sslsplit - ക്ലൗഡിൽ ഓൺലൈനിൽ

പട്ടിക:

NAME

sslsplit -- സുതാര്യവും അളക്കാവുന്നതുമായ SSL/TLS ഇന്റർസെപ്ഷൻ

സിനോപ്സിസ്

sslssplit [-kCKOPZdDgGsrReumjplLSFi] -c പെം പ്രോക്സിസ്പെക്സ് [...]
sslssplit [-kCKOPZdDgGsrReumjplLSFi] -c പെം -t മുതലാളി പ്രോക്സിസ്പെക്സ് [...]
sslssplit [-OPZdDgGsrReumjplLSFi] -t മുതലാളി പ്രോക്സിസ്പെക്സ് [...]
sslssplit -E
sslssplit -V
sslssplit -h

വിവരണം

SSL/TLS എൻക്രിപ്റ്റ് ചെയ്ത നെറ്റ്‌വർക്കിനെതിരെയുള്ള മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണത്തിനുള്ള ഒരു ഉപകരണമാണ് SSLsplit.
കണക്ഷനുകൾ. ഒരു നെറ്റ്‌വർക്ക് വിലാസം വഴി കണക്ഷനുകൾ സുതാര്യമായി തടസ്സപ്പെടുത്തുന്നു
വിവർത്തന എഞ്ചിൻ, SSLsplit-ലേക്ക് റീഡയറക്‌ട് ചെയ്‌തു. SSLsplit SSL/TLS അവസാനിപ്പിക്കുകയും ആരംഭിക്കുകയും ചെയ്യുന്നു
എല്ലാ ഡാറ്റയും ലോഗിൻ ചെയ്യുമ്പോൾ യഥാർത്ഥ ലക്ഷ്യസ്ഥാന വിലാസത്തിലേക്ക് ഒരു പുതിയ SSL/TLS കണക്ഷൻ
സംപ്രേക്ഷണം ചെയ്തു. നെറ്റ്‌വർക്ക് ഫോറൻസിക്‌സിനും നുഴഞ്ഞുകയറ്റത്തിനും ഉപയോഗപ്രദമാണ് SSLsplit
പരിശോധന.

SSLsplit IPv4 കൂടാതെ പ്ലെയിൻ TCP, പ്ലെയിൻ SSL, HTTP, HTTPS കണക്ഷനുകളെ പിന്തുണയ്ക്കുന്നു.
IPv6. എസ്എസ്എൽ, എച്ച്ടിടിപിഎസ് കണക്ഷനുകൾക്കായി, എസ്എസ്എൽസ്പ്ലിറ്റ് വ്യാജ X509v3 സൃഷ്ടിക്കുകയും അടയാളപ്പെടുത്തുകയും ചെയ്യുന്നു
ഒറിജിനൽ സെർവർ സർട്ടിഫിക്കറ്റ് സബ്ജക്റ്റ് ഡിഎൻ അടിസ്ഥാനമാക്കിയുള്ള സർട്ടിഫിക്കറ്റുകൾ ഓൺ-ദി-ഫ്ലൈ
subjectAltName വിപുലീകരണം. SSLsplit സെർവർ നെയിം ഇൻഡിക്കേഷൻ (SNI) പൂർണ്ണമായും പിന്തുണയ്ക്കുന്നു
RSA, DSA, ECDSA കീകൾ, DHE, ECDHE സൈഫർ സ്യൂട്ടുകൾ എന്നിവയിൽ പ്രവർത്തിക്കാൻ കഴിയും. ഇതിനെ ആശ്രയിച്ച്
OpenSSL-ന്റെ പതിപ്പ്, SSLsplit SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 എന്നിവയെ പിന്തുണയ്ക്കുന്നു, കൂടാതെ
ഓപ്ഷണലായി SSL 2.0. SSLsplit-ന്റെ നിലവിലുള്ള സർട്ടിഫിക്കറ്റുകളും ഉപയോഗിക്കാം
വ്യാജമായവ സൃഷ്ടിക്കുന്നതിനുപകരം സ്വകാര്യ കീ ലഭ്യമാണ്. SSLsplit NULL-നെ പിന്തുണയ്ക്കുന്നു
CN സർട്ടിഫിക്കറ്റുകൾ പ്രിഫിക്‌സ് ചെയ്യുക കൂടാതെ OCSP അഭ്യർത്ഥനകൾ ഒരു സാധാരണ രീതിയിൽ നിരസിക്കാൻ കഴിയും. HTTP, HTTPS എന്നിവയ്‌ക്കായി
കണക്ഷനുകൾ, പൊതു കീ തടയുന്നതിനായി SSLsplit HPKP-യുടെ പ്രതികരണ തലക്കെട്ടുകൾ നീക്കം ചെയ്യുന്നു
വിശ്വസനീയമല്ലാത്ത സർട്ടിഫിക്കറ്റുകൾ സ്വീകരിക്കാൻ ഉപയോക്താവിനെ അനുവദിക്കുന്നതിന് HSTS-നായി പിൻ ചെയ്യുന്നു, കൂടാതെ ഇതരവും
QUIC/SPDY-ലേക്ക് മാറുന്നത് തടയുന്നതിനുള്ള പ്രോട്ടോക്കോളുകൾ.

SSLsplit നിരവധി NAT എഞ്ചിനുകൾ, സ്റ്റാറ്റിക് ഫോർവേഡിംഗ്, SNI DNS ലുക്കപ്പുകൾ എന്നിവയെ പിന്തുണയ്ക്കുന്നു
റീഡയറക്‌ട് ചെയ്‌ത കണക്ഷനുകളുടെ യഥാർത്ഥ ലക്ഷ്യസ്ഥാനം നിർണ്ണയിക്കുക (NAT എഞ്ചിനുകളും പ്രോക്‌സിയും കാണുക
സ്പെസിഫിക്കേഷനുകൾ താഴെ).

യഥാർത്ഥത്തിൽ ഒരു ആക്രമണം നടപ്പിലാക്കാൻ, നിങ്ങൾ ട്രാഫിക്കിനെ സിസ്റ്റത്തിലേക്ക് റീഡയറക്ട് ചെയ്യേണ്ടതുണ്ട്
പ്രവർത്തിക്കുന്ന sslssplit. നിങ്ങളുടെ ഓപ്‌ഷനുകളിൽ ഓട്ടം ഉൾപ്പെടുന്നു sslssplit ഒരു നിയമാനുസൃത റൂട്ടറിൽ, ARP
കബളിപ്പിക്കൽ, ND സ്പൂഫിംഗ്, DNS വിഷബാധ, ഒരു തെമ്മാടി ആക്‌സസ് പോയിന്റ് വിന്യസിക്കൽ (ഉദാ: hostap ഉപയോഗിക്കുന്നത്
മോഡ്), ഫിസിക്കൽ റീകബിളിംഗ്, ക്ഷുദ്രകരമായ VLAN പുനർക്രമീകരണം അല്ലെങ്കിൽ റൂട്ട് കുത്തിവയ്പ്പ്, / etc / hosts
പരിഷ്ക്കരണവും മറ്റും. SSLsplit യഥാർത്ഥ ട്രാഫിക് റീഡയറക്ഷൻ നടപ്പിലാക്കുന്നില്ല.

ഓപ്ഷനുകൾ

-c പെംഫിൽ
എന്നതിൽ നിന്നുള്ള CA സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കുക പെംഫിൽ വ്യാജ സർട്ടിഫിക്കറ്റുകളിൽ ഒപ്പിടാൻ. എങ്കിൽ പെംഫിൽ
പൊരുത്തപ്പെടുന്ന CA പ്രൈവറ്റ് കീയും അടങ്ങിയിരിക്കുന്നു, അതും ലോഡ് ചെയ്‌തിരിക്കുന്നു, അല്ലാത്തപക്ഷം അത് ആയിരിക്കണം
നൽകിയിട്ടുണ്ട് -k. എങ്കിൽ പെംഫിൽ ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് പാരാമീറ്ററുകളും അടങ്ങിയിരിക്കുന്നു, അവ
എന്നിവയും ലോഡ് ചെയ്യുന്നു, അല്ലാത്തപക്ഷം അവ നൽകാം -g. എങ്കിൽ -t നൽകുകയും ചെയ്യുന്നു,
എന്നതിൽ പൊരുത്തപ്പെടുന്ന സർട്ടിഫിക്കറ്റ് ഇല്ലെങ്കിൽ മാത്രമേ SSLsplit ഒരു സർട്ടിഫിക്കറ്റ് വ്യാജമാക്കൂ
സർട്ടിഫിക്കറ്റ് ഡയറക്ടറി നൽകി.

-C പെംഫിൽ
എന്നതിൽ നിന്നുള്ള CA സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കുക പെംഫിൽ സർട്ടിഫിക്കറ്റ് ശൃംഖലയിലെ അധിക സർട്ടിഫിക്കറ്റുകളായി.
സിഎ നൽകിയിട്ടുണ്ടെങ്കിൽ ഇത് ആവശ്യമാണ് -k ഒപ്പം -c ഒരു സബ് സിഎ ആണ്, ഈ സാഹചര്യത്തിൽ ഏതെങ്കിലും
ഇന്റർമീഡിയറ്റ് സിഎ സർട്ടിഫിക്കറ്റുകളും റൂട്ട് സിഎ സർട്ടിഫിക്കറ്റും നിർബന്ധമായും ഉൾപ്പെടുത്തിയിരിക്കണം
സർട്ടിഫിക്കറ്റ് ചെയിൻ.

-d TTY-യിൽ നിന്ന് വേർപെടുത്തി ഒരു ഡെമൺ ആയി പ്രവർത്തിപ്പിക്കുക, പകരം പിശക് സന്ദേശങ്ങൾ syslog-ലേക്ക് ലോഗിൻ ചെയ്യുക
സാധാരണ പിശക്.

-D ഡീബഗ് മോഡിൽ പ്രവർത്തിപ്പിക്കുക, സാധാരണ പിശകിലേക്ക് ധാരാളം ഡീബഗ്ഗിംഗ് വിവരങ്ങൾ ലോഗ് ചെയ്യുക. ഇതും
ഫോഴ്‌സ് ഫോർഗ്രൗണ്ട് മോഡ്, ഒപ്പം ഉപയോഗിക്കാൻ കഴിയില്ല -d.

-e എഞ്ചിൻ
ഉപയോഗം എഞ്ചിൻ ഡിഫോൾട്ട് NAT എഞ്ചിൻ ആയി പ്രോക്സിസ്പെക്സ് വ്യക്തമായ NAT എഞ്ചിൻ ഇല്ലാതെ,
സ്റ്റാറ്റിക് ഡെസ്റ്റിനേഷൻ വിലാസം അല്ലെങ്കിൽ SNI മോഡ്. എഞ്ചിൻ NAT എഞ്ചിനുകളിൽ ഏതെങ്കിലും ആകാം
തിരികെ നൽകിയതുപോലെ, സിസ്റ്റം പിന്തുണയ്ക്കുന്നു -E.

-E സിസ്റ്റത്തിൽ ലഭ്യമായ എല്ലാ പിന്തുണയുള്ള NAT എഞ്ചിനുകളും ലിസ്റ്റ് ചെയ്ത് പുറത്തുകടക്കുക. NAT എഞ്ചിനുകൾ കാണുക
നിലവിൽ SSLsplit പിന്തുണയ്ക്കുന്ന NAT എഞ്ചിനുകളുടെ ഒരു ലിസ്റ്റ്.

-F ലോഗ്സ്പെക്ക്
നൽകിയിരിക്കുന്ന പാത്ത് സ്പെസിഫിക്കേഷൻ ഉപയോഗിച്ച് ലോഗ് ഫയലുകൾ വേർതിരിക്കുന്നതിനുള്ള ലോഗ് കണക്ഷൻ ഉള്ളടക്കം (കാണുക
ലോഗ് സ്പെസിഫിക്കേഷനുകൾ താഴെ). ഓരോ കണക്ഷനും, ഒരു ലോഗ് ഫയൽ എഴുതപ്പെടും, ഏത്
ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുടെ രണ്ട് ദിശകളും അടങ്ങിയിരിക്കും. സംബന്ധിച്ച വിവരങ്ങൾ
ഫയൽ നാമത്തിൽ മാത്രമേ കണക്ഷൻ അടങ്ങിയിരിക്കൂ. എങ്കിൽ -F ഉപയോഗിച്ച് ഉപയോഗിക്കുന്നു -j, ലോഗ്സ്പെക്ക്
ആപേക്ഷികമാണ് ജയിൽദീർ. എങ്കിൽ -F ഉപയോഗിച്ച് ഉപയോഗിക്കുന്നു -u, ലോഗ്സ്പെക്ക് എഴുതിയിരിക്കണം ഉപയോക്താവ്.

-g പെംഫിൽ
ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് പാരാമീറ്ററുകൾ ഉപയോഗിക്കുക പെംഫിൽ എഫെമെറിയൽ ഡിഫി-ഹെൽമാന് വേണ്ടി
(EDH/DHE) സൈഫർ സ്യൂട്ടുകൾ. എങ്കിൽ -g നൽകിയിട്ടില്ല, SSLsplit ആദ്യം DH ലോഡ് ചെയ്യാൻ ശ്രമിക്കുന്നു
നൽകിയ PEM ഫയലുകളിൽ നിന്നുള്ള പാരാമീറ്ററുകൾ -K, -k or -c. DH പാരാമീറ്ററുകളൊന്നും കണ്ടെത്തിയില്ലെങ്കിൽ
പ്രധാന ഫയലുകളിൽ, ബിൽറ്റ്-ഇൻ 512 അല്ലെങ്കിൽ 1024 ബിറ്റ് ഗ്രൂപ്പ് പാരാമീറ്ററുകൾ സ്വയമേവ ഉപയോഗിക്കുന്നു
ആർഎസ്എ ഇതര സ്വകാര്യ കീ നൽകിയിട്ടുണ്ടെങ്കിൽ -K. കാരണം DSA/DSS സ്വകാര്യ കീകൾ
സ്വയം ഒപ്പിടുന്നതിന് മാത്രമേ ഉപയോഗിക്കാനാകൂ, അതിനാൽ ഒരു കൈമാറ്റം ചെയ്യാൻ DH ആവശ്യപ്പെടുന്നു
SSL/TLS സെഷൻ കീ. എങ്കിൽ -g നൽകിയിരിക്കുന്നു, നൽകിയിരിക്കുന്നതിൽ നിന്നുള്ള പാരാമീറ്ററുകൾ പെംഫിൽ ഉദ്ദേശിക്കുന്ന
RSA പ്രൈവറ്റ് കീകൾക്കൊപ്പം (ലഭ്യമായ സൈഫർ സ്യൂട്ടുകൾക്കുള്ളിൽ പോലും) എപ്പോഴും ഉപയോഗിക്കും
OpenSSL). ദി -g SSLsplit ഒരു പതിപ്പിന് എതിരായി നിർമ്മിച്ചതാണെങ്കിൽ മാത്രമേ ഓപ്ഷൻ ലഭ്യമാകൂ
ഡിഫി-ഹെൽമാൻ സൈഫർ സ്യൂട്ടുകളെ പിന്തുണയ്ക്കുന്ന OpenSSL-ന്റെ.

-G വക്രം
പേര് ഉപയോഗിക്കുക വക്രം എഫിമെറിയൽ എലിപ്റ്റിക് കർവ് ഡിഫി-ഹെൽമാൻ (EECDH) സൈഫറിനായി
സ്യൂട്ടുകൾ. എങ്കിൽ -G നൽകിയിട്ടില്ല, ഒരു ഡിഫോൾട്ട് കർവ് (sec160r2) യാന്ത്രികമായി iff ഉപയോഗിക്കുന്നു
RSA ഇതര പ്രൈവറ്റ് കീ നൽകിയിരിക്കുന്നു -K. കാരണം ECDSA/ECDSS സ്വകാര്യ കീകൾ
സ്വയം ഒപ്പിടാൻ മാത്രമേ ഉപയോഗിക്കാനാകൂ, അതിനാൽ ഒരു കൈമാറ്റം ചെയ്യാൻ ECDH ആവശ്യമാണ്
SSL/TLS സെഷൻ കീ. എങ്കിൽ -G നൽകിയിരിക്കുന്നു, പേര് വക്രം എപ്പോഴും ഉപയോഗിക്കും, പോലും
RSA സ്വകാര്യ കീകൾക്കൊപ്പം (ഓപ്പൺഎസ്എസ്എൽ-ൽ ലഭ്യമായ സൈഫർ സ്യൂട്ടുകൾക്കുള്ളിൽ). ദി -G
OpenSSL-ന്റെ ഒരു പതിപ്പിന് എതിരായി SSLsplit നിർമ്മിച്ചതാണെങ്കിൽ മാത്രമേ ഓപ്ഷൻ ലഭ്യമാകൂ
എലിപ്റ്റിക് കർവ് ഡിഫി-ഹെൽമാൻ സൈഫർ സ്യൂട്ടുകളെ പിന്തുണയ്ക്കുന്നു.

-h ഉപയോഗത്തിലും പുറത്തുകടക്കുമ്പോഴും സഹായം പ്രദർശിപ്പിക്കുക.

-i ഓരോ കണക്ഷനും, കണക്ഷന്റെ ഉടമസ്ഥതയിലുള്ള പ്രാദേശിക പ്രക്രിയ കണ്ടെത്തുക. ഇത് ഉണ്ടാക്കുന്നു
പിഡ്, ഉടമ:ഗ്രൂപ്പ്, കണക്ഷനുകൾക്കായി എക്സിക്യൂട്ടബിൾ പാത്ത് തുടങ്ങിയ പ്രോസസ്സ് വിവരങ്ങൾ
കണക്ട് ലോഗിന് ലഭ്യമായ എസ്എസ്എൽസ്പ്ലിറ്റിന്റെ അതേ സിസ്റ്റത്തിൽ നിന്ന് ഉത്ഭവിക്കുകയും പ്രവർത്തനക്ഷമമാക്കുകയും ചെയ്യുന്നു
ബന്ധപ്പെട്ടവ -F പാത സ്പെസിഫിക്കേഷൻ നിർദ്ദേശങ്ങൾ. -i Mac OS X-ലും
FreeBSD; മറ്റ് പ്ലാറ്റ്‌ഫോമുകൾക്കുള്ള പിന്തുണ ഇതുവരെ നടപ്പിലാക്കിയിട്ടില്ല.

-j ജയിൽദീർ
റൂട്ട് ഡയറക്ടറി ഇതിലേക്ക് മാറ്റുക ജയിൽദീർ ഉപയോഗിച്ച് ക്രൂട്ട്(2) ഫയലുകൾ തുറന്ന ശേഷം. കുറിപ്പ്
ഇതിന് പ്രത്യാഘാതങ്ങളുണ്ടെന്ന് -F, -S, പിന്നെ അതെ പ്രോക്സിസ്പെക്സ്. കൂടെ നൽകിയ പാത
-S or -F ആപേക്ഷികമായിരിക്കും ജയിൽദീർ ലോഗ് ഫയലുകൾ മുമ്പ് തുറക്കാൻ കഴിയാത്തതിനാൽ
വിളിക്കുന്നു ക്രൂട്ട്(2). നിങ്ങളുടെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തെ ആശ്രയിച്ച്, നിങ്ങൾ ഫയലുകൾ പകർത്തേണ്ടതുണ്ട്
അതുപോലെ /etc/resolv.conf ലേക്ക് ജയിൽദീർ പേര് റെസലൂഷൻ പ്രവർത്തിക്കുന്നതിന് വേണ്ടി. ഉപയോഗിക്കുന്നത്
അതെ പ്രോക്സിസ്‌പെക്‌സ് പേരിന്റെ മിഴിവിനെ ആശ്രയിച്ചിരിക്കുന്നു. ചില ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾക്ക് പ്രത്യേകം ആവശ്യമാണ്
പോലുള്ള ഉപകരണ നോഡുകൾ / dev / null ജയിലിൽ ഹാജരാകണം. നിങ്ങളുടെ സിസ്റ്റം പരിശോധിക്കുക
വിശദാംശങ്ങൾക്ക് ഡോക്യുമെന്റേഷൻ.

-k പെംഫിൽ
CA സ്വകാര്യ കീ ഉപയോഗിക്കുക പെംഫിൽ വ്യാജ സർട്ടിഫിക്കറ്റുകളിൽ ഒപ്പിടാൻ. എങ്കിൽ പെംഫിൽ
പൊരുത്തപ്പെടുന്ന CA സർട്ടിഫിക്കറ്റും അടങ്ങിയിരിക്കുന്നു, അതും ലോഡുചെയ്‌തു, അല്ലെങ്കിൽ അത് ആയിരിക്കണം
നൽകിയിട്ടുണ്ട് -c. എങ്കിൽ പെംഫിൽ ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പ് പാരാമീറ്ററുകളും അടങ്ങിയിരിക്കുന്നു, അവ
എന്നിവയും ലോഡ് ചെയ്യുന്നു, അല്ലാത്തപക്ഷം അവ നൽകാം -g. എങ്കിൽ -t നൽകുകയും ചെയ്യുന്നു,
എന്നതിൽ പൊരുത്തപ്പെടുന്ന സർട്ടിഫിക്കറ്റ് ഇല്ലെങ്കിൽ മാത്രമേ SSLsplit ഒരു സർട്ടിഫിക്കറ്റ് വ്യാജമാക്കൂ
സർട്ടിഫിക്കറ്റ് ഡയറക്ടറി നൽകി.

-K പെംഫിൽ
എന്നതിൽ നിന്ന് സ്വകാര്യ കീ ഉപയോഗിക്കുക പെംഫിൽ വ്യാജ സർട്ടിഫിക്കറ്റുകൾക്കായി. എങ്കിൽ -K അല്ല
നൽകിയിരിക്കുന്നത്, SSLsplit ഒരു റാൻഡം 1024-ബിറ്റ് RSA കീ സൃഷ്ടിക്കും.

-l ലോഗ് ഫയൽ
ലേക്കുള്ള കണക്ഷനുകൾ ലോഗ് ചെയ്യുക ലോഗ് ഫയൽ ഒരു കണക്ഷൻ ഫോർമാറ്റിൽ ഒരൊറ്റ വരിയിൽ, ഉൾപ്പെടെ
വിലാസങ്ങളും പോർട്ടുകളും ചില HTTP, SSL വിവരങ്ങളും ലഭ്യമാണെങ്കിൽ.

-L ലോഗ് ഫയൽ
ഇതിലേക്ക് കണക്ഷൻ ഉള്ളടക്കം ലോഗ് ചെയ്യുക ലോഗ് ഫയൽ. ഉള്ളടക്ക ലോഗിൽ പാർസബിൾ ലോഗ് അടങ്ങിയിരിക്കും
ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുള്ള ഫോർമാറ്റ്, കണക്ഷൻ തിരിച്ചറിയുന്ന ഹെഡറുകൾ ഉപയോഗിച്ച് മുൻകൂട്ടി തയ്യാറാക്കിയത്
ലോഗിൻ ചെയ്‌ത ഓരോ സെഗ്‌മെന്റിന്റെയും ഡാറ്റ ദൈർഘ്യം.

-m ഉപയോഗിച്ച് പ്രത്യേകാവകാശങ്ങൾ ഡ്രോപ്പ് ചെയ്യുമ്പോൾ -u, സജ്ജീകരിക്കേണ്ട ടാർഗെറ്റ് പ്രാഥമിക ഗ്രൂപ്പിനെ അസാധുവാക്കുക
ഗ്രൂപ്പ്.

-O എല്ലാ ഓൺലൈൻ സർട്ടിഫിക്കറ്റ് സ്റ്റാറ്റസ് പ്രോട്ടോക്കോൾ (OCSP) അഭ്യർത്ഥനകളും നിരസിക്കുക പ്രോക്സിസ്പെക്സ് ഒപ്പം
OCSP പ്രതികരണമുള്ള എല്ലാ OCSP സെർവറുകൾക്കും പിന്നീട് ശ്രമിക്കുകOCSP ക്ലയന്റുകൾക്ക് കാരണമാകുന്നു
റദ്ദാക്കിയ സർട്ടിഫിക്കറ്റുകൾ പോലും താൽക്കാലികമായി സ്വീകരിക്കുക. HTTP അഭ്യർത്ഥനകൾ ഇതായി കണക്കാക്കുന്നു
രീതി ആണെങ്കിൽ OCSP അഭ്യർത്ഥിക്കുന്നു നേടുക യുആർഐയിൽ വാക്യഘടനാപരമായി സാധുത അടങ്ങിയിരിക്കുന്നു
OCSPRequest ASN.1 ഘടന ഓപ്പൺഎസ്എസ്എൽ മുഖേന പാഴ്‌സ് ചെയ്യാവുന്നതാണ്, അല്ലെങ്കിൽ രീതി ആണെങ്കിൽ പോസ്റ്റ് ഒപ്പം
ഉള്ളടക്ക തരം is ആപ്ലിക്കേഷൻ/ഒഎസ്പി-അഭ്യർത്ഥന. ഇത് ഫലപ്രദമാകണമെങ്കിൽ, SSLsplit നിർബന്ധമാണ്
OCSP സെർവർ ഉപയോഗിക്കുന്ന പോർട്ടിലേക്കുള്ള ട്രാഫിക് കൈകാര്യം ചെയ്യുക. പ്രത്യേകിച്ച്,
OCSP സെർവറുകൾ ഉപയോഗിക്കുന്ന എല്ലാ പോർട്ടുകളിലേക്കും ട്രാഫിക് സ്വീകരിക്കുന്നതിന് SSLsplit കോൺഫിഗർ ചെയ്തിരിക്കണം
ഉള്ളിലെ ടാർഗെറ്റുചെയ്‌ത സർട്ടിഫിക്കറ്റുകൾ certdir വ്യക്തമാക്കിയത് -t.

-p പിഡ്ഫിൽ
പ്രോസസ്സ് ഐഡി എഴുതുക പിഡ്ഫിൽ എങ്കിൽ ഓടാൻ വിസമ്മതിക്കുക പിഡ്ഫിൽ ഇതിനകം ഉപയോഗത്തിലുണ്ട്
മറ്റൊരു പ്രക്രിയയിലൂടെ.

-P ഡ്രോപ്പ് ചെയ്യുന്നതിനുപകരം വിഭജിക്കാനാവാത്ത SSL/TLS കണക്ഷനുകൾ കടന്നുപോകുക.
എങ്കിൽ കണക്ഷനുകൾ വിഭജിക്കാൻ കഴിയില്ല -c ഒപ്പം -k നൽകിയിട്ടില്ല, സൈറ്റ് പൊരുത്തപ്പെടുന്നില്ല
ഉപയോഗിച്ച് ലോഡ് ചെയ്ത ഏതെങ്കിലും സർട്ടിഫിക്കറ്റ് -t, അല്ലെങ്കിൽ യഥാർത്ഥ സെർവറിലേക്കുള്ള കണക്ഷൻ നൽകുകയാണെങ്കിൽ
SSL/TLS പിശകുകൾ. പ്രത്യേകിച്ചും, സൈറ്റ് ഒരു ക്ലയന്റിനോട് അഭ്യർത്ഥിച്ചാൽ ഇത് സംഭവിക്കുന്നു
സർട്ടിഫിക്കറ്റ്. കൂടെ കടന്നുപോകുക -P ഉപഭോക്താക്കൾക്ക് തടസ്സമില്ലാത്ത സേവനം നൽകുന്നു,
നിരീക്ഷിക്കപ്പെടാത്ത കണക്ഷനുകളാണെങ്കിൽ ഡ്രോപ്പിംഗ് കൂടുതൽ സുരക്ഷിതമായ ബദലാണ്
തടഞ്ഞു.

-r പ്രോട്ടോ
ക്ലയന്റിലും സെർവർ ഭാഗത്തും SSL/TLS പ്രോട്ടോക്കോൾ പതിപ്പ് നിർബന്ധിക്കുക പ്രോട്ടോ തിരഞ്ഞെടുക്കുന്നതിലൂടെ
ഡിഫോൾട്ട് SSLv23_method() ന് പകരം ബന്ധപ്പെട്ട OpenSSL രീതി കൺസ്ട്രക്റ്റർ
ഇത് എല്ലാ പ്രോട്ടോക്കോൾ പതിപ്പുകളെയും പിന്തുണയ്ക്കുന്നു. എയിലേക്കുള്ള ട്രാഫിക് വിശകലനം ചെയ്യുമ്പോൾ ഇത് ഉപയോഗപ്രദമാണ്
SSL/TLS-ന്റെ ഒരു നിർദ്ദിഷ്‌ട പതിപ്പ് മാത്രം പിന്തുണയ്‌ക്കുന്ന സെർവർ നടപ്പിലാക്കുന്നില്ല
ശരിയായ പ്രോട്ടോക്കോൾ ചർച്ചകൾ. ബിൽഡ് ഓപ്ഷനുകളും OpenSSL-ന്റെ പതിപ്പും അനുസരിച്ച്
ഇനിപ്പറയുന്ന മൂല്യങ്ങൾ ഉപയോഗിക്കുന്നു പ്രോട്ടോ സ്വീകരിച്ചിരിക്കുന്നു: ssl2, ssl3, tls10, tls11
ഒപ്പം tls12. ചിലത് കാരണം SSL 2.0 പിന്തുണ ഡിഫോൾട്ടായി നിർമ്മിച്ചിട്ടില്ല എന്നത് ശ്രദ്ധിക്കുക
സെർവറുകൾ SSL 2.0 ക്ലയന്റ് ഹലോ സന്ദേശങ്ങൾ ഭംഗിയായി കൈകാര്യം ചെയ്യുന്നില്ല.

-R പ്രോട്ടോ
SSL/TLS പ്രോട്ടോക്കോൾ പതിപ്പ് പ്രവർത്തനരഹിതമാക്കുക പ്രോട്ടോ ക്ലയന്റിലും സെർവറിലും
OpenSSL-ൽ ബന്ധപ്പെട്ട പ്രോട്ടോക്കോളുകൾ പ്രവർത്തനരഹിതമാക്കുന്നു. ഒന്നിലധികം പ്രോട്ടോക്കോൾ പ്രവർത്തനരഹിതമാക്കാൻ
പതിപ്പുകൾ, -R ഒന്നിലധികം തവണ നൽകാം. എങ്കിൽ -r നൽകുകയും ചെയ്യുന്നു, ഇല്ല
മറ്റ് പ്രോട്ടോക്കോൾ പതിപ്പുകൾ പ്രവർത്തനരഹിതമാക്കുന്നതിൽ പ്രഭാവം. പ്രോട്ടോക്കോൾ പതിപ്പുകൾ പ്രവർത്തനരഹിതമാക്കുന്നത് ഉപയോഗപ്രദമാണ്
ചില പ്രോട്ടോക്കോൾ പതിപ്പുകൾ കൈകാര്യം ചെയ്യാത്ത സെർവറിലേക്കുള്ള ട്രാഫിക് വിശകലനം ചെയ്യുമ്പോൾ
നന്നായി, അല്ലെങ്കിൽ വ്യത്യസ്ത പ്രോട്ടോക്കോൾ പതിപ്പുകൾ ഉപയോഗിച്ച് പെരുമാറ്റം പരിശോധിക്കാൻ. നിർമ്മാണത്തെ ആശ്രയിച്ചിരിക്കുന്നു
ഓപ്‌ഷനുകളും ഉപയോഗിക്കുന്ന OpenSSL-ന്റെ പതിപ്പും, ഇനിപ്പറയുന്ന മൂല്യങ്ങൾ പ്രോട്ടോ ആകുന്നു
സ്വീകരിച്ചു: ssl2, ssl3, tls10, tls11 ഒപ്പം tls12. SSL 2.0 പിന്തുണ ഇല്ല എന്നത് ശ്രദ്ധിക്കുക
ചില സെർവറുകൾ SSL 2.0 ക്ലയന്റ് ഹലോ സന്ദേശങ്ങൾ കൈകാര്യം ചെയ്യാത്തതിനാൽ സ്ഥിരസ്ഥിതിയായി നിർമ്മിച്ചിരിക്കുന്നു
ഭംഗിയായി.

-s സൈഫറുകൾ
OpenSSL ഉപയോഗിക്കുക സൈഫറുകൾ സെർവർ, ക്ലയന്റ് SSL/TLS കണക്ഷനുകൾക്കുള്ള സ്പെസിഫിക്കേഷൻ.
If -s നൽകിയിട്ടില്ല, ഒരു സൈഫർ ലിസ്റ്റ് എല്ലാം:-ഒരു അനൂൽ ഉപയോഗിക്കുന്നു. സാധാരണയായി, SSL/TLS
നടപ്പിലാക്കലുകൾ ഏറ്റവും സുരക്ഷിതമായ സൈഫർ സ്യൂട്ടുകൾ തിരഞ്ഞെടുക്കുന്നു, വേഗതയേറിയവയല്ല. എഴുതിയത്
ഉചിതമായ OpenSSL സൈഫർ ലിസ്റ്റ് വ്യക്തമാക്കുന്നതിലൂടെ, സൈഫർ സ്യൂട്ടുകളുടെ സെറ്റ് ആകാം
ഫാസ്റ്റ് അൽഗോരിതങ്ങൾ, അല്ലെങ്കിൽ eNULL സൈഫർ സ്യൂട്ടുകൾ ചേർക്കാവുന്നതാണ്. അതിനായി ശ്രദ്ധിക്കുക
കണക്ഷനുകൾ വിജയിക്കണമെങ്കിൽ, SSLsplit സൈഫർ സ്യൂട്ടുകളിൽ ഒരെണ്ണമെങ്കിലും ഉൾപ്പെടുത്തിയിരിക്കണം
ഓരോ കണക്ഷന്റെയും ക്ലയന്റും സെർവറും പിന്തുണയ്ക്കുന്ന സൈഫർ സ്യൂട്ട്. കാണുക
സൈഫറുകൾ(1) OpenSSL സൈഫർ ലിസ്റ്റുകൾ എങ്ങനെ നിർമ്മിക്കാം എന്നതിനെക്കുറിച്ചുള്ള വിശദാംശങ്ങൾക്ക്.

-S ലോഗ്ദിർ
ലോഗ് ഫയലുകൾ വേർതിരിക്കാൻ കണക്ഷൻ ഉള്ളടക്കം ലോഗ് ചെയ്യുക ലോഗ്ദിർ. ഓരോ കണക്ഷനും, എ
ലോഗ് ഫയൽ എഴുതപ്പെടും, അതിൽ ഡാറ്റയുടെ രണ്ട് ദിശകളും അടങ്ങിയിരിക്കും
സംപ്രേക്ഷണം ചെയ്തു. കണക്ഷനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ഫയൽ നാമത്തിൽ അടങ്ങിയിരിക്കും
മാത്രം. എങ്കിൽ -S ഉപയോഗിച്ച് ഉപയോഗിക്കുന്നു -j, ലോഗ്ദിർ ആപേക്ഷികമാണ് ജയിൽദീർ. എങ്കിൽ -S ഉപയോഗിച്ച് ഉപയോഗിക്കുന്നു
-u, ലോഗ്ദിർ എഴുതിയിരിക്കണം ഉപയോക്താവ്.

-t certdir
PEM ഫയലുകളിൽ നിന്നുള്ള സ്വകാര്യ കീ, സർട്ടിഫിക്കറ്റ്, സർട്ടിഫിക്കറ്റ് ചെയിൻ എന്നിവ ഉപയോഗിക്കുക certdir വേണ്ടി
വ്യാജ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കുന്നതിന് പകരം അതാത് പൊതുവായ പേരുകളുമായി പൊരുത്തപ്പെടുന്ന സൈറ്റുകൾ
പറക്കുന്ന സമയത്ത്. ഒരൊറ്റ PEM ഫയലിൽ ഒരൊറ്റ സ്വകാര്യ കീ അടങ്ങിയിരിക്കണം
സർട്ടിഫിക്കറ്റും ഓപ്ഷണലായി ഇന്റർമീഡിയറ്റ്, റൂട്ട് CA സർട്ടിഫിക്കറ്റുകളും ഉപയോഗിക്കുന്നതിന്
സർട്ടിഫിക്കറ്റ് ചെയിൻ. എങ്കിൽ -c ഒപ്പം -k നൽകുകയും ചെയ്യുന്നു, സർട്ടിഫിക്കറ്റുകൾ വ്യാജമായി നിർമ്മിക്കപ്പെടും-
ലോഡുചെയ്ത സർട്ടിഫിക്കറ്റുകളൊന്നും പൊരുത്തപ്പെടാത്ത സൈറ്റുകൾക്കായുള്ള the-fly certdir.
അല്ലാത്തപക്ഷം, ഒരു സർട്ടിഫിക്കറ്റും ഇല്ലാത്ത കണക്ഷനുകൾ ഉപേക്ഷിക്കപ്പെടും, അല്ലെങ്കിൽ എങ്കിൽ -P കൊടുത്തു,
SSL/TLS വിഭജിക്കാതെ കടന്നുപോയി.

-u സോക്കറ്റുകളും ഫയലുകളും തുറന്നതിന് ശേഷം യഥാർത്ഥവും ഫലപ്രദവും സജ്ജീകരിച്ച് പ്രത്യേകാവകാശങ്ങൾ ഡ്രോപ്പ് ചെയ്യുക
എന്നതിലേക്ക് ഉപയോക്തൃ ഐഡികൾ സംഭരിച്ചു ഉപയോക്താവ് ഉചിതമായ പ്രാഥമികവും അനുബന്ധ ഗ്രൂപ്പുകളും ലോഡ് ചെയ്യുന്നു.
If -u നൽകിയിട്ടില്ല, EUID != UID ആണെങ്കിൽ SSLsplit സംഭരിച്ച UID-ലേക്ക് പ്രത്യേകാവകാശങ്ങൾ ഡ്രോപ്പ് ചെയ്യും
(സെറ്റ്യൂഡ് ബിറ്റ് സാഹചര്യം), അല്ലെങ്കിൽ ആരുമില്ല പൂർണ്ണമായി ഓടുകയാണെങ്കിൽ വേര് പ്രത്യേകാവകാശങ്ങൾ (EUID ==
UID == 0) കൂടാതെ -S ഉപയോഗിക്കുന്നില്ല. ആപ്പിൾ ബഗ് കാരണം, -u ഉപയോഗിച്ച് ഉപയോഗിക്കാൻ കഴിയില്ല pf
Mac OS X-ലെ പ്രോക്സിസ്‌പെക്‌സ്.

-V പതിപ്പും സമാഹരിച്ച സവിശേഷതകളും വിവരങ്ങളും പുറത്തുകടക്കലും പ്രദർശിപ്പിക്കുക.

-Z എല്ലാ കണക്ഷനുകളിലും SSL/TLS കംപ്രഷൻ പ്രവർത്തനരഹിതമാക്കുക. നിങ്ങൾ പരിമിതപ്പെടുത്തുകയാണെങ്കിൽ ഇത് ഉപയോഗപ്രദമാണ്
ഘടകം CPU ആണ്, നെറ്റ്‌വർക്ക് ബാൻഡ്‌വിഡ്ത്ത് അല്ല. ദി -Z SSLsplit ആണെങ്കിൽ മാത്രമേ ഓപ്ഷൻ ലഭ്യമാകൂ
കംപ്രഷൻ പ്രവർത്തനരഹിതമാക്കുന്നതിനെ പിന്തുണയ്ക്കുന്ന OpenSSL-ന്റെ ഒരു പതിപ്പിനെതിരെയാണ് നിർമ്മിച്ചിരിക്കുന്നത്.

പ്രോക്സി നിർദേശങ്ങൾ

പ്രോക്സി സ്പെസിഫിക്കേഷനുകൾ (പ്രോക്സിസ്പെക്സ്) കണക്ഷൻ തരം, ശ്രവിക്കുന്ന വിലാസം എന്നിവയും ഉൾപ്പെടുന്നു
സ്റ്റാറ്റിക് ഫോർവേഡ് അഡ്രസ് അല്ലെങ്കിൽ അഡ്രസ് റെസലൂഷൻ മെക്കാനിസം (NAT എഞ്ചിൻ, SNI DNS ലുക്ക്അപ്പ്):

HTTPS കേൾക്കുക തുറമുഖം [നാറ്റ്-എഞ്ചിൻ|fwdaddr തുറമുഖം|അതെ തുറമുഖം]
SSL കേൾക്കുക തുറമുഖം [നാറ്റ്-എഞ്ചിൻ|fwdaddr തുറമുഖം|അതെ തുറമുഖം]
http: കേൾക്കുക തുറമുഖം [നാറ്റ്-എഞ്ചിൻ|fwdaddr തുറമുഖം]
tcp കേൾക്കുക തുറമുഖം [നാറ്റ്-എഞ്ചിൻ|fwdaddr തുറമുഖം]

HTTPS HPKP നീക്കം ചെയ്യൽ ഉൾപ്പെടെ, HTTP പ്രോട്ടോക്കോൾ ഡീകോഡിംഗിനൊപ്പം SSL/TLS ഇന്റർസെപ്ഷൻ,
HSTS ഉം ഇതര പ്രോട്ടോക്കോൾ പ്രതികരണ തലക്കെട്ടുകളും.

SSL താഴ്ന്ന നിലയിലുള്ള പ്രോട്ടോക്കോൾ ഡീകോഡിംഗ് ഇല്ലാതെ SSL/TLS ഇന്റർസെപ്ഷൻ; ഡീക്രിപ്റ്റ് ചെയ്തു
കണക്ഷൻ ഉള്ളടക്കം ബൈറ്റുകളുടെ അതാര്യമായ സ്ട്രീം ആയി കണക്കാക്കുന്നു, പരിഷ്കരിച്ചിട്ടില്ല.

http: SSL/TLS ഇല്ലാതെ പ്ലെയിൻ TCP കണക്ഷൻ, HTTP പ്രോട്ടോക്കോൾ ഡീകോഡിംഗിനൊപ്പം
HPKP, HSTS, ഇതര പ്രോട്ടോക്കോൾ പ്രതികരണ തലക്കെട്ടുകൾ എന്നിവ നീക്കം ചെയ്യുക.

tcp SSL/TLS ഇല്ലാതെയും താഴ്ന്ന നിലയിലുള്ള പ്രോട്ടോക്കോൾ ഡീകോഡിംഗ് ഇല്ലാതെയും പ്ലെയിൻ TCP കണക്ഷൻ;
ഡീക്രിപ്റ്റ് ചെയ്ത കണക്ഷൻ ഉള്ളടക്കം ബൈറ്റുകളുടെ അതാര്യമായ സ്ട്രീം ആയി കണക്കാക്കുകയും പരിഷ്കരിച്ചിട്ടില്ല.

കേൾക്കുക തുറമുഖം
കേൾക്കാൻ IPv4 അല്ലെങ്കിൽ IPv6 വിലാസവും പോർട്ട് അല്ലെങ്കിൽ സേവന നാമവും. ഇതാണ് വിലാസം
NAT എഞ്ചിൻ കണക്ഷനുകൾ റീഡയറക്ട് ചെയ്യേണ്ട പോർട്ടും.

നാറ്റ്-എഞ്ചിൻ
യഥാർത്ഥ ലക്ഷ്യസ്ഥാന വിലാസവും പോർട്ടും നിർണ്ണയിക്കാൻ അന്വേഷണത്തിനുള്ള NAT എഞ്ചിൻ
സുതാര്യമായി വഴിതിരിച്ചുവിട്ട കണക്ഷനുകൾ. എഞ്ചിൻ നൽകിയിട്ടില്ലെങ്കിൽ, ഡിഫോൾട്ട് എഞ്ചിനാണ്
ഉപയോഗിച്ച് അസാധുവാക്കാത്ത പക്ഷം -e. ഒരു NAT എഞ്ചിൻ ഉപയോഗിക്കുമ്പോൾ, sslssplit പ്രവർത്തിപ്പിക്കേണ്ടതുണ്ട്
ട്രാഫിക് റീഡയറക്‌ട് ചെയ്യുന്ന NAT നിയമങ്ങളുടെ അതേ സംവിധാനം sslssplit. NAT കാണുക
പിന്തുണയ്‌ക്കുന്ന NAT എഞ്ചിനുകളുടെ ഒരു ലിസ്റ്റിനായുള്ള എഞ്ചിനുകൾ.

fwdaddr തുറമുഖം
സ്റ്റാറ്റിക് ഡെസ്റ്റിനേഷൻ വിലാസം, IPv4 അല്ലെങ്കിൽ IPv6, പോർട്ട് അല്ലെങ്കിൽ സേവന നാമം. ഇത് എപ്പോൾ
ഉപയോഗിച്ച, നൽകിയിരിക്കുന്ന സെർവർ വിലാസത്തിലേക്കും പോർട്ടിലേക്കും കണക്ഷനുകൾ കൈമാറുന്നു. എങ്കിൽ fwdaddr
ഒരു ഹോസ്റ്റ് നാമമാണ്, അത് ഒരു IP വിലാസത്തിലേക്ക് പരിഹരിക്കപ്പെടും.

അതെ തുറമുഖം
ClientHello-ൽ ക്ലയന്റ് അയച്ച സെർവർ നെയിം ഇൻഡിക്കേഷൻ (SNI) ഹോസ്റ്റ്നാമം ഉപയോഗിക്കുക
കണക്‌റ്റുചെയ്യേണ്ട സെർവറിന്റെ IP വിലാസം നിർണ്ണയിക്കുന്നതിനുള്ള SSL/TLS സന്ദേശം. ഇത് മാത്രം
ഇതിനായി പ്രവർത്തിക്കുന്നു SSL ഒപ്പം HTTPS പ്രോക്സിസ്പെക്സ് ഒരു ആർഗ്യുമെന്റായി ഒരു പോർട്ട് അല്ലെങ്കിൽ സേവന നാമം ആവശ്യമാണ്.
ഇതിന് DNS ലുക്കപ്പുകൾ ആവശ്യമുള്ളതിനാൽ, NAT എഞ്ചിൻ ലുക്കപ്പുകൾ ഉപയോഗിക്കുന്നതാണ് അഭികാമ്യം (കാണുക
മുകളിൽ), അത് സാധ്യമല്ലാത്തപ്പോൾ, പിന്തുണയുള്ള NAT ഇല്ലെങ്കിൽ
എഞ്ചിൻ അല്ലെങ്കിൽ പ്രവർത്തിക്കുമ്പോൾ sslssplit NAT നിയമങ്ങളിൽ നിന്ന് വ്യത്യസ്തമായ ഒരു സിസ്റ്റത്തിൽ
യഥാർത്ഥ കണക്ഷനുകൾ റീഡയറക്‌ട് ചെയ്യുന്നു. ഉപയോഗിക്കുമ്പോൾ ശ്രദ്ധിക്കുക -j കൂടെ അതെ, നിങ്ങൾക്ക് ആവശ്യമായി വന്നേക്കാം
തയ്യാറാക്കാൻ ജയിൽദീർ chroot ഡയറക്‌ടറിയിൽ നിന്ന് പേര് റെസല്യൂഷൻ പ്രവർത്തിക്കാൻ.

ലോഗ് നിർദേശങ്ങൾ

ലോഗ് സ്‌പെസിഫിക്കേഷനുകൾ പൂജ്യമോ അതിലധികമോ പ്രിന്റ് എഫ്-സ്റ്റൈൽ ഡയറക്‌ടീവുകൾ അടങ്ങിയതാണ്; സാധാരണ
അക്ഷരങ്ങൾ ഔട്ട്പുട്ട് പാതയിൽ നേരിട്ട് ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. SSLsplit കറന്റ് പിന്തുണയ്ക്കുന്നു
ഇനിപ്പറയുന്ന നിർദ്ദേശങ്ങൾ:

%T ഒരു ISO 8601 UTC ടൈംസ്റ്റാമ്പായി പ്രാരംഭ കണക്ഷൻ സമയം.

%d ലക്ഷ്യസ്ഥാന വിലാസവും പോർട്ടും.

%s ഉറവിട വിലാസവും പോർട്ടും.

%x പ്രാദേശിക പ്രക്രിയയുടെ പേര്. ആവശ്യമാണ് -i ഉപയോഗിക്കേണ്ടത്. പ്രോസസ്സ് വിവരങ്ങൾ ആണെങ്കിൽ
ലഭ്യമല്ല, ഈ നിർദ്ദേശം ഔട്ട്പുട്ട് പാതയിൽ നിന്ന് ഒഴിവാക്കും.

%X പ്രാദേശിക പ്രക്രിയയുടെ മുഴുവൻ പാതയും. ആവശ്യമാണ് -i ഉപയോഗിക്കേണ്ടത്. പ്രോസസ്സ് ആണെങ്കിൽ
വിവരങ്ങൾ ലഭ്യമല്ല, ഈ നിർദ്ദേശം ഔട്ട്പുട്ട് പാതയിൽ നിന്ന് ഒഴിവാക്കും.

%u പ്രാദേശിക പ്രക്രിയയുടെ ഉപയോക്തൃനാമം അല്ലെങ്കിൽ സംഖ്യാ uid. ആവശ്യമാണ് -i ഉപയോഗിക്കേണ്ടത്. എങ്കിൽ
പ്രോസസ്സ് വിവരങ്ങൾ ലഭ്യമല്ല, ഈ നിർദ്ദേശം ഔട്ട്പുട്ടിൽ നിന്ന് ഒഴിവാക്കപ്പെടും
പാത.

%g പ്രാദേശിക പ്രക്രിയയുടെ ഗ്രൂപ്പിന്റെ പേര് അല്ലെങ്കിൽ സംഖ്യാ ജിഡി. ആവശ്യമാണ് -i ഉപയോഗിക്കേണ്ടത്. എങ്കിൽ
പ്രോസസ്സ് വിവരങ്ങൾ ലഭ്യമല്ല, ഈ നിർദ്ദേശം ഔട്ട്പുട്ടിൽ നിന്ന് ഒഴിവാക്കപ്പെടും
പാത.

%% അക്ഷരാർത്ഥത്തിൽ '%' പ്രതീകം.

NAT എഞ്ചിനുകൾ

SSLsplit നിലവിൽ ഇനിപ്പറയുന്ന NAT എഞ്ചിനുകളെ പിന്തുണയ്ക്കുന്നു:

pf OpenBSD പാക്കറ്റ് ഫിൽട്ടർ (pf) ആർഡിആർ/ആർഡിആർ-ടു NAT റീഡയറക്‌ടുകൾ, FreeBSD-യിലും ലഭ്യമാണ്,
NetBSD, Mac OS X. IPv6 ഉൾപ്പെടെ പൂർണ്ണമായി പിന്തുണയ്ക്കുന്നു. ഇൻബൗണ്ട് ഇന്റർഫേസ് അനുമാനിക്കുന്നു
em0, ആദ്യം പഴയ (FreeBSD, Mac OS X), തുടർന്ന് പുതിയ (OpenBSD 4.7+) വാക്യഘടനയിൽ:

ആർഡിആർ കടന്നുപോകുക on em0 പ്രോട്ടോ tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും തുറമുഖം 80 \
-> ::1 തുറമുഖം 10080
ആർഡിആർ കടന്നുപോകുക on em0 പ്രോട്ടോ tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും തുറമുഖം 443 \
-> ::1 തുറമുഖം 10443
ആർഡിആർ കടന്നുപോകുക on em0 പ്രോട്ടോ tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും തുറമുഖം 80 \
-> 127.0.0.1 തുറമുഖം 10080
ആർഡിആർ കടന്നുപോകുക on em0 പ്രോട്ടോ tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും തുറമുഖം 443 \
-> 127.0.0.1 തുറമുഖം 10443

കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 80 ആർഡിആർ-ടു ::1 തുറമുഖം 10080
കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 443 ആർഡിആർ-ടു ::1 തുറമുഖം 10443
കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 80 ആർഡിആർ-ടു 127.0.0.1 തുറമുഖം 10080
കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 443 ആർഡിആർ-ടു 127.0.0.1 തുറമുഖം 10443

ipfw FreeBSD IP ഫയർവാൾ (IPFW) ഡൈവർട്ട് സോക്കറ്റുകൾ, Mac OS X-ലും ലഭ്യമാണ്. ലഭ്യമാണ്
pf ഉപയോഗിച്ച് FreeBSD, OpenBSD എന്നിവയിൽ വഴിതിരിച്ചുവിടുക. FreeBSD, OpenBSD എന്നിവയിൽ പൂർണ്ണ പിന്തുണയുണ്ട്,
IPv6 ഉൾപ്പെടെ. IPFW-ന്റെ പുരാതന പതിപ്പ് കാരണം Mac OS X-ൽ IPv4 മാത്രമേ പിന്തുണയ്ക്കൂ
ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. ആദ്യം IPFW-ൽ, പിന്നെ pf-ൽ വഴിതിരിച്ചുവിടുക വാക്യഘടന:

ipfw ചേർക്കുക fwd ::1,10080 tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും 80
ipfw ചേർക്കുക fwd ::1,10443 tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും 443
ipfw ചേർക്കുക fwd 127.0.0.1,10080 tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും 80
ipfw ചേർക്കുക fwd 127.0.0.1,10443 tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും 443

കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 80 വഴിതിരിച്ചുവിടുക ::1 തുറമുഖം 10080
കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 2001: db8 :: / 64 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 443 വഴിതിരിച്ചുവിടുക ::1 തുറമുഖം 10443
കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 80 വഴിതിരിച്ചുവിടുക 127.0.0.1 തുറമുഖം 10080
കടന്നുപോകുക in പെട്ടെന്ന് on em0 പ്രോട്ടോ tcp നിന്ന് 192.0.2.0/24 ലേക്ക് എന്തെങ്കിലും \
തുറമുഖം 443 വഴിതിരിച്ചുവിടുക 127.0.0.1 തുറമുഖം 10443

ipfilter
IPFilter (ipfilter, ipf), FreeBSD, NetBSD ഉൾപ്പെടെ നിരവധി സിസ്റ്റങ്ങളിൽ ലഭ്യമാണ്
ലിനക്സും സോളാരിസും. SIOCGNATL-ലെ പരിമിതികൾ കാരണം IPv4 മാത്രം പിന്തുണയ്ക്കുന്നു ioctls(2)
ഇന്റർഫേസ്. ഇൻബൗണ്ട് ഇന്റർഫേസ് അനുമാനിക്കുന്നു bge0:

ആർഡിആർ bge0 0.0.0.0/0 തുറമുഖം 80 -> 127.0.0.1 തുറമുഖം 10080
ആർഡിആർ bge0 0.0.0.0/0 തുറമുഖം 443 -> 127.0.0.1 തുറമുഖം 10443

netfilter
iptables REDIRECT ടാർഗെറ്റ് ഉപയോഗിച്ച് Linux netfilter. കാരണം IPv4 മാത്രം പിന്തുണയ്ക്കുന്നു
SO_ORIGINAL_DST ലെ പരിമിതികൾ getsockopt(2) ഇന്റർഫേസ്.

iptables -t നാറ്റ് -A പ്രെറൂട്ടിംഗ് -s 192.0.2.0/24 \
-p tcp --dport 80 \
-j തിരിച്ചുവിടുക --ടു-പോർട്ടുകൾ 10080
iptables -t നാറ്റ് -A പ്രെറൂട്ടിംഗ് -s 192.0.2.0/24 \
-p tcp --dport 443 \
-j തിരിച്ചുവിടുക --ടു-പോർട്ടുകൾ 10443

tproxy റൂട്ടിംഗ് ടേബിൾ മാജിക്കിനൊപ്പം iptables TPROXY ടാർഗെറ്റ് ഉപയോഗിച്ച് Linux netfilter
ലോക്കൽ സോക്കറ്റുകളിൽ നിന്ന് പ്രാദേശികമല്ലാത്ത ട്രാഫിക്കിനെ അനുവദിക്കുന്നതിന്. പൂർണ്ണ പിന്തുണയുള്ള,
IPv6 ഉൾപ്പെടെ.

ip -f inet6 ഭരണം ചേർക്കുക fwmark 1 തിരയൽ 100
ip -f inet6 വഴി ചേർക്കുക പ്രാദേശിക സ്ഥിരസ്ഥിതി ദേവ് lo മേശ 100
ip6 പട്ടികകൾ -t മാംഗി -N വഴിതിരിച്ചുവിടുക
ip6 പട്ടികകൾ -t മാംഗി -A വഴിതിരിച്ചുവിടുക -j മാർക്ക് --സെറ്റ്-മാർക്ക് 1
ip6 പട്ടികകൾ -t മാംഗി -A വഴിതിരിച്ചുവിടുക -j അംഗീകരിക്കുക
ip6 പട്ടികകൾ -t മാംഗി -A പ്രെറൂട്ടിംഗ് -p tcp -m സോക്കറ്റ് -j വഴിതിരിച്ചുവിടുക
ip6 പട്ടികകൾ -t മാംഗി -A പ്രെറൂട്ടിംഗ് -s 2001: db8 :: / 64 \
-p tcp --dport 80 \
-j ടിപ്രോക്സി --tproxy-mark 0x1 / 0x1 --ഓൺ-പോർട്ട് 10080
ip6 പട്ടികകൾ -t മാംഗി -A പ്രെറൂട്ടിംഗ് -s 2001: db8 :: / 64 \
-p tcp --dport 443 \
-j ടിപ്രോക്സി --tproxy-mark 0x1 / 0x1 --ഓൺ-പോർട്ട് 10443
ip -f ഇസെറ്റ് ഭരണം ചേർക്കുക fwmark 1 തിരയൽ 100
ip -f ഇസെറ്റ് വഴി ചേർക്കുക പ്രാദേശിക സ്ഥിരസ്ഥിതി ദേവ് lo മേശ 100
iptables -t മാംഗി -N വഴിതിരിച്ചുവിടുക
iptables -t മാംഗി -A വഴിതിരിച്ചുവിടുക -j മാർക്ക് --സെറ്റ്-മാർക്ക് 1
iptables -t മാംഗി -A വഴിതിരിച്ചുവിടുക -j അംഗീകരിക്കുക
iptables -t മാംഗി -A പ്രെറൂട്ടിംഗ് -p tcp -m സോക്കറ്റ് -j വഴിതിരിച്ചുവിടുക
iptables -t മാംഗി -A പ്രെറൂട്ടിംഗ് -s 192.0.2.0/24 \
-p tcp --dport 80 \
-j ടിപ്രോക്സി --tproxy-mark 0x1 / 0x1 --ഓൺ-പോർട്ട് 10080
iptables -t മാംഗി -A പ്രെറൂട്ടിംഗ് -s 192.0.2.0/24 \
-p tcp --dport 443 \
-j ടിപ്രോക്സി --tproxy-mark 0x1 / 0x1 --ഓൺ-പോർട്ട് 10443

ഇന്റർഫേസുകളിൽ റിട്ടേൺ പാത്ത് ഫിൽട്ടറിംഗ് (rp_filter) പ്രവർത്തനരഹിതമാക്കേണ്ടതുണ്ടെന്ന കാര്യം ശ്രദ്ധിക്കുക
ഏത് TPROXY വഴിതിരിച്ചുവിട്ട ട്രാഫിക് കൈകാര്യം ചെയ്യുന്നു.

ഉദാഹരണങ്ങൾ

മുകളിലുള്ള NAT എഞ്ചിൻ കോൺഫിഗറേഷൻ സാമ്പിളുകളുമായി പൊരുത്തപ്പെടുന്നു, IPv4-ൽ HTTP, HTTPS എന്നിവ തടസ്സപ്പെടുത്തുക
കൂടാതെ സിഎ പ്രൈവറ്റ് കീ ഉപയോഗിച്ച് വ്യാജ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് IPv6 ca.key സർട്ടിഫിക്കറ്റും ca.crt,
ലേക്കുള്ള കണക്ഷനുകൾ ലോഗ് ചെയ്യുന്നു connect.log കൂടാതെ കീഴിലുള്ള പ്രത്യേക ഫയലുകളിലേക്കുള്ള കണക്ഷൻ ഡാറ്റയും / tmp (ചേർക്കുക
-e നാറ്റ്-എഞ്ചിൻ നിങ്ങളുടെ പക്കൽ ഒന്നിലധികം എഞ്ചിനുകൾ ലഭ്യമാണെങ്കിൽ ഉചിതമായ എഞ്ചിൻ തിരഞ്ഞെടുക്കുന്നതിന്
സിസ്റ്റം):

sslssplit -k ca.key -c ca.crt -l connect.log -L / tmp \
HTTPS ::1 10443 HTTPS 127.0.0.1 10443 \
http: ::1 10080 http: 127.0.0.1 10080

സമാന ക്രമീകരണങ്ങൾ ഉപയോഗിച്ച് IMAP/IMAPS തടസ്സപ്പെടുത്തുന്നു:

sslssplit -k ca.key -c ca.crt -l connect.log -L / tmp \
SSL ::1 10993 SSL 127.0.0.1 10993 \
tcp ::1 10143 tcp 127.0.0.1 10143

കൂടുതൽ ടാർഗെറ്റുചെയ്‌ത സജ്ജീകരണം, HTTPS മാത്രം, സർട്ടിഫിക്കറ്റ്/ചെയിൻ/കീ ഫയലുകൾ ഉപയോഗിച്ച് /path/to/cert.d
ഒപ്പം സ്ഥിരമായി റീഡയറക്‌ടുചെയ്യുന്നു www.example.org ഒരു NAT എഞ്ചിൻ അന്വേഷിക്കുന്നതിന് പകരം:

sslssplit -t /path/to/cert.d -l connect.log -L / tmp \
HTTPS ::1 10443 www.example.org 443 \
HTTPS 127.0.0.1 10443 www.example.org 443

യഥാർത്ഥ ഉദാഹരണം, എന്നാൽ കംപ്രഷൻ പ്രവർത്തനരഹിതമാക്കുന്നതിലൂടെ വേഗതയ്ക്കായി ഒപ്റ്റിമൈസ് ചെയ്ത SSL ഓപ്ഷനുകൾ ഉപയോഗിക്കുന്നു
കൂടാതെ ഫാസ്റ്റ് ബ്ലോക്ക് സൈഫർ സൈഫർ സ്യൂട്ടുകൾ മാത്രം തിരഞ്ഞെടുത്ത് ഒരു പ്രീകമ്പ്യൂട്ടഡ് പ്രൈവറ്റ് കീ ഉപയോഗിക്കുന്നു
ഇല.താക്കോൽ വ്യാജ സർട്ടിഫിക്കറ്റുകൾക്കായി (ഏറ്റവും പ്രധാനപ്പെട്ട വേഗത വർദ്ധനവ് നേടിയത്
CA, ലീഫ് പ്രൈവറ്റ് കീകൾ എന്നിവയ്ക്കായി ഫാസ്റ്റ് അൽഗോരിതങ്ങളും ചെറിയ കീസൈസുകളും തിരഞ്ഞെടുക്കുന്നു; ചെക്ക്
openssl വേഗം നിങ്ങളുടെ സിസ്റ്റത്തിലെ അൽഗോരിതം പ്രകടനത്തിന്):

sslssplit -Z -s NULL:RC4:AES128 -K ഇല.താക്കോൽ \
-k ca.key -c ca.crt -l connect.log -L / tmp \
HTTPS ::1 10443 HTTPS 127.0.0.1 10443 \
http: ::1 10080 http: 127.0.0.1 10080

യഥാർത്ഥ ഉദാഹരണം, എന്നാൽ ഉപയോക്താവിന് കീഴിൽ ഒരു ഡെമൺ ആയി പ്രവർത്തിക്കുന്നു sslssplit കൂടാതെ ഒരു PID ഫയൽ എഴുതുക:

sslssplit -d -p /var/run/sslsplit.pid -u sslssplit \
-k ca.key -c ca.crt -l connect.log -L / tmp \
HTTPS ::1 10443 HTTPS 127.0.0.1 10443 \
http: ::1 10080 http: 127.0.0.1 10080

ഒരു CA സ്വകാര്യ കീ സൃഷ്ടിക്കാൻ ca.key സർട്ടിഫിക്കറ്റും ca.crt OpenSSL ഉപയോഗിക്കുന്നു:

പൂച്ച >x509v3ca.cnf <<'EOF'
[req]
distinguished_name = reqdn

[reqdn]

[v3_ca]
അടിസ്ഥാന നിയന്ത്രണങ്ങൾ = CA:TRUE
subjectKeyIdentifier = ഹാഷ്
അതോറിറ്റികീ ഐഡന്റിഫയർ = കീഐഡ്:എപ്പോഴും,ഇഷ്യൂവർ:എപ്പോഴും
EOF

openssl ജനറസ -പുറത്ത് ca.key 1024
openssl req - പുതിയത് -നോഡുകൾ -x509 -ഷാ1 -പുറത്ത് ca.crt -താക്കോൽ ca.key \
-കോൺഫിഗ് x509v3ca.cnf - വിപുലീകരണങ്ങൾ v3_ca \
-subj '/O=SSL വിഭജനം റൂട്ട് CA/CN=SSL വിഭജനം റൂട്ട് CA/' \
-സെറ്റ്_സീരിയൽ 0 -ദിവസങ്ങളിൽ 3650

കുറിപ്പുകൾ

ഒരു കാരണം താരതമ്യേന ഉയർന്ന ശ്രോതാക്കളെയും കണക്ഷനുകളും കൈകാര്യം ചെയ്യാൻ SSLsplit-ന് കഴിയും
പ്ലാറ്റ്‌ഫോം പ്രയോജനപ്പെടുത്തി, ലിബവെന്റിനെ അടിസ്ഥാനമാക്കിയുള്ള മൾട്ടിത്രെഡ്, ഇവന്റ് അടിസ്ഥാനമാക്കിയുള്ള ആർക്കിടെക്ചർ
kqueue പോലുള്ള നിർദ്ദിഷ്ട സെലക്ട്() മാറ്റിസ്ഥാപിക്കൽ. പ്രധാന ത്രെഡ് ശ്രോതാക്കളെയും കൈകാര്യം ചെയ്യുന്നു
സിഗ്നലിംഗ്, അതേസമയം സിപിയു കോറുകളുടെ ഇരട്ടി എണ്ണത്തിന് തുല്യമായ നിരവധി വർക്കർ ത്രെഡുകൾ
CPU ഉൾപ്പെടെ, പ്രത്യേക ഇവന്റ് ബേസുകളിൽ യഥാർത്ഥ കണക്ഷനുകൾ കൈകാര്യം ചെയ്യാൻ ഉപയോഗിക്കുന്നു-
തീവ്രമായ SSL/TLS കൈകാര്യം ചെയ്യൽ.

സർട്ടിഫിക്കറ്റുകൾക്കും കാഷെ ചെയ്യുന്നതിനും നല്ല പ്രകടനം കാഴ്ചവെക്കുന്ന ഡാറ്റാ ഘടനകൾ തിരഞ്ഞെടുക്കാൻ ശ്രദ്ധിച്ചിട്ടുണ്ട്
SSL സെഷനുകൾ. അത് ഉറപ്പാക്കാൻ പ്രത്യേക ഡിസ്ക് റൈറ്റർ ത്രെഡുകളിൽ ലോഗിംഗ് നടപ്പിലാക്കുന്നു
സോക്കറ്റ് ഇവന്റ് കൈകാര്യം ചെയ്യുന്ന ത്രെഡുകൾ ഡിസ്ക് I/O-ൽ ബ്ലോക്ക് ചെയ്യേണ്ടതില്ല. DNS ലുക്കപ്പുകൾ നടത്തുന്നു
അസമന്വിതമായി. SSLsplit രണ്ട് അറ്റത്തും SSL സെഷൻ കാഷിംഗ് ഉപയോഗിക്കുന്നു
പൂർണ്ണമായ എസ്എസ്എൽ ഹാൻഡ്‌ഷേക്കുകൾ, പക്ഷേ അപ്പോഴും, എസ്എസ്എൽ കണക്ഷനുകൾ കൈകാര്യം ചെയ്യുന്നതിൽ പരിമിതപ്പെടുത്തുന്ന ഘടകം
യഥാർത്ഥ ബിഗ്നം കണക്കുകൂട്ടലുകൾ.

onworks.net സേവനങ്ങൾ ഉപയോഗിച്ച് ഓൺലൈനായി sslsplit ഉപയോഗിക്കുക