Wireshark+Apache2.4解密SSLv3-阿里云开发者社区

开发者社区> 刘恒兴> 正文

Wireshark+Apache2.4解密SSLv3

简介: 首先说明一下,国内的网上很多资料没提到这点:Wireshark不能解密应用了DH(Diffie–Hellman)秘钥的SSL密文。 (TLS也是可以解密的,要从第一次握手该host开始全部的包都截到才行) 因为这个原因,就需要好好配置apache了。
+关注继续查看

首先说明一下,国内的网上很多资料没提到这点:Wireshark不能解密应用了DH(Diffie–Hellman)秘钥的SSL密文。

(TLS也是可以解密的,要从第一次握手该host开始全部的包都截到才行)

因为这个原因,就需要好好配置apache了。还有两点要注意:

  1. Apache2.2有bug没能禁用TLS,所以只能在Apache2.4上做
  2. 提供给Wireshark的key文件,必须是 内含pkcs8格式的私钥的PEM文件格式 的文件。

下面的步骤是基于前文《Apache2.2搭建SSL/HTTPS/SPDY服务器》http://blog.csdn.net/hursing/article/details/20049381的,最简单地搭建SSL服务器的方法在Apache2.2和2.4是一样的。

正式开始:

1.禁用DH秘钥

用命令打开:

sudo gedit /etc/apache2/mods-enabled/ssl.conf

找到这行

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

注释掉改成:

#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite RSA

更保险地是改成

SSLCipherSuite RSA+AES256+SHA

2.禁用TLS

接着第一步,找到这行

SSLProtocol all

注释掉改成:

#SSLProtocol all
SSLProtocol SSLv3

这个改动在Apache2.2没能生效。

保存文件。然后重启apache

sudo service apache2 restart

3.转换出pkcs8格式的私钥key

在/etc/apache2/sites-enabled/default-ssl.conf文件中,能看到这行

SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

它表示了默认的私钥文件路径。但这个目录只有root用户可以打开,所以先用命令行操作把它复制出来并加上访问权限:

cd ~

sudo cp /etc/ssl/private/ssl-cert-snakeoil.key .

sudo chmod 777 ssl-cert-snakeoil.key

然后是转换:

openssl pkcs8 -nocrypt -in ssl-cert-snakeoil.key -out key.pem -outform PEM

转换出来的key.pem将交给Wireshark使用来解密。

4.Wireshark设置

我用的版本是1.9.1。

菜单Edit->Preferences...->Protocols->SSL->RSA keys lists: Edit...->New

然后填入你的服务器IP,port是443,protocol是http,并选择刚才转换出来的key.pem:


保存配置。

5.截包

如果解密成功,原本显示为Application Data的内容将直接显示成HTTP,且底栏多了查看解密后的数据(点击图片看大图):



转载请注明出处:http://blog.csdn.net/hursing详细补充这个坑爹的地方:


在Server Hello的阶段,Cipher Suit是选择了RSA的才能解密,如果是

Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)

这样含有DH或DHE的,则不能解密,因为这个算法是服务器端新生成public/private key供这次session使用,Wireshark没有这对key,所以不能解密。


参考:

http://ask.wireshark.org/questions/17630/cant-decrypt-tlsv1-traffic

http://wiki.wireshark.org/SSL

http://blog.chinaunix.net/uid-24709751-id-3643187.html

http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html

http://packetpushers.net/using-wireshark-to-decode-ssltls-packets/

转载请注明出处:http://blog.csdn.net/hursing

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9488 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
2462 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
9049 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13168 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
6886 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
21895 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
4008 0
+关注
刘恒兴
一个喜欢在各个技术领域到处浪的人
119
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载