این دستور ssldump است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
ssldump - ترافیک SSL را در یک شبکه تخلیه کنید
خلاصه
افتضاح [ -vTshVq -aAdeHnNqTxXvy ] [ -i رابط ]
[ -k فایل کلیدی ] [ -p کلمه عبور ] [ -r dumpfile ]
[ -S [عضو سازمانهای سری ومخفی|d|ht|H|ناگهان] ] [ بیان ]
شرح
افتضاح یک تحلیلگر پروتکل شبکه SSL/TLS است. اتصالات TCP را بر روی آن شناسایی می کند
رابط شبکه را انتخاب کرده و سعی می کند آنها را به عنوان ترافیک SSL/TLS تفسیر کند. زمانی که آن را
ترافیک SSL/TLS را شناسایی می کند، رکوردها را رمزگشایی می کند و آنها را به صورت متنی نمایش می دهد.
stdout. در صورت ارائه مواد کلیدی مناسب، آن را نیز رمزگشایی می کند
اتصالات و نمایش ترافیک داده های برنامه
ssldump بر روی FreeBSD، Linux، Solaris و HP/UX آزمایش شده است. از آنجایی که مبتنی بر PCAP است،
باید روی اکثر پلتفرم ها کار کند. با این حال، برخلاف tcpdump، ssldump باید قادر به دیدن باشد
هر دو طرف انتقال داده، بنابراین ممکن است در استفاده از آن با ضربه های شبکه مشکل داشته باشید
مانند SunOS nit که به شما اجازه دیدن داده های ارسالی را نمی دهد. تحت SunOS با NIT or
bpf: برای اجرا tcpdump شما باید دسترسی خواندن داشته باشید /dev/nit or /dev/bpf*. تحت سولاریس
با dlpi: شما باید دسترسی خواندن به شبه دستگاه شبکه داشته باشید، به عنوان مثال /dev/le. تحت
HP-UX با dlpi: شما باید روت باشید یا باید setuid to root نصب شده باشد. تحت IRIX با
اسنوپ: شما باید روت باشید یا باید setuid to root نصب شده باشد. تحت لینوکس: شما باید
روت یا باید setuid to root نصب شود. تحت اولتریکس و دیجیتال یونیکس: هنگامی که
super-user با استفاده از حالت غیرقانونی عملکرد را فعال کرده است pfconfig(8)، هر کاربری ممکن است اجرا کند
افتضاح تحت BSD: شما باید دسترسی خواندن داشته باشید /dev/bpf*.
OPTIONS
-a چاپ TCP ACK خالی (مفید برای مشاهده رفتار Nagle)
-A چاپ تمام فیلدهای رکورد (به طور پیش فرض ssldump جالب ترین فیلدها را انتخاب می کند)
-d نمایش ترافیک داده های برنامه این معمولاً به معنای رمزگشایی آن است، اما زمانی که -d باشد
از ssldump استفاده می شود همچنین ترافیک داده های برنامه را رمزگشایی می کند قبل از جلسه SSL
آغاز می کند. این به شما امکان می دهد رفتار HTTPS CONNECT و همچنین SMTP STARTTLS را ببینید.
به عنوان یک عارضه جانبی، از آنجایی که ssldump نمی تواند تشخیص دهد که آیا متن ساده قبل از ترافیک ترافیک است یا خیر
شروع یک اتصال SSL یا فقط یک اتصال معمولی TCP، این امکان را به شما می دهد
برای استفاده از ssldump برای استشمام هر اتصال TCP. ssldump به طور خودکار شناسایی می شود
داده های ASCII را مستقیماً روی صفحه نمایش دهید. داده های غیر ASCII به صورت نمایش داده می شوند
زباله های شش گوش همچنین به -X مراجعه کنید.
-e چاپ مُهر زمانی مطلق به جای مُهر زمانی نسبی
-H هدر کامل بسته SSL را چاپ کنید.
-n سعی نکنید نام هاست را از آدرس های IP حل کنید
-N سعی کنید ASN.1 را هنگامی که ظاهر می شود تجزیه کنید، مانند گواهی ها و DN ها.
-p استفاده کنید کلمه عبور به عنوان رمز عبور فایل کلیدی SSL.
-P اینترفیس را در حالت بی بند و باری قرار ندهید.
-q هیچ فیلد رکوردی را فراتر از یک خط خلاصه رمزگشایی نکنید. (حالت بی صدا).
-T هدرهای TCP را چاپ کنید.
-v نمایش نسخه و اطلاعات حق چاپ.
-x هر رکورد را به صورت هگز چاپ کنید و همچنین آن را رمزگشایی کنید.
-X هنگامی که از گزینه -d استفاده می شود، داده های باینری به طور خودکار در دو ستون چاپ می شوند
با یک داپ هگز در سمت چپ و کاراکترهای قابل چاپ در سمت راست. -ایکس
نمایش کاراکترهای قابل چاپ را سرکوب می کند، بنابراین برش را آسان تر می کند
و داده های هگز را در برنامه دیگری قرار دهید.
-y خروجی پردازش را با nroff/troff تزئین کنید. برای
کاربر متوسط.
-i رابط
استفاده کنید رابط به عنوان رابط شبکه که در آن می توان ترافیک SSL/TLS را شناسایی کرد.
-k فایل کلیدی
استفاده کنید فایل کلیدی به عنوان محل فایل کلید SSL (فرمت OpenSSL) نسخه های قبلی
ssldump به طور خودکار به ./server.pem نگاه کرد. حال باید فایل کلیدی خود را مشخص کنید
هر زمان.
-p کلمه عبور
استفاده کنید کلمه عبور به عنوان رمز عبور فایل کلیدی SSL.
-r پرونده
خواندن داده ها از پرونده به جای از شبکه گزینه قدیمی -f هنوز کار می کند اما
منسوخ شده است و احتمالا با نسخه بعدی حذف خواهد شد.
-S [ عضو سازمانهای سری ومخفی | d | ht | H ]
پرچم های SSL را برای ssldump مشخص کنید. این پرچم ها عبارتند از:
عضو سازمانهای سری ومخفی چاپ اطلاعات رمزنگاری
d فیلدها را به صورت رمزگشایی چاپ کنید.
ht نوع دست دادن را چاپ کنید.
H نوع دست دادن و هایلایت را چاپ کنید.
بیان
بسته هایی را که ssldump بررسی خواهد کرد را انتخاب می کند. از نظر فنی، ssldump پشتیبانی می کند
نحو عبارت کامل از PCAP و tcpdump. در واقع، شرح اینجاست
از صفحه مرد tcpdump جدا شده است. با این حال، از آنجایی که ssldump نیاز به بررسی کامل TCP دارد
استریمها، بیشتر عبارات tcpdump ترکیبهای ترافیکی را انتخاب میکنند که ssldump میشوند
به سادگی نادیده خواهد گرفت. فقط عباراتی که منجر به TCP ناقص نمی شوند
جریان ها در اینجا فهرست شده اند.
La بیان از یک یا چند تشکیل شده است بدوی. بدوی معمولاً از
an id (نام یا شماره) قبل از یک یا چند واجد شرایط. سه تا هستند
انواع مختلف واجد شرایط:
نوع واجد شرایط می گویند که نام یا شماره شناسه به چه چیزی اشاره دارد. ممکن است
انواع هستند میزبان, خالص و بندر. به عنوان مثال، "host foo"، "net 128.3"، "port 20". اگر
هیچ نوع واجد شرایطی وجود ندارد، میزبان فرض بر این است.
دیر واجد شرایط یک جهت انتقال خاص به و/یا از را مشخص می کند شناسه.
جهت های ممکن هستند ", dst, " or dst و " و dst. به عنوان مثال، `src
foo'، 'dst net 128.3'، 'src or dst port ftp-data'. اگر دایر نباشد
مقدماتی، " or dst مفروض است. برای لایه های پیوند «تهی» (به عنوان مثال به
پروتکل های نقطه ای مانند لغزش) the ورودی و عازم ناحیه دور دست واجد شرایط می تواند باشد
برای تعیین جهت دلخواه استفاده می شود.
عبارات فیلتر پیچیده تر با استفاده از کلمات ساخته می شوند و, or و نه به
ترکیب اولیه به عنوان مثال، "host foo و not port ftp و not port ftp-data". به
صرفه جویی در تایپ، لیست های واجد شرایط یکسان را می توان حذف کرد. به عنوان مثال، `tcp dst port ftp or
ftp-data یا domain دقیقاً همان tcp dst port ftp یا tcp dst port ftp- است.
دامنه داده یا tcp dst port'.
اولیه های مجاز عبارتند از:
dst میزبان میزبان
اگر فیلد مقصد IPv4/v6 بسته باشد درست است میزبان، که ممکن است باشد
یا آدرس یا نام
" میزبان میزبان
اگر فیلد منبع IPv4/v6 بسته باشد درست است میزبان.
میزبان میزبان
اگر منبع یا مقصد بسته IPv4/v6 باشد درست است میزبان. هرکی
از عبارات میزبان فوق را می توان با کلمات کلیدی اضافه کرد، ip, آرپ,
راپ، یا ip6 مانند در:
ip میزبان میزبان
که معادل است با:
اتر proto- \ IP و میزبان میزبان
If میزبان یک نام با چندین آدرس IP است که هر آدرس بررسی می شود
برای یک مسابقه
اتر dst ehost
اگر آدرس مقصد اترنت باشد درست است ehost. Ehost ممکن است یا یک باشد
نام از /etc/ethers یا یک عدد (نگاه کنید به اترها(3N) برای قالب عددی).
اتر " ehost
اگر آدرس منبع اترنت باشد درست است ehost.
اتر میزبان ehost
اگر آدرس منبع یا مقصد اترنت باشد صحیح است ehost.
دروازه میزبان
اگر از بسته استفاده شده باشد درست است میزبان به عنوان یک دروازه یعنی منبع اترنت یا
آدرس مقصد بود میزبان اما نه منبع IP و نه IP
مقصد بود میزبان. میزبان باید یک نام باشد و باید در هر دو یافت شود
/ غیره / میزبان و /etc/ethers. (یک عبارت معادل است
اتر میزبان ehost و نه میزبان میزبان
که می تواند با نام یا اعداد برای استفاده شود میزبان / ehost.) این
سینتکس در حال حاضر در پیکربندی دارای IPv6 کار نمی کند.
dst خالص خالص
اگر آدرس مقصد IPv4/v6 بسته دارای شماره شبکه باشد صحیح است
of خالص. خالص ممکن است نامی از /etc/networks یا شماره شبکه (نگاه کنید به
شبکه(4) برای جزئیات بیشتر).
" خالص خالص
درست است اگر آدرس منبع IPv4/v6 بسته دارای شماره شبکه باشد
خالص.
خالص خالص
اگر آدرس مبدأ یا مقصد بسته IPv4/v6 دارای یک باشد صحیح است
شماره شبکه از خالص.
خالص خالص ماسک ماسک
اگر آدرس IP مطابقت داشته باشد درست است خالص با نت ماسک خاص شاید
واجد شرایط با " or dst. توجه داشته باشید که این نحو برای IPv6 معتبر نیست خالص.
خالص خالص/لن
اگر آدرس IPv4/v6 مطابقت داشته باشد درست است خالص یک ماسک شبکه لن کمی پهن شاید
واجد شرایط با " or dst.
dst بندر بندر
اگر بسته ip/tcp، ip/udp، ip6/tcp یا ip6/udp باشد و دارای یک
مقدار پورت مقصد از بندر. بندر می تواند یک عدد یا نامی باشد که در آن استفاده می شود
/ و غیره / خدمات (نگاه کنید به tcp(4P) و udp(4P)). اگر از یک نام استفاده می شود، هر دو پورت
شماره و پروتکل بررسی می شود. اگر از یک عدد یا نام مبهم استفاده شود،
فقط شماره پورت بررسی می شود (به عنوان مثال، dst بندر 513 هر دو را چاپ خواهد کرد
ترافیک tcp/login و ترافیک udp/who و بندر دامنه هر دو را چاپ خواهد کرد
ترافیک tcp/domain و udp/domain).
" بندر بندر
اگر بسته دارای مقدار پورت منبع باشد درست است بندر.
بندر بندر
اگر پورت مبدا یا مقصد بسته باشد درست است بندر. هر یک از
عبارات پورت فوق را می توان با کلمات کلیدی اضافه کرد، tcp or udp,
مانند در:
tcp " بندر بندر
که فقط با بسته های tcp که پورت منبع آنها است مطابقت دارد بندر.
ابتدایی ها را می توان با استفاده از:
گروهی از پرانتزهای اولیه و عملگرها (پرانتزها خاص هستند
به پوسته و باید فرار کرد).
نفی (`!"یا"نه')
الحاق (`&&"یا"و')
جایگزینی (`||"یا"or')
نفی بالاترین اولویت را دارد. تناوب و الحاق مساوی هستند
اولویت و ارتباط از چپ به راست. به این صریح توجه کنید و نشانه ها، نه
کنار هم قرار گرفتن، اکنون برای الحاق لازم است.
اگر یک شناسه بدون کلمه کلیدی داده شود، آخرین کلمه کلیدی فرض می شود.
به عنوان مثال،
نه میزبان vs و تک خال
کوتاه است
نه میزبان vs و میزبان تک خال
که نباید با آن اشتباه گرفت
نه ( میزبان vs or تک خال )
آرگومان های عبارت را می توان به عنوان یک آرگومان واحد یا به عنوان به ssldump ارسال کرد
آرگومان های متعدد، هر کدام راحت تر است. به طور کلی، اگر بیان
حاوی متاکاراکترهای Shell است، انتقال آن به عنوان یک تک، نقل قول آسان تر است
بحث و جدل. چندین آرگومان قبل از تجزیه با فاصله ها به هم متصل می شوند.
مثال ها
برای گوش دادن به ترافیک در رابط le0 بندر 443
افتضاح -i le0 بندر 443
برای گوش دادن به ترافیک سرور رومئو در بندر 443.
افتضاح -i le0 بندر 443 و میزبان رومئو
برای رمزگشایی ترافیک به میزبان رومئو server.pem و رمز عبور فوبار
افتضاح -آگهی -k ~/server.pem -p فوبار -i le0 میزبان رومئو
OUTPUT FORMAT
تمام خروجی ها به صورت استاندارد چاپ می شوند.
ssldump نشانه ای از هر اتصال TCP جدید را با استفاده از خطی مانند زیر چاپ می کند
جدید TCP ارتباط #2: iromeo.rtfm.com(2302) <-> sr1.rtfm.com(4433)
میزبانی که اولین SYN را ارسال می کند در سمت چپ چاپ می شود و میزبانی که پاسخ داده است
چاپ شده در سمت راست معمولاً این بدان معناست که کلاینت SSL روی آن چاپ می شود
سمت چپ با سرور SSL در سمت راست. در این مورد ما یک ارتباط از
iromeo.rtfm.com (بندر 2303) به sr1.rtfm.com (بندر 4433). برای اینکه کاربر بتواند از هم جدا شود
ترافیک از اتصالات مختلف، هر اتصال شماره گذاری شده است. این اتصال است 2.
چاپ هر رکورد SSL با یک خط رکورد شروع می شود. این خط شامل
شماره اتصال و رکورد، مهر زمانی و نوع رکورد، مانند موارد زیر:
2 3 0.2001 (0.0749) S>C دست گواهی نامه
این رکورد است 3 در اتصال 2. اولین مُهر زمانی زمان از آغاز است
اتصال. دومی زمان از رکورد قبلی است. هر دو در ثانیه هستند.
فیلد بعدی در خط رکورد جهتی است که رکورد در حال حرکت است. C>S
سوابق ارسال شده از کلاینت به سرور را نشان می دهد و S>C سوابق ارسال شده را نشان می دهد
از سرور به مشتری ssldump فرض می کند که میزبانی که اولین SYN را ارسال می کند SSL است
مشتری (این تقریباً همیشه صحیح است).
فیلد بعدی نوع رکورد است، یکی از دست, هشدار, ChangeCipherSpec، یا
application_data. در نهایت، ssldump ممکن است داده های خاص رکورد را در بقیه خط چاپ کند.
برای دست ضبط می کند، پیام دست دادن را چاپ می کند. بنابراین، این رکورد یک است گواهی نامه
پیام
ssldump انواع رکوردهای خاصی را برای رمزگشایی بیشتر انتخاب می کند. اینها کسانی هستند که دارند
ثابت شده است که برای اشکال زدایی بسیار مفید است:
مشتری - نسخه، مجموعه های رمز ارائه شده، شناسه جلسه
در صورت ارائه)
سرور سلام - نسخه، session_id، مجموعه رمز انتخاب شده،
شیوه فشرده سازی
هوشیار - نوع و سطح (در صورت امکان)
رمزگشایی کاملتر از رکوردهای مختلف را می توان با استفاده از -A , -d , -k و -p
پرچم ها
تشریح
ssldump میتواند ترافیک بین دو میزبان را در صورت وجود دو شرط زیر رمزگشایی کند:
1. ssldump دارای کلید است.
2. استاتیک RSA استفاده شد.
در هر حالت دیگری، پس از شروع رمزگذاری، ssldump تنها قادر به تعیین مقدار خواهد بود
نوع رکورد بخش زیر از یک ردیابی را در نظر بگیرید.
1 5 0.4129 (0.1983) C>S دست ClientKeyExchange
1 6 0.4129 (0.0000) C>S ChangeCipherSpec
1 7 0.4129 (0.0000) C>S دست
1 8 0.5585 (0.1456) S>C ChangeCipherSpec
1 9 0.6135 (0.0550) S>C دست
1 10 2.3121 (1.6986) C>S application_data
1 11 2.5336 (0.2214) C>S application_data
1 12 2.5545 (0.0209) S>C application_data
1 13 2.5592 (0.0046) S>C application_data
1 14 2.5592 (0.0000) S>C هوشیار
توجه داشته باشید که ClientKeyExchange نوع پیام چاپ شده است اما بقیه موارد دست
پیام ها انواع ندارند اینها هستند تمام شده پیام ها، اما به این دلیل که هستند
ssldump رمزگذاری شده فقط می داند که آنها از نوع هستند دست. به طور مشابه، داشت هوشیار in
رکورد 14 در حین دست دادن اتفاق افتاد، نوع و سطح آن چاپ می شد.
با این حال، از آنجایی که رمزگذاری شده است، فقط می توانیم بگوییم که یک هشدار است.
با استفاده از خدمات onworks.net از ssldump به صورت آنلاین استفاده کنید
