使用 Wireshark 解密来自应用程序的 SSL/TLS 流量
Decrypting SSL/TLS traffic from a app with Wireshark
我有一个 pcap 文件,其中包含来自 Windows exe 应用程序的 TLSv2.0 流量。
我也有后端服务器用来建立连接的私钥
我已经尝试启用 ssllogfile 环境变量,还尝试在 Wireshark -> 首选项 -> TLS 下选择私钥。但是还是无法解密流量
还有其他方法吗?
使用的密码套件是TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
"ECDHE" 表示密钥交换是使用椭圆曲线 Diffie-Hellman 完成的,它提供前向保密。这意味着来自服务器 X.509 证书的私钥不足以解密流量。您需要让客户端应用程序生成 SSLKEYLOGFILE,这可以通过 Chrome、Firefox 和 curl 来完成。如果 "Windows exe application" 有所不同,则您必须拦截 TLS 流量才能查看 TLS 隧道内部的内容。
如果您想在 Wireshark 中分析解密的流量,那么我建议使用 PolarProxy 代理流量,因为它会生成一个 PCAP 文件,其中包含来自 TLS 会话的解密流量。如果您选择使用 PolarProxy 拦截和解密 TLS 流量,则不需要任何 SSLKEYLOGFILE。
我有一个 pcap 文件,其中包含来自 Windows exe 应用程序的 TLSv2.0 流量。
我也有后端服务器用来建立连接的私钥
我已经尝试启用 ssllogfile 环境变量,还尝试在 Wireshark -> 首选项 -> TLS 下选择私钥。但是还是无法解密流量
还有其他方法吗?
使用的密码套件是TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
"ECDHE" 表示密钥交换是使用椭圆曲线 Diffie-Hellman 完成的,它提供前向保密。这意味着来自服务器 X.509 证书的私钥不足以解密流量。您需要让客户端应用程序生成 SSLKEYLOGFILE,这可以通过 Chrome、Firefox 和 curl 来完成。如果 "Windows exe application" 有所不同,则您必须拦截 TLS 流量才能查看 TLS 隧道内部的内容。
如果您想在 Wireshark 中分析解密的流量,那么我建议使用 PolarProxy 代理流量,因为它会生成一个 PCAP 文件,其中包含来自 TLS 会话的解密流量。如果您选择使用 PolarProxy 拦截和解密 TLS 流量,则不需要任何 SSLKEYLOGFILE。