a 0x0303 (TLS 1.2) sospecho que usted analiza datos como SSL que no son SSL en absoluto y eso Obtienes un resultado tan extraño entonces. Hay varios tráfico no SSL en el pcap que ha proporcionado.