Re: tcpdump tls
я, кажется, вот на эту статью ориентировался: https://www.joji.me/en-us/blog/walkthrough-decrypt-ssl-tls-traffic-https-and-http2-in-wireshark/ On Mon, 27 Jul 2020 at 13:00, Slawa Olhovchenkov wrote: > > On Mon, Jul 27, 2020 at 02:44:37PM +0500, Илья Шипицин wrote: > > > у chrome есть net-internals > > > > https://support.google.com/chrome/a/answer/6271171?hl=en > > интересная штука, но похоже SSL там в нерасшифрованном виде и вопрос > ключей остается. > > > пн, 27 июл. 2020 г. в 14:15, Slawa Olhovchenkov : > > > > > On Mon, Jul 27, 2020 at 02:43:44PM +0700, Eugene Grosbein wrote: > > > > > > > 27.07.2020 0:47, Slawa Olhovchenkov пишет: > > > > > > > > > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > > > > > > > > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > > > > > типа > > > > > > > > > > > > > > > Server's response > > > > > > > > > > Full response: > > > > > 0 Missing status code HTTP/1.1 > > > > > = > > > > > > > > > > > > > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > > > > > именно пришло. > > > > > > > > В случае сеансовых ключей RSA можно попробовать в Wireshark: > > > > меню Редактирование/Параметры (Edit/Preference), > > > > дальше Protocols/TLS и там есть место вставить серверный ключ. > > > > > > И брать его из браузера? Как? > > > > > > > Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры > > > > дампить сессионные ключи, чтобы потом можно было их использовать в > > > Wireshark, > > > > в (Pre)-Master-Secret log filename. > > > > > > Отлично, меня это устроит, какие ключевые слова гуглить? > > > ___ > > > nginx-ru mailing list > > > nginx-ru@nginx.org > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > ___ > > nginx-ru mailing list > > nginx-ru@nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
On Mon, Jul 27, 2020 at 02:44:37PM +0500, Илья Шипицин wrote: > у chrome есть net-internals > > https://support.google.com/chrome/a/answer/6271171?hl=en интересная штука, но похоже SSL там в нерасшифрованном виде и вопрос ключей остается. > пн, 27 июл. 2020 г. в 14:15, Slawa Olhovchenkov : > > > On Mon, Jul 27, 2020 at 02:43:44PM +0700, Eugene Grosbein wrote: > > > > > 27.07.2020 0:47, Slawa Olhovchenkov пишет: > > > > > > > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > > > > > > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > > > > типа > > > > > > > > > > > > Server's response > > > > > > > > Full response: > > > > 0 Missing status code HTTP/1.1 > > > > = > > > > > > > > > > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > > > > именно пришло. > > > > > > В случае сеансовых ключей RSA можно попробовать в Wireshark: > > > меню Редактирование/Параметры (Edit/Preference), > > > дальше Protocols/TLS и там есть место вставить серверный ключ. > > > > И брать его из браузера? Как? > > > > > Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры > > > дампить сессионные ключи, чтобы потом можно было их использовать в > > Wireshark, > > > в (Pre)-Master-Secret log filename. > > > > Отлично, меня это устроит, какие ключевые слова гуглить? > > ___ > > nginx-ru mailing list > > nginx-ru@nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
On Mon, Jul 27, 2020 at 04:32:20PM +0700, Eugene Grosbein wrote: > 27.07.2020 16:15, Slawa Olhovchenkov пишет: > > On Mon, Jul 27, 2020 at 02:43:44PM +0700, Eugene Grosbein wrote: > > >> В случае сеансовых ключей RSA можно попробовать в Wireshark: > >> меню Редактирование/Параметры (Edit/Preference), > >> дальше Protocols/TLS и там есть место вставить серверный ключ. > > > > И брать его из браузера? Как? > > Тут имелся в виду фиксированный серверный приватный ключ. > > >> Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры > >> дампить сессионные ключи, чтобы потом можно было их использовать в > >> Wireshark, > >> в (Pre)-Master-Secret log filename. > > > > Отлично, меня это устроит, какие ключевые слова гуглить? > > Я гуглил так: wireshark decode https > Второй ссылкой было https://support.citrix.com/article/CTX116557 > How to Decrypt SSL and TLS Traffic Using Wireshark > > Четвертой https://wiki.wireshark.org/TLS#TLS_Decryption Key logging is enabled by setting the environment variable SSLKEYLOGFILE to point to a file. Note: starting with NSS 3.24 (used by Firefox 48 and 49 only), the SSLKEYLOGFILE approach is disabled by default for optimized builds using the Makefile (those using gyp via build.sh are not affected). Distributors can re-enable it at compile time though (using the NSS_ALLOW_SSLKEYLOGFILE=1 make variable) which is done for the official Firefox binaries. (See bug 1188657.) Notably, Debian does not have this option enabled, see Debian bug 842292. и народ на SO жалуется что хромы не пишут. даже с --ssl-key-log-file. The SSLKEYLOGFILE was originally disabled when the Mozilla team were debugging an NSS issue in Firefox 65. I had reported the bug here originally. It was subsequently reenabled in Firefox 66. However, once again for Firefox 67 it had accidentally been disabled in release builds again. I once again reopened that original bugzilla ticket to report it. And they then opened up a new bugzilla task that you linked in your post. A recent commit has removed the conditional that should now prevent that bug from reoccurring in future releases. My guess, the SSLKEYLOGFILE env. variable will work again when Firefox 68 releases, and on some Nightly version very shortly. ну ок, я понял как это врубить по крайне мере у себя. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
у chrome есть net-internals https://support.google.com/chrome/a/answer/6271171?hl=en пн, 27 июл. 2020 г. в 14:15, Slawa Olhovchenkov : > On Mon, Jul 27, 2020 at 02:43:44PM +0700, Eugene Grosbein wrote: > > > 27.07.2020 0:47, Slawa Olhovchenkov пишет: > > > > > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > > > > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > > > типа > > > > > > > > > Server's response > > > > > > Full response: > > > 0 Missing status code HTTP/1.1 > > > = > > > > > > > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > > > именно пришло. > > > > В случае сеансовых ключей RSA можно попробовать в Wireshark: > > меню Редактирование/Параметры (Edit/Preference), > > дальше Protocols/TLS и там есть место вставить серверный ключ. > > И брать его из браузера? Как? > > > Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры > > дампить сессионные ключи, чтобы потом можно было их использовать в > Wireshark, > > в (Pre)-Master-Secret log filename. > > Отлично, меня это устроит, какие ключевые слова гуглить? > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
27.07.2020 16:15, Slawa Olhovchenkov пишет: > On Mon, Jul 27, 2020 at 02:43:44PM +0700, Eugene Grosbein wrote: >> В случае сеансовых ключей RSA можно попробовать в Wireshark: >> меню Редактирование/Параметры (Edit/Preference), >> дальше Protocols/TLS и там есть место вставить серверный ключ. > > И брать его из браузера? Как? Тут имелся в виду фиксированный серверный приватный ключ. >> Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры >> дампить сессионные ключи, чтобы потом можно было их использовать в Wireshark, >> в (Pre)-Master-Secret log filename. > > Отлично, меня это устроит, какие ключевые слова гуглить? Я гуглил так: wireshark decode https Второй ссылкой было https://support.citrix.com/article/CTX116557 How to Decrypt SSL and TLS Traffic Using Wireshark Четвертой https://wiki.wireshark.org/TLS#TLS_Decryption ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
On Mon, Jul 27, 2020 at 02:43:44PM +0700, Eugene Grosbein wrote: > 27.07.2020 0:47, Slawa Olhovchenkov пишет: > > > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > > типа > > > > > > Server's response > > > > Full response: > > 0 Missing status code HTTP/1.1 > > = > > > > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > > именно пришло. > > В случае сеансовых ключей RSA можно попробовать в Wireshark: > меню Редактирование/Параметры (Edit/Preference), > дальше Protocols/TLS и там есть место вставить серверный ключ. И брать его из браузера? Как? > Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры > дампить сессионные ключи, чтобы потом можно было их использовать в Wireshark, > в (Pre)-Master-Secret log filename. Отлично, меня это устроит, какие ключевые слова гуглить? ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
On Mon, Jul 27, 2020 at 09:56:16AM +0300, Evgeniy Berdnikov wrote: > On Sun, Jul 26, 2020 at 08:47:40PM +0300, Slawa Olhovchenkov wrote: > > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > Это 7 вёрст крюк, проще включить на сервере debug log... иногда и в сервере бывают баги и хочется понять какая черепашка врет. (бага может быть и в драйвере сетевухи) ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
пн, 27 июл. 2020 г. в 12:44, Eugene Grosbein : > 27.07.2020 0:47, Slawa Olhovchenkov пишет: > > > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > > типа > > > > > > Server's response > > > > Full response: > > 0 Missing status code HTTP/1.1 > > = > > > > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > > именно пришло. > > В случае сеансовых ключей RSA можно попробовать в Wireshark: > меню Редактирование/Параметры (Edit/Preference), > дальше Protocols/TLS и там есть место вставить серверный ключ. > тут, вероятно, стоит сделать оговорку про FPS (forward perfect secrecy). давным-давно, когда зрители фильмов про чебурашку еще были детьми, шифры были такие, что имея закрытый ключ сервера можно было декодировать SSL сессию. потом пришли безопасники, сказали "непорядок" и ввели FPS шифры (сейчас почти все такие, если вы специально не ограничите, и то, не факт, что современный браузер будет с таким работать). поэтому нужны сессионные ключи. которые можно стырить из браузера или из nginx (через специальную библиотеку) > > Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры > дампить сессионные ключи, чтобы потом можно было их использовать в > Wireshark, > в (Pre)-Master-Secret log filename. > > > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
27.07.2020 0:47, Slawa Olhovchenkov пишет: > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > типа > > > Server's response > > Full response: > 0 Missing status code HTTP/1.1 > = > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > именно пришло. В случае сеансовых ключей RSA можно попробовать в Wireshark: меню Редактирование/Параметры (Edit/Preference), дальше Protocols/TLS и там есть место вставить серверный ключ. Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры дампить сессионные ключи, чтобы потом можно было их использовать в Wireshark, в (Pre)-Master-Secret log filename. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
On Sun, Jul 26, 2020 at 08:47:40PM +0300, Slawa Olhovchenkov wrote: > А что-как можно сделать что бы расшифровать https сессию в .pcap? Это 7 вёрст крюк, проще включить на сервере debug log... > и я хочу своими глазами увидеть что конкретно ему отправилось и что > именно пришло. -- Eugene Berdnikov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
Если хочется именно pcap, посмотрите, тут на форуме был вопрос про слив ключей шифрования в ФСБ. Можно подгрузить библиотеку, которая сохранит ключи в файл On Sun, Jul 26, 2020, 10:47 PM Slawa Olhovchenkov wrote: > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > типа > > > Server's response > > Full response: > 0 Missing status code HTTP/1.1 > = > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > именно пришло. > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
Возможно проще fiddler на стороне браузера On Sun, Jul 26, 2020, 10:47 PM Slawa Olhovchenkov wrote: > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > типа > > > Server's response > > Full response: > 0 Missing status code HTTP/1.1 > = > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > именно пришло. > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
On Sun, Jul 26, 2020 at 08:58:00PM +0300, Daniel Podolsky wrote: > только на спецом сконфигурированных ciphers. но, вообще-то, это гуглится. в пору персонализированного гугла что угодно может оказаться неглибельным PS: да, я попытался погуглить. возможно неправильно запрос задал. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: tcpdump tls
только на спецом сконфигурированных ciphers. но, вообще-то, это гуглится. On Sun, 26 Jul 2020 at 20:47, Slawa Olhovchenkov wrote: > > А что-как можно сделать что бы расшифровать https сессию в .pcap? > > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет, > типа > > > Server's response > > Full response: > 0 Missing status code HTTP/1.1 > = > > > и я хочу своими глазами увидеть что конкретно ему отправилось и что > именно пришло. > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
