Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ssldump komutudur.
Program:
ADI
ssldump - bir ağdaki SSL trafiğini boşaltır
SİNOPSİS
ssl dökümü [ -vTshVq -aAdeHnNqTxXvy ] [ -i arayüzey ]
[ -k Anahtar dosya ] [ -p şifre ] [ -r çöp dosyası ]
[ -S [kripto|d|ht|H|nroff] ] [ ifade ]
AÇIKLAMA
ssl dökümü bir SSL/TLS ağ protokolü analizörüdür. üzerindeki TCP bağlantılarını tanımlar.
ağ arayüzünü seçer ve bunları SSL/TLS trafiği olarak yorumlamaya çalışır. Ne zaman
SSL/TLS trafiğini tanımlar, kayıtların kodunu çözer ve bunları metin biçiminde görüntüler.
standart. Uygun anahtarlama malzemesi sağlanırsa, aynı zamanda şifreyi de çözecektir.
bağlantıları ve uygulama veri trafiğini görüntüler.
ssldump FreeBSD, Linux, Solaris ve HP/UX üzerinde test edilmiştir. PCAP tabanlı olduğundan,
çoğu platformda çalışması gerekir. Ancak, tcpdump'tan farklı olarak, ssldump'ın görebilmesi gerekir
veri iletiminin her iki tarafını da ağ bağlantılarıyla kullanırken sorun yaşayabilirsiniz
iletilen verileri görmenize izin vermeyen SunOS nit gibi. SunOS ile sirke or
bpf: Koşmak tcp dökümü okuma erişimine sahip olmalısınız /dev/nit or /dev/bpf*. Solaris
ile dlpi: Ağ sözde cihazına okuma erişiminiz olmalıdır, örn. /geliştir/geliştir.
HP-UX ile dlpi: Kök olmalısınız veya kök için setuid kurulmalıdır. IRIX ile
meraklı: Kök olmalısınız veya kök için setuid kurulmalıdır. Linux: Olmalısın
root veya root'a setuid kurulmalıdır. Ultrix ve Dijital UNIX: bir kere
süper kullanıcı, kullanarak karışık modda çalışmayı etkinleştirdi pf yapılandırma(8), herhangi bir kullanıcı çalıştırabilir
ssl dökümü BSD: için okuma erişiminiz olmalıdır /dev/bpf*.
SEÇENEKLER
-a Çıplak TCP ACK'leri yazdırın (Nagle davranışını gözlemlemek için kullanışlıdır)
-A Tüm kayıt alanlarını yazdır (varsayılan olarak ssldump en ilginç alanları seçer)
-d Uygulama veri trafiğini görüntüleyin. Bu genellikle şifrenin çözülmesi anlamına gelir, ancak -d olduğunda
kullanılır ssldump ayrıca uygulama veri trafiğinin kodunu çözer önce SSL oturumu
başlatır. Bu, HTTPS CONNECT davranışını ve SMTP STARTTLS'yi görmenizi sağlar.
Bir yan etki olarak, ssldump düz metnin trafik olup olmadığını anlayamadığından,
bir SSL bağlantısının veya yalnızca normal bir TCP bağlantısının başlatılması, bu size
herhangi bir TCP bağlantısını koklamak için ssldump kullanmak. ssldump otomatik olarak algılar
ASCII verileri ve doğrudan ekrana görüntüler. ASCII olmayan veriler şu şekilde görüntülenir:
altıgen dökümler. Ayrıca bkz. -X.
-e Göreceli zaman damgaları yerine mutlak zaman damgalarını yazdırın
-H Tam SSL paket başlığını yazdırın.
-n IP adreslerinden ana bilgisayar adlarını çözmeye çalışmayın
-N Sertifikalarda ve DN'lerde olduğu gibi göründüğünde ASN.1'i ayrıştırmayı deneyin.
-p Kullanım şifre SSL anahtar dosyası parolası olarak.
-P Arayüzü karışık moda sokmayın.
-q Tek bir özet satırının ötesindeki kayıt alanlarının kodunu çözmeyin. (sessiz mod).
-T TCP başlıklarını yazdırın.
-v Sürüm ve telif hakkı bilgilerini görüntüleyin.
-x Her kaydı onaltılı olarak yazdırın ve kodunu çözün.
-X -d seçeneği kullanıldığında, ikili veriler otomatik olarak iki sütuna yazdırılır
solda onaltılık döküm ve sağda yazdırılabilir karakterler bulunur. -X
yazdırılabilir karakterlerin görüntüsünü bastırır, böylece kesmeyi kolaylaştırır
ve onaltılı verileri başka bir programa yapıştırın.
-y Çıktıyı işleme için nroff/troff ile süsleyin. için pek kullanışlı değil.
ortalama kullanıcı.
-i arayüzey
Kullanım arayüzey SSL/TLS trafiğinin koklanacağı ağ arabirimi olarak.
-k Anahtar dosya
Kullanım Anahtar dosya SSL anahtar dosyasının konumu olarak (OpenSSL formatı) Önceki sürümler
ssldump dosyası otomatik olarak ./server.pem'e baktı. Şimdi anahtar dosyanızı belirtmelisiniz
her zaman.
-p şifre
Kullanım şifre SSL anahtar dosyası parolası olarak.
-r dosya
Şuradan veri oku: dosya ağ yerine. Eski -f seçeneği hala çalışıyor ancak
kullanımdan kaldırıldı ve muhtemelen bir sonraki sürümle kaldırılacak.
-S [ kripto | d | ht | H ]
Ssldump için SSL bayraklarını belirtin. Bu bayraklar şunları içerir:
kripto Şifreleme bilgilerini yazdırın.
d Alanları kodu çözülmüş olarak yazdırın.
ht El sıkışma türünü yazdırın.
H El sıkışma türünü ve vurguları yazdırın.
ifade
ssldump'ın hangi paketleri inceleyeceğini seçer. Teknik olarak konuşursak, ssldump destekler
PCAP ve tcpdump'tan tam ifade sözdizimi. Aslında buradaki açıklama
tcpdump man sayfasından alınmıştır. Ancak, ssldump'ın tam TCP'yi incelemesi gerektiğinden
tcpdump ifadelerinin çoğu, ssldump yapan trafik karışımlarını seçecektir.
basitçe görmezden gelecek. Yalnızca eksik TCP ile sonuçlanmayan ifadeler
akışlar burada listelenir.
The ifade bir veya daha fazlasından oluşur ilkel. İlkeller genellikle şunlardan oluşur:
an id (isim veya numara) bir veya daha fazla niteleyiciden önce gelir. Üç vardır
farklı niteleyici türleri:
tip niteleyiciler, kimlik adının veya numarasının ne tür bir şeye atıfta bulunduğunu söyler. Mümkün
türleri ev sahibi, net ve Liman. Örneğin, "host foo", "net 128.3", "port 20". Eğer
tür niteleyici yok, ev sahibi kabul edilir.
dir niteleyiciler, belirli bir transfer yönünü belirtir ve/veya buradan İD.
Olası yönler src, dst, src or dst ve src ve dst. Örneğin, `src
foo', 'dst net 128.3', 'src veya dst port ftp-data'. dir yoksa
niteleyici, src or dst varsayılır. 'boş' bağlantı katmanları için (örn.
kayma gibi nokta protokolleri) gelen ve Giden elemeler olabilir
İstenen yönü belirtmek için kullanılır.
Sözcükler kullanılarak daha karmaşık filtre ifadeleri oluşturulur. ve, or ve değil için
ilkelleri birleştirir. Örneğin, "foo ana bilgisayarı ve ftp bağlantı noktası değil ve bağlantı noktası ftp verisi değil". NS
yazmayı kaydet, aynı niteleyici listeleri atlanabilir. Örneğin, `tcp dst port ftp veya
ftp-veri veya etki alanı', 'tcp dst bağlantı noktası ftp veya tcp dst bağlantı noktası ftp- ile tamamen aynıdır.
data veya tcp dst port domain'.
İzin verilen ilkel öğeler şunlardır:
dst ev sahibi ev sahibi
Paketin IPv4/v6 hedef alanı doğruysa ev sahibi, hangisi olabilir
ya bir adres ya da bir isim.
src ev sahibi ev sahibi
Paketin IPv4/v6 kaynak alanı ise doğrudur ev sahibi.
ev sahibi ev sahibi
Paketin IPv4/v6 kaynağı veya hedefi ise doğru ev sahibi. Herhangi
Yukarıdaki ana bilgisayar ifadelerinin başına anahtar kelimeler eklenebilir, ip, arp,
tırmalamakya da ip6 de olduğu gibi:
ip ev sahibi ev sahibi
bu şuna eşdeğerdir:
eter bu nedenle \ ip ve ev sahibi ev sahibi
If ev sahibi birden fazla IP adresine sahip bir addır, her adres kontrol edilecektir
bir maç için.
eter dst ev sahibi
Ethernet hedef adresi doğruysa ev sahibi. ehost ya bir
/etc/ethers veya bir sayıdan isim (bkz. eterler(3N) sayısal biçim için).
eter src ev sahibi
Ethernet kaynak adresi doğruysa ev sahibi.
eter ev sahibi ev sahibi
Ethernet kaynağı veya hedef adresten biri ise doğrudur ev sahibi.
geçit ev sahibi
Paket kullanıldıysa doğrudur ev sahibi bir ağ geçidi olarak. Yani, ethernet kaynağı veya
hedef adres (önceki değeri) ev sahibi ama ne IP kaynağı ne de IP
hedef ev sahibi. Ev Sahibi bir isim olmalı ve her ikisinde de bulunmalıdır
/ Etc / hosts ve /etc/eterler. (Eşdeğer bir ifade
eter ev sahibi ev sahibi ve değil ev sahibi ev sahibi
için isimler veya sayılarla kullanılabilir ev sahibi / ev sahibi.) Bu
sözdizimi şu anda IPv6 etkin yapılandırmada çalışmıyor.
dst net net
Paketin IPv4/v6 hedef adresinin bir ağ numarası varsa doğrudur
of net. Ağ bir isim olabilir /etc/ağlar veya bir ağ numarası (bkz.
ağlar(4) Ayrıntılı bilgi için).
src net net
Paketin IPv4/v6 kaynak adresi ağ numarasına sahipse doğrudur.
net.
net net
Paketin IPv4/v6 kaynağında veya hedef adresinde bir
ağ numarası net.
net net maske maske
IP adresi eşleşirse doğrudur net belirli ağ maskesi ile. Belki
ile nitelikli src or dst. Bu sözdiziminin IPv6 için geçerli olmadığını unutmayın. net.
net net/len
IPv4/v6 adresi eşleşirse doğrudur net ağ maskesi len bit geniş. Belki
ile nitelikli src or dst.
dst Liman Liman
Paket ip/tcp, ip/udp, ip6/tcp veya ip6/udp ise ve bir
hedef port değeri Liman. Liman kullanılan bir sayı veya ad olabilir
/ etc / services (görmek tcp(4P) ve udp(4P)). Bir ad kullanılırsa, her iki bağlantı noktası da
numara ve protokol kontrol edilir. Bir sayı veya belirsiz bir ad kullanılıyorsa,
sadece port numarası kontrol edilir (örn. dst Liman 513 ikisini de yazdıracak
tcp/login trafiği ve udp/who trafiği ve Liman domain ikisini de yazdıracak
tcp/etki alanı ve udp/etki alanı trafiği).
src Liman Liman
Paketin kaynak bağlantı noktası değeri varsa doğrudur Liman.
Liman Liman
Paketin kaynak veya hedef bağlantı noktası doğruysa Liman. Herhangi biri
yukarıdaki bağlantı noktası ifadelerinin başına anahtar kelimeler eklenebilir, tcp or udp,
de olduğu gibi:
tcp src Liman Liman
yalnızca kaynak bağlantı noktası olan tcp paketleriyle eşleşen Liman.
Primitifler aşağıdakiler kullanılarak birleştirilebilir:
Parantez içine alınmış bir ilkel ve operatör grubu (parantezler özeldir
Shell'e ve kaçılmalıdır).
olumsuzlama (`!' veya 'değil').
Birleştirme (`&&' veya 've').
Değişim (`||' veya 'or').
Olumsuzlama en yüksek önceliğe sahiptir. Alternatif ve bitiştirme eşittir
öncelik ve ilişkilendirme soldan sağa. Açıkça dikkat edin ve jetonlar, değil
yan yana, şimdi birleştirme için gereklidir.
Anahtar kelime olmadan bir tanımlayıcı verilirse, en son anahtar kelime olduğu varsayılır.
Örneğin,
değil ev sahibi vs ve as
için kısa
değil ev sahibi vs ve ev sahibi as
hangi ile karıştırılmamalıdır
değil ( ev sahibi vs or as )
İfade bağımsız değişkenleri, ssldump'a tek bir bağımsız değişken olarak veya
birden fazla argüman, hangisi daha uygunsa. Genel olarak, eğer ifade
Shell meta karakterlerini içerir, tek bir alıntı olarak iletmek daha kolaydır
argüman. Birden çok argüman, ayrıştırılmadan önce boşluklarla birleştirilir.
ÖRNEKLER
Arayüzdeki trafiği dinlemek için le0 Liman 443
ssl dökümü -i le0 Liman 443
Sunucuya gelen trafiği dinlemek için romeo limanda 443.
ssl dökümü -i le0 Liman 443 ve ev sahibi romeo
Barındırmak için trafiğin şifresini çözmek için romeo sunucu.pem ve şifre filanca
ssl dökümü -Reklam -k ~/server.pem -p filanca -i le0 ev sahibi romeo
ÇIKTI FORMAT
Tüm çıktılar standart çıktı olarak yazdırılır.
ssldump, aşağıdaki gibi bir satır kullanarak her yeni TCP bağlantısının bir göstergesini yazdırır
Yeni TCP bağ # 2: iromeo.rtfm.com(2302) <-> sr1.rtfm.com(4433)
İlk SYN'yi gönderen ana bilgisayar solda basılıdır ve yanıt veren ana bilgisayar
sağda yazdırılır. Normal olarak bu, SSL istemcisinin üzerine yazdırılacağı anlamına gelir.
SSL sunucusu sağda olacak şekilde solda. Bu durumda bir bağlantımız var
iromeo.rtfm.com (Liman 2303) Ile sr1.rtfm.com (Liman 4433). Kullanıcının çözmesine izin vermek için
farklı bağlantılardan gelen trafik, her bağlantı numaralandırılmıştır. bu bağlantı 2.
Her SSL kaydının çıktısı bir kayıt satırı ile başlar. Bu satır şunları içerir:
aşağıdaki gibi bağlantı ve kayıt numarası, bir zaman damgası ve kayıt türü:
2 3 0.2001 (0.0749) S>C El sıkışma Sertifikalar
bu rekor 3 bağlantıda 2. İlk zaman damgası, başlangıcından bu yana geçen zamandır.
bağlantı. İkincisi, önceki kayıttan bu yana geçen süredir. İkisi de saniye.
Kayıt satırındaki bir sonraki alan, kaydın gittiği yöndür. C>S
istemciden sunucuya iletilen kayıtları gösterir ve S>C iletilen kayıtları gösterir
sunucudan istemciye. ssldump, ilk SYN'yi iletecek ana bilgisayarın SSL olduğunu varsayar.
istemci (bu neredeyse her zaman doğrudur).
Bir sonraki alan, kayıt türüdür, bunlardan biri El sıkışma, IAuyarı, Şifre Özelliğini Değiştirya da
Uygulama Verileri. Son olarak, ssldump satırın geri kalanında kayda özel verileri yazdırabilir.
Her Ticaretçi İçin Mükemmellik El sıkışma kaydeder, el sıkışma mesajını yazdırır. Böylece bu kayıt bir Sertifikalar
mesaj.
ssldump, daha fazla kod çözme için belirli kayıt türlerini seçer. Bunlar sahip olanlar
hata ayıklama için en yararlı olduğu kanıtlanmıştır:
MüşteriMerhaba - sürüm, sunulan şifre paketleri, oturum kimliği
sağlanırsa)
SunucuMerhaba - sürüm, session_id, seçilen şifre paketi,
sıkıştırma yöntemi
Uyarmak - tip ve seviye (varsa)
Çeşitli kayıtların daha eksiksiz bir şekilde çözülmesi, aşağıdakiler kullanılarak elde edilebilir: -A , -d , -k ve -p
bayraklar.
ŞİFRELEME
ssldump, aşağıdaki iki koşul karşılanırsa iki ana bilgisayar arasındaki trafiğin şifresini çözebilir:
1. ssldump anahtarlara sahiptir.
2. Statik RSA kullanıldı.
Başka bir durumda, şifreleme başladığında, ssldump yalnızca
Kayıt tipi. Bir izlemenin aşağıdaki bölümünü düşünün.
1 5 0.4129 (0.1983) C>S El sıkışma İstemci Anahtar Değişimi
1 6 0.4129 (0.0000) C>S Şifre Özelliğini Değiştir
1 7 0.4129 (0.0000) C>S El sıkışma
1 8 0.5585 (0.1456) S>C Şifre Özelliğini Değiştir
1 9 0.6135 (0.0550) S>C El sıkışma
1 10 2.3121 (1.6986) C>S Uygulama Verileri
1 11 2.5336 (0.2214) C>S Uygulama Verileri
1 12 2.5545 (0.0209) S>C Uygulama Verileri
1 13 2.5592 (0.0046) S>C Uygulama Verileri
1 14 2.5592 (0.0000) S>C Uyarmak
Unutmayın İstemci Anahtar Değişimi mesaj türü yazdırılır, ancak geri kalanı El sıkışma
mesajların türü yoktur. Bunlar bitmiş mesajlar, ancak oldukları için
şifreli ssldump yalnızca türde olduklarını bilir El sıkışma. Benzer şekilde, Uyarmak in
El sıkışma sırasında kayıt 14 olsaydı, türü ve seviyesi yazdırılırdı.
Ancak şifreli olduğu için sadece bir uyarı olduğunu söyleyebiliriz.
onworks.net hizmetlerini kullanarak ssldump'ı çevrimiçi kullanın
