macOS에서 Chrome 또는 Firefox와 Wireshark를 사용하여 SSL 해독하는 방법

macOS에서 Chrome 또는 Firefox와 Wireshark를 사용하여 SSL 해독하는 방법

50624
Created On 04/27/21 00:18 AM - Last Modified 01/03/25 15:25 PM


Objective


Chrome이나 Firefox에서 암호화된 웹 브라우징이나 기타 웹 애플리케이션 트래픽에서 SSL 세션 키를 캡처하고 Wireshark에서 패킷 캡처를 해독하는 데 사용합니다.

Environment


  • macOS 10.15 이상
  • Chrome 85 이상 또는 Firefox 81 이상
  • Wireshark 3.2.7 이상
  • RSA, DHE 또는 ECDHE 키 교환 알고리즘을 사용하는 SSL/TLS 세션.

Procedure


1. Chrome 또는 Firefox를 완전히 닫습니다. 강제 종료 옵션을 사용하여 모든 인스턴스가 닫혔는지 확인합니다(응용 프로그램 Dock에서 웹 브라우저 아이콘을 마우스 오른쪽 버튼으로 클릭하고 Option 키를 누른 상태에서 강제 종료를 선택합니다).

2. 터미널 창을 열고 다음 명령을 사용하여 SSLKEYLOGFILE 환경 변수를 설정합니다.

SSLKEYLOGFILE="/Users/$USER/sslkey.log"를 내보냅니다.

SSLKEYLOGFILE 환경 변수를 설정하세요
터미널 창을 닫지 마세요.

3. Wireshark를 실행하고 패킷 캡처 시작합니다.

4. 2단계에서 환경 변수를 설정하는 데 사용된 터미널 창을 사용하여 Chrome이나 Firefox를 실행합니다. (환경 변수는 해당 터미널 세션 에만 설정됩니다.)

Chrome의 경우:
/Applications/Google\ Chrome.app 앱 엽니다.

Firefox의 경우:
/Applications/Firefox.app 앱 엽니다.

터미널 창에서 웹 브라우저를 엽니다.

5. 터미널을 사용하여 sslkey.log 파일이 생성되었는지 확인합니다.

파일 /Users/$USER/sslkey.log

파일이 올바르게 생성된 경우 예상되는 출력은 다음과 같습니다.
/Users/user1/sslkey.log: ASCII 텍스트

sslkey.log 파일이 생성되었는지 확인하세요.

6. 테스트 중인 웹사이트나 웹 애플리케이션 을 탐색하여 캡처해야 할 모든 작업을 실행합니다.

우리의 예에서는 EICAR 보안 사이트에서 멀웨어 테스트 파일을 다운로드합니다.
테스트 중인 웹사이트를 탐색하세요

7. Wireshark에서 활동이 제대로 수집되었는지 확인하고 캡처 중지합니다.

암호화된 캡처 정보가 수집되었습니다.

8. Wireshark에서 [기본 설정 > 프로토콜 > TLS ]로 이동합니다. (Pre)-Master-Secret 로그 파일 이름에서 5단계에서 만든 sslkey.log 파일을 선택하고 OK 을 클릭합니다.

TLS 옵션

9. 복호화된 패킷 캡처 Wireshark에 표시됩니다.

복호화된 캡처 내용이 제시됩니다.

10. (선택 사항) HTTP 스트림을 따라가면 복호화된 내용을 시각화할 수 있습니다.

HTTP 스트림

참고사항 1 : MAC OS 또는 Chrome이 업데이트되면 단계가 변경될 수 있습니다.
참고2: 이 글은 정보 제공 목적으로만 작성되었습니다. Palo Alto Networks 타사 운영 체제를 지원하지 않습니다.

Additional Information


tshark를 사용하여 패킷을 해독하고 내보내세요

현재 Wireshark에서 복호화된 패킷 캡처를 PCAP 형식으로 내보낼 방법은 없지만, Wireshark의 명령줄 대응물인 tshark를 사용하여 이 작업을 수행할 수 있습니다. 복호화된 데이터를 추출하여 저장할 수 있습니다.

  1. (사전) 마스터-시크릿 키를 사용할 수 있는지 확인하세요 .

  2. Run tshark with the TLS key log and appropriate decryption settings:

    tshark -r original.pcap -o tls.keylog_file:/path/to/your/tls_keys.log -o tls.desegment_ssl_records:TRUE -o tls.desegment_ssl_application_data:TRUE -w decrypted.pcap

    • -r original.pcap: Your original PCAP file with encrypted TLS packets.
    • -o tls.keylog_file: Path to your TLS key log file.
    • -o tls.desegment_ssl_records: Ensures proper segmentation of SSL/TLS records.
    • -o tls.desegment_ssl_application_data: Ensures the SSL/TLS application data is properly reassembled.

    The -w decrypted.pcap flag will write the decrypted packets to a new output file.



Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM2ECAU&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language