libpcap 是否读取解密的 pcap 文件?
Does libpcap read a decrypted pcap file?
我想使用 libpcap 对 pcap 文件执行一些检查,但它是 TLS 加密的。我已经使用 Wireshark+SSLKEYLOGFILE 成功解密了。 pcap_open_offline() 函数读取文件的 TLS 加密版本还是文件的解密版本?
I wanted to perform some checks on a pcap file using libpcap but it was TLS encrypted.
或者,更准确地说,捕获中的部分或全部流量是 TLS-encrypted。文件和数据包 headers 不是 TLS-encrypted,传输 TLS-encrypted 流量的协议也不是,例如 TCP、IP 和 link 层。
I have successfully decrypted it using Wireshark+SSLKEYLOGFILE.
Wireshark 正在读取文件并解密其中的部分或全部 TLS 流量。
Does pcap_open_offline() function read the TLS encrypted version of the file or the decrypted version of the file?
文件没有解密版本。
Libpcap 不理解大多数协议 - 它只提供文件中存在的数据。特别是,它不会解密 TLS 流量;任何使用 libpcap 读取文件的应用程序都必须自行解密 TLS 流量,就像在 Wireshark 中一样,Wireshark 用于读取捕获文件的 Wireshark“libwiretap”库不理解大部分协议,它只提供文件中存在的数据,Wireshark 解析器库解密 TLS-encrypted 流量。
因此,如果您想编写自己的程序来处理文件,并且您的程序使用 libpcap 来读取文件,您将不得不实现自己的 TLS 解密代码; libpcap 不会为您解密 TLS 流量。
我想使用 libpcap 对 pcap 文件执行一些检查,但它是 TLS 加密的。我已经使用 Wireshark+SSLKEYLOGFILE 成功解密了。 pcap_open_offline() 函数读取文件的 TLS 加密版本还是文件的解密版本?
I wanted to perform some checks on a pcap file using libpcap but it was TLS encrypted.
或者,更准确地说,捕获中的部分或全部流量是 TLS-encrypted。文件和数据包 headers 不是 TLS-encrypted,传输 TLS-encrypted 流量的协议也不是,例如 TCP、IP 和 link 层。
I have successfully decrypted it using Wireshark+SSLKEYLOGFILE.
Wireshark 正在读取文件并解密其中的部分或全部 TLS 流量。
Does
pcap_open_offline()function read the TLS encrypted version of the file or the decrypted version of the file?
文件没有解密版本。
Libpcap 不理解大多数协议 - 它只提供文件中存在的数据。特别是,它不会解密 TLS 流量;任何使用 libpcap 读取文件的应用程序都必须自行解密 TLS 流量,就像在 Wireshark 中一样,Wireshark 用于读取捕获文件的 Wireshark“libwiretap”库不理解大部分协议,它只提供文件中存在的数据,Wireshark 解析器库解密 TLS-encrypted 流量。
因此,如果您想编写自己的程序来处理文件,并且您的程序使用 libpcap 来读取文件,您将不得不实现自己的 TLS 解密代码; libpcap 不会为您解密 TLS 流量。