Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
復号化する方法SSLLinux で Chrome または Firefox と Wireshark を使用する - Knowledge Base - Palo Alto Networks

復号化する方法SSLLinux で Chrome または Firefox と Wireshark を使用する

42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM


Objective


捕獲SSLChrome または Firefox で暗号化された Web ブラウジングまたはその他の Web アプリケーション トラフィックからセッション キーを取得し、それを使用して Wireshark でパケット キャプチャを復号化します。

Environment


  • Linux
  • Chrome 85 以降、または Firefox 81 以降
  • Wireshark 3.2.7 以降
  • SSL/TLSを使用したセッションRSA、DHEまたECDHE鍵交換アルゴリズム。


Procedure


1. Chrome または Firefox を完全に閉じます。 すべてのインスタンスが閉じていることを確認してください。

2. ターミナル ウィンドウを開き、SSLKEYLOGFILE次のコマンドを使用して環境変数を変更します。
輸出SSLKEYLOGFILE="/ホーム/$USER /sslkey.log"
設定SSLKEYLOGFILE環境変数。
端末ウィンドウを閉じないでください。

3. Wireshark または tcpdump を起動し、パケット キャプチャを開始します。

4.手順 2 で環境変数を設定するために使用したターミナル ウィンドウを使用して、Chrome または Firefox を起動します。 (環境変数は、その特定のターミナル セッションに対してのみ設定されます)。

クロムの場合:
クロムブラウザと

Firefox の場合:
ファイアフォックス&
を設定した同じ端末から Chromium または Firefox を起動します。SSKLEYLOGFILE環境変数。

5.ターミナルを使用して、sslkey.log ファイルが作成されたことを確認します。

ファイル /home/$USER /sslkey.log

ファイルが適切に作成された場合の予想される出力は次のようになります。
/home/user1/sslkey.log:ASCII文章
sslkey.log ファイルが作成されたことを確認します。
6. テストされている Web サイトまたは Web アプリケーションを参照し、キャプチャする必要があるすべてのアクションを実行します。

この例では、マルウェア テスト ファイルをEICAR安全なサイト。
Web ブラウザを使用して暗号化されたコンテンツをダウンロードします。
7。 Wireshark にチェックインして、アクティビティが適切に収集されたことを確認し、キャプチャを停止します。
キャプチャが正常に機能したことを確認します。
8. Wireshark で [編集 > 設定 > プロトコル > に移動します。SSL ]。 [(Pre)-Master-Secret ログ ファイル名] で、手順 5 で作成した sslkey.log ファイルを選択し、[OK .
(Pre)-Master-Secret ログ ファイル名を入力します。
9. 復号化されたパケット キャプチャが Wireshark に表示されます。
復号化されたSSLセッションは Wireshark で公開されます。
10. (オプション)HTTP復号化されたコンテンツを視覚化するためにストリーミングします。
従うHTTP復号化されたデータを視覚化するためにストリーミングします。
注1:この記事は情報提供のみを目的として書かれています。 Palo Alto Networks は、サードパーティのオペレーティング システムをサポートしていません。


Additional Information


現在、復号化されたパケット キャプチャを Wireshark からエクスポートする方法はありません。PCAPただし、次の 3 つのオプションがあります。
  • 共有するPCAPファイルとそれに対応する sslkey.log ファイルを対象の受信者に送信します。
  • PDU 復号化されたデータのエクスポート:
復号化されたものをエクスポートするにはPDUの [ファイル] > [エクスポート] に移動しますPDUのファイル >OSIレイヤ 4、またはOSIレイヤー 7。
結果の出力をPCAPNGファイル。
  • 解読された者を追跡するHTTPストリーム (ステップ 10) で、[データを表示して保存] を選択します。ASCIIを選択し、[名前を付けて保存...] を選択します。 これにより、印刷されたストリーム出力が平文ファイルに保存されます。


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkvECAQ&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language