Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
So entschlüsseln SSL Sie mit Chrome oder Firefox und Wireshark ... - Knowledge Base - Palo Alto Networks

So entschlüsseln SSL Sie mit Chrome oder Firefox und Wireshark in Linux

42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM


Objective


Erfassen Sie SSL Sitzungsschlüssel aus verschlüsseltem Webbrowsing oder anderem Webanwendungsverkehr in Chrome oder Firefox und verwenden Sie diese, um Paketerfassungen in Wireshark zu entschlüsseln.

Environment


  • Linux
  • Chrome 85 oder neuer oder Firefox 81 oder neuer
  • Wireshark 3.2.7 oder neuer
  • SSL/ TLS Sitzungen mit , oder RSA DHE ECDHE Schlüsselaustauschalgorithmen.


Procedure


1. Schließen Sie Chrome oder Firefox vollständig. Stellen Sie sicher, dass alle Instanzen geschlossen sind.

2. Öffnen Sie ein Terminalfenster und legen Sie die SSLKEYLOGFILE Umgebungsvariable mit dem folgenden Befehl fest.
export SSLKEYLOGFILE="/home/$USER/sslkey.log"
Umgebungsvariable festlegen SSLKEYLOGFILE .
 
Schließen Sie das Terminalfenster nicht.

3. Starten Sie Wireshark oder tcpdump und starten Sie die Paketerfassung.

4.Starten Sie Chrome oder Firefox über das Terminalfenster, das zum Festlegen der Umgebungsvariablen in Schritt 2 verwendet wurde. (Die Umgebungsvariable wird nur für diese bestimmte Terminalsitzung festgelegt.)

Für Chrome: chromium-browser &Für Firefox:

Firefox &


Starten Sie Chromium oder Firefox von demselben Terminal, das die SSKLEYLOGFILE Umgebungsvariable festgelegt hat.

5.Verwenden Sie das Terminal, um zu überprüfen, ob die Datei sslkey.log erstellt wurde.

Datei /home/$USER/sslkey.log Die erwartete Ausgabe, wenn die Datei ordnungsgemäß erstellt wird, lautet:/home/user1/sslkey.log

:
ASCII text
Überprüfen Sie, ob die Datei sslkey.log erstellt wurde.
6. Navigieren Sie zur Website oder Webanwendung, die getestet wird, und führen Sie alle Aktionen aus, die erfasst werden müssen. 

In unserem Beispiel laden wir die Malware-Testdatei von der EICAR sicheren Website herunter. 
Laden Sie verschlüsselte Inhalte mit Ihrem Webbrowser herunter.
7. Überprüfen Sie Wireshark, um zu bestätigen, dass die Aktivität ordnungsgemäß erfasst wurde, und stoppen Sie die Erfassung.
Überprüfen Sie, ob die Erfassung ordnungsgemäß funktioniert hat.
8. Gehen Sie in Wireshark zu [ Edit > Preferences > Protocols > SSL ]. Wählen Sie unter (Pre)-Master-Secret-Protokolldateiname die in Schritt 5 erstellte sslkey.log Datei aus, und klicken Sie auf OK.
Füllen Sie den (Pre)-Master-Secret-Protokolldateinamen aus.
9. Die entschlüsselte Paketerfassung wird in Wireshark angezeigt.
Die entschlüsselte SSL Sitzung wird in Wireshark verfügbar gemacht.
10. (Optional) Folgen Sie dem HTTP Stream, um den entschlüsselten Inhalt zu visualisieren.
Folgen Sie HTTP Stream, um die entschlüsselten Daten zu visualisieren.
Anmerkung 1: Dieser Artikel dient nur zu Informationszwecken. Palo Alto Networks unterstützt keine Betriebssysteme von Drittanbietern.


Additional Information


Es gibt derzeit keine Möglichkeit, die entschlüsselten Paketerfassungen aus Wireshark im Format zu PCAP exportieren, es gibt jedoch drei Optionen:
  • Teilen Sie die PCAP Datei zusammen mit dem entsprechenden sslkey.log Datei für den beabsichtigten Empfänger.
  • PDU Export der entschlüsselten Daten:
Um die entschlüsselten PDU zu exportieren, gehen Sie zu Datei > Export PDU in Datei > Layer 4 oder Layer OSI OSI 7.
Speichern Sie die resultierende Ausgabe in einer PCAPNG Datei.
  • Folgen Sie dem Entschlüsselten HTTP Stream (Schritt 10), wählen Sie "Daten anzeigen und speichern unter": ASCIIund wählen Sie dann "Speichern unter... ". Dadurch wird die gedruckte Streamausgabe in einer Klartextdatei gespeichert.


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkvECAQ&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language