Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何解密SSL在 Linux 中使用 Chrome 或 Firefox 和 Wireshark - Knowledge Base - Palo Alto Networks

如何解密SSL在 Linux 中使用 Chrome 或 Firefox 和 Wireshark

42686
Created On 07/11/22 21:23 PM - Last Modified 10/16/24 23:57 PM


Objective


捕获SSL来自 Chrome 或 Firefox 中加密的网络浏览或其他网络应用程序流量的会话密钥,并使用它来解密 Wireshark 中的数据包捕获。

Environment


  • Linux
  • Chrome 85 或更新版本,或者 Firefox 81 或更新版本
  • Wireshark 3.2.7 或更新版本
  • SSL/TLS会话使用RSA,DHE或者ECDHE密钥交换算法。


Procedure


1. 完全关闭 Chrome 或 Firefox。 确保所有实例都已关闭。

2. 打开终端窗口并设置SSLKEYLOGFILE环境变量使用以下命令。
出口SSLKEYLOGFILE="/家/$USER /sslkey.log"
放SSLKEYLOGFILE环境变量。
不要关闭终端窗口。

3. 启动Wireshark 或tcpdump,开始抓包。

4.使用在步骤 2 中用于设置环境变量的终端窗口启动 Chrome 或 Firefox。 (环境变量仅为该特定终端会话设置)。

对于铬:
铬浏览器&

对于火狐:
火狐 &
从已设置的同一终端启动 Chromium 或 FirefoxSSKLEYLOGFILE环境变量。

5.使用终端验证是否创建了 sslkey.log 文件。

文件/家/$USER /sslkey.log

如果正确创建文件,预期输出将是:
/home/user1/sslkey.log:ASCII文本
验证是否已创建 sslkey.log 文件。
6. 浏览到正在测试的网站或 Web 应用程序并运行需要捕获的所有操作。

在我们的示例中,我们从EICAR安全站点。
使用网络浏览器下载加密内容。
7. 检查 Wireshark 以确认活动已正确收集,并停止捕获。
验证捕获是否正常工作。
8. 在 Wireshark 中转到 [编辑 > 首选项 > 协议 >SSL ]. 在 (Pre)-Master-Secret log filename 下,选择在第 5 步中创建的 sslkey.log 文件,然后单击OK.
填充 (Pre)-Master-Secret 日志文件名。
9. 解密后的抓包显示在 Wireshark 中。
解密的SSL会话在 Wireshark 中公开。
10. (可选)遵循HTTP流以可视化解密的内容。
跟随HTTP流以可视化解密的数据。
注1:本文仅供参考。 Palo Alto Networks 不支持任何第三方操作系统。


Additional Information


目前没有办法从 Wireshark 中导出解密的数据包捕获PCAP格式,但是,有三个选项:
  • 分享PCAP文件及其相应的 sslkey.log 文件发送给预期的收件人。
  • PDU 导出解密数据:
导出解密的PDU转到文件 > 导出PDU的文件>OSI第 4 层,或OSI第 7 层。
将结果输出保存到PCAPNG文件。
  • 跟随解密HTTP流(第 10 步),选择“数据显示和另存为”:ASCII ,然后选择“另存为...”。 这会将打印的流输出保存在明文文件中。


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkvECAQ&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language