Wireshark

Descifrando el tráfico SSL / TLS con Wireshark

Descifrando el tráfico SSL / TLS con Wireshark

En este artículo, haremos que Linux configure y capture HTTPS (Protocolo de transferencia de hipertexto seguro) paquetes en Wireshark. Luego intentaremos decodificar los cifrados SSL (Secure Socket Layer).

Tenga en cuenta que: Es posible que el descifrado de SSL / TLS no funcione correctamente a través de Wireshark. Esto es solo una prueba para ver qué es posible y qué no es posible.

¿Qué son SSL, HTTPS y TLS??

En realidad, estos tres términos técnicos están interrelacionados. Cuando usamos solo HTTP (Protocolo de Transferencia de Hipertexto), no se utiliza la seguridad de la capa de transporte y podemos ver fácilmente el contenido de cualquier paquete. Pero cuando se usa HTTPS, podemos ver TLS (Transport Layer Security) se utiliza para cifrar los datos.

Simplemente podemos decir.

HTTP + (sobre) TLS / SSL = HTTPS

Nota: HTTP envía datos a través del puerto 80, pero HTTPS usa el puerto 443.

Captura de pantalla para datos HTTP:

Captura de pantalla para datos HTTPS:

Configurar Linux para la descripción del paquete SSL

Paso 1
Agregue la siguiente variable de entorno dentro de la .archivo bashrc. Abre el .bashrc y agregue la siguiente línea al final del archivo. Guarde y cierre el archivo.

exportar SSLKEYLOGFILE = ~ /.clave ssl.Iniciar sesión

Ahora ejecute el siguiente comando para obtener el efecto.

fuente ~ /.bashrc

Ahora pruebe el siguiente comando para obtener el valor de "SSLKEYLOGFILE ”

echo $ SSLKEYLOGFILE

Aquí está la captura de pantalla de todos los pasos anteriores

Paso 2
El archivo de registro anterior no está presente en Linux. Cree el archivo de registro anterior en Linux. Utilice el siguiente comando para crear un archivo de registro.

toque ~ /.clave ssl.Iniciar sesión

Paso 3
Inicie Firefox instalado por defecto y abra cualquier sitio https como Linuxhint o Upwork.

Aquí he tomado el primer ejemplo como upwork.com.

Después de abrir el sitio web upwork en Firefox, verifique el contenido de ese archivo de registro.

Mando:

gato ~ /.clave ssl.Iniciar sesión

Si este archivo está vacío, Firefox no está usando este archivo de registro. Cerrar Firefox.

Siga los siguientes comandos para instalar Firefox.

Comandos:

sudo add-apt-repository ppa: ubuntu-mozilla-daily / firefox-aurora
sudo apt-get update
sudo apt-get install firefox

Ahora, inicie Firefox y verifique el contenido de ese archivo de registro

Mando:

gato ~ /.clave ssl.Iniciar sesión

Ahora podemos ver una gran información como la siguiente captura de pantalla. Estamos bien para ir.

Paso 4
Ahora necesitamos agregar este archivo de registro dentro de Wireshark. Siga el camino a continuación:

Wireshark-> Editar-> Preferencias-> Protocolo-> SSL -> "Aquí proporcione la ruta del archivo de registro secreto maestro".

Siga las capturas de pantalla a continuación para obtener una comprensión visual.

Después de hacer todas estas configuraciones, haga OK e inicie Wireshark en las interfaces requeridas.

Ahora la configuración está lista para verificar el descifrado SSL.

Análisis de Wireshark

Una vez que Wireshark comience a capturar, coloque el filtro como "ssl"Para que solo los paquetes SSL se filtren en Wireshark.

Mire la captura de pantalla a continuación, aquí podemos ver que HTTP2 (HTTPS) está abierto para algunos paquetes que antes estaban encriptados SSL / TLS.

Ahora podemos ver que la pestaña "SSL descifrado" en Wireshark y los protocolos HTTP2 se abren visibles. Vea la captura de pantalla a continuación para obtener sugerencias.

Veamos las diferencias entre "Antes del archivo de registro SSL habilitado" y "Después del archivo de registro SSL habilitado" para https: // linuxhint.com

Aquí está la captura de pantalla para los paquetes de Linuxhint cuando "el registro SSL no estaba habilitado"

Aquí está la captura de pantalla de los paquetes de Linuxhint cuando "se habilitó el registro SSL"

Podemos ver las diferencias fácilmente. En la segunda captura de pantalla, podemos ver claramente la URL solicitada por el usuario.

https: // linuxhint.com / bash_scripting_tutorial_beginners / \ r \ n

Ahora podemos probar otros sitios web y observar si estos métodos funcionan o no.

Conclusión

Los pasos anteriores muestran cómo configurar Linux para descifrar el cifrado SSL / TLS. Podemos ver que funcionó bien, pero algunos paquetes todavía están cifrados con SSL / TLS. Como mencioné anteriormente, puede que no funcione para todos los paquetes o para. Aún así, es bueno aprender sobre el descifrado SSL / TLS.

Cómo usar Xdotool para estimular los clics del mouse y las pulsaciones de teclas en Linux
Xdotool es una herramienta de línea de comandos gratuita y de código abierto para simular clics del mouse y pulsaciones de teclas. Este artículo cubri...
Los 5 mejores productos ergonómicos de mouse de computadora para Linux
¿El uso prolongado de la computadora causa dolor en la muñeca o los dedos?? ¿Sufre de rigidez en las articulaciones y constantemente tiene que dar la ...
Cómo cambiar la configuración del mouse y el panel táctil con Xinput en Linux
La mayoría de las distribuciones de Linux se envían con la biblioteca "libinput" de forma predeterminada para manejar eventos de entrada en un sistema...