我正在解密通过 Wireshark 发送的我自己的流量,并且我一直在遵循本指南以供参考。我一直在使用SSLKEYLOGFILE环境变量,并且可以在 Windows 8.1 和 Ubuntu 14.04 LTS 上填充密钥文件。
我正在使用的测试是登录 Facebook 并在 Wireshark 上查找“解密 SSL 数据”选项卡。它在运行 Windows 时出现,但在 Linux 上找不到。我还注意到,在“协议”选项卡中,SSL 将出现在 Windows 的所有协议中,但在 Linux 版本上却找不到。两者仍然显示 TLSv1.2,所以我不相信我正在连接到不安全的 Facebook 版本。
Wireshark 的 Linux 版本是使用 GnuTLS 2.12.23 编译的,所以这也不是问题。任何人都可以帮忙吗?
在 Wireshark (Ubuntu 14.04) 中,您可以右键单击SSL 流,然后转到:
协议首选项 > 安全套接字层首选项
在这里您可以添加 RSA 密钥列表,您可以在其中输入用于保护通信的私钥的密码。您还可以输入预共享密钥或预主密钥日志文件(我相信这就是您所拥有的)。
这是关于如何在 Linux 中使用 Wireshark 解密 SSL 流量的教程。
作为替代方案,我会考虑使用像Charles这样的代理来充当中间人来查看网站之间的 SSL 流量。它可以很容易地查看解密的流量,并且您可以同时进行多个会话。这在封闭的网络中是理想的,因为您必须将他们的 CA 安装到您信任的商店中。
但这是调试/查看安全网络流量的好方法。
谢谢大家,但解决方案非常简单。我只需要升级。我在 Linux 上使用 1.10.6(Ubuntu 软件中心的版本),它在 SSL 解密方面存在一些问题。我只需要使用以下命令对其进行更新。
sudo apt-add-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get upgrade
之后它工作得很好。
免责声明:我也在Wireshark 问答论坛上问过这个问题,并在那里得到了答案。