Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何 SSL 解密使用铬或火狐和有线鲨鱼在窗口 - Knowledge Base - Palo Alto Networks

如何 SSL 解密使用铬或火狐和有线鲨鱼在窗口

126167
Created On 10/10/20 05:11 AM - Last Modified 10/16/24 23:55 PM


Objective


SSL在 Chrome 或 Firefox 中从加密的 Web 浏览或其他 Web 应用流量中捕获会话密钥,并用它来解密 Wireshark 中的分组捕获。

Environment


  • 视窗 7 或视窗 10
  • Chrome 85 或更高版本,或 Firefox 81 或更高版本
  • 线沙克 3.2.7 或更高版本
  • SSL/ TLS 使用 RSA DHE 或 ECDHE 键交换算法的会话。


Procedure


1. 完全关闭 Chrome 或 Firefox。 确保所有实例都已关闭。

2. 打开"开始"菜单,然后 键入 env,选择"为您的帐户编辑环境变量"。
打开:编辑帐户的环境变量。

3. 在"环境变量"窗口中,在"用户变量为 %用户%"下,单击"新..."。
%用户的用户变量%, 单击"新...

4. 在"新用户变量"窗口输入中:
可 SSLKEYLOGFILE
变名称:可变值 USERPROFILE :% %\桌面\sslkey.log
可变名称: SSLKEYLOGFILE , 可变值: USERPROFILE % % % - 桌面 - sslkey.log

5. 单击 OK 以接受"新用户变量"条目, OK 并接受并关闭新的"环境变量"窗口。

6. 启动线罩,并开始数据包捕获。

7. 启动色度或火狐,并验证是否创建了 sslkey .log文件。
启动 Chrome 或 Firefox,并验证.log文件是否已创建。

8. 浏览到正在测试的网站或 Web 应用程序,并运行需要捕获的所有操作。 

在我们的示例中,我们从安全站点下载恶意软件测试文件 EICAR 。 
示例: EICAR 从其安全 (https) 网站下载测试文件。

9. 检查是否正确收集了数据包捕获,并停止捕获。
已收集的加密捕获。

20M 在Wireshark中转到[编辑>首选项>协议 TLS >]。 在(Pre)-主机密日志文件名下,选择步骤 7 中创建的 sslkey .log文件,然后单击 OK 。
将 sslkey .log添加到协议首选项下的 (预) 主 TLS 机密。

11. 解密的数据包捕获显示在有线鲨鱼中。
显示解密捕获。

12. (可选)跟随 HTTP 流可视化解密的内容。
关注解密流 HTTP 。


Additional Information


目前无法以格式从 Wireshark 导出解密的数据包捕获 PCAP ,但是,有三种选择:
  • PCAP将文件及其相应的 sslkey .log文件共享给预期收件人。
  • PDU 已解密数据的导出:
要导出解密 PDU 的"转到文件>导出 PDU "到文件> OSI 层 4,或 OSI 第 7 层。
将生成的输出保存到 PCAPNG 文件中。
  • 按照解密 HTTP 流(步骤 12),选择"显示并保存数据为": ASCII 然后选择"保存为。。。"。 这会将打印的流输出保存在明文文件中。

 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HB8gCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language