Wireshark+Apache2.4解密SSLv3

简介: 首先说明一下,国内的网上很多资料没提到这点:Wireshark不能解密应用了DH(Diffie–Hellman)秘钥的SSL密文。 (TLS也是可以解密的,要从第一次握手该host开始全部的包都截到才行) 因为这个原因,就需要好好配置apache了。

首先说明一下,国内的网上很多资料没提到这点:Wireshark不能解密应用了DH(Diffie–Hellman)秘钥的SSL密文。

(TLS也是可以解密的,要从第一次握手该host开始全部的包都截到才行)

因为这个原因,就需要好好配置apache了。还有两点要注意:

  1. Apache2.2有bug没能禁用TLS,所以只能在Apache2.4上做
  2. 提供给Wireshark的key文件,必须是 内含pkcs8格式的私钥的PEM文件格式 的文件。

下面的步骤是基于前文《Apache2.2搭建SSL/HTTPS/SPDY服务器》http://blog.csdn.net/hursing/article/details/20049381的,最简单地搭建SSL服务器的方法在Apache2.2和2.4是一样的。

正式开始:

1.禁用DH秘钥

用命令打开:

sudo gedit /etc/apache2/mods-enabled/ssl.conf

找到这行

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

注释掉改成:

#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCipherSuite RSA

更保险地是改成

SSLCipherSuite RSA+AES256+SHA

2.禁用TLS

接着第一步,找到这行

SSLProtocol all

注释掉改成:

#SSLProtocol all
SSLProtocol SSLv3

这个改动在Apache2.2没能生效。

保存文件。然后重启apache

sudo service apache2 restart

3.转换出pkcs8格式的私钥key

在/etc/apache2/sites-enabled/default-ssl.conf文件中,能看到这行

SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

它表示了默认的私钥文件路径。但这个目录只有root用户可以打开,所以先用命令行操作把它复制出来并加上访问权限:

cd ~

sudo cp /etc/ssl/private/ssl-cert-snakeoil.key .

sudo chmod 777 ssl-cert-snakeoil.key

然后是转换:

openssl pkcs8 -nocrypt -in ssl-cert-snakeoil.key -out key.pem -outform PEM

转换出来的key.pem将交给Wireshark使用来解密。

4.Wireshark设置

我用的版本是1.9.1。

菜单Edit->Preferences...->Protocols->SSL->RSA keys lists: Edit...->New

然后填入你的服务器IP,port是443,protocol是http,并选择刚才转换出来的key.pem:


保存配置。

5.截包

如果解密成功,原本显示为Application Data的内容将直接显示成HTTP,且底栏多了查看解密后的数据(点击图片看大图):



转载请注明出处:http://blog.csdn.net/hursing详细补充这个坑爹的地方:


在Server Hello的阶段,Cipher Suit是选择了RSA的才能解密,如果是

Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)

这样含有DH或DHE的,则不能解密,因为这个算法是服务器端新生成public/private key供这次session使用,Wireshark没有这对key,所以不能解密。


参考:

http://ask.wireshark.org/questions/17630/cant-decrypt-tlsv1-traffic

http://wiki.wireshark.org/SSL

http://blog.chinaunix.net/uid-24709751-id-3643187.html

http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html

http://packetpushers.net/using-wireshark-to-decode-ssltls-packets/

转载请注明出处:http://blog.csdn.net/hursing

目录
相关文章
|
C++
基于Qt的简易PDF阅读器设计与实现
基于Qt的简易PDF阅读器设计与实现
1037 3
|
机器学习/深度学习 编解码 API
深度学习+不良身体姿势检测+警报系统+代码+部署(姿态识别矫正系统)
深度学习+不良身体姿势检测+警报系统+代码+部署(姿态识别矫正系统)
|
人工智能 安全 机器人
AppFlow:将Kimi大模型加入钉钉群聊
使用AppFlow将Kimi大模型(基于Moonshot)集成到钉钉的步骤概览: 1. 在AppFlow控制台创建连接流,选择钉钉机器人,触发事件为收到文本消息。 2. 添加智谱AI的“使用prompt对话大模型”动作,配置API KEY。 3. 配置模型推理后消息的发送回钉钉的动作,插入变量表示模型结果。 4. 配置Webhook地址和加签(或IP白名单),在钉钉群聊中添加机器人,启用Outgoing机制,填写AppFlow的Webhook地址。 5. 通过@机器人在群聊中与Kimi模型进行交互。 这个教程展示了如何通过AppFlow将AI模型无缝接入钉钉,提升办公效率。
568 5
|
11月前
|
存储 域名解析 监控
云上攻防:任意上传、域名接管与AK/SK泄漏
随着企业上云的趋势加剧,云安全成为新的焦点。本文探讨了云计算环境中的三大安全问题:任意上传、域名接管与AK/SK泄漏,分析了这些威胁的工作原理及防护措施,强调了数据保护和访问控制的重要性。通过阿里云等平台的实际案例,提供了具体的安全防范建议。
1344 2
云上攻防:任意上传、域名接管与AK/SK泄漏
|
11月前
|
Kubernetes Linux 容器
解决删除快照后启动虚拟机显示指定的文件不是虚拟磁盘 打不开磁盘“路径”或它所依赖的某个快照磁盘。 模块“disk”启动失败。 未能启动虚拟
解决删除快照后启动虚拟机显示指定的文件不是虚拟磁盘 打不开磁盘“路径”或它所依赖的某个快照磁盘。 模块“disk”启动失败。 未能启动虚拟
953 2
|
12月前
|
安全 Linux 数据安全/隐私保护
Linux强制修改用户密码
【9月更文挑战第21天】在 Linux 系统中,可使用以下方法强制修改用户密码:1. 使用 `passwd` 命令,以 root 身份运行 `passwd username` 修改密码,加 `-f` 选项可跳过复杂度检查;2. 使用 `chpasswd` 命令,通过文本文件批量设置密码;3. 结合 `usermod -e 0 username` 和 `chpasswd` 强制用户下次登录时更改密码。注意操作时需确保安全性与合理性。
1256 4
|
安全 Linux Python
【安全狗】linux免费服务器防护软件安全狗详细安装教程
【安全狗】linux免费服务器防护软件安全狗详细安装教程
1101 0
|
人工智能
【强大的cursor_不懂就问AI工具做开发的AI助手技巧分享——一定要去试试!!!】
【强大的cursor_不懂就问AI工具做开发的AI助手技巧分享——一定要去试试!!!】
|
运维 网络协议 Linux
【Linux】Linux网络故障排查与解决指南
【Linux】Linux网络故障排查与解决指南
|
算法 前端开发 JavaScript
用GUID生成随机数(重复性基本为0)
用GUID生成随机数(重复性基本为0)
288 0