Wireshark 中使用 TCP 协议代替 SSL/TLS
kon*_*cov 6 encryption ssl sslstream ssl-certificate wireshark
我尝试通过本教程使用SslStream的 .NET 实现。我按照本文中的方式做了所有事情,但我有一些问题。我下载了 RawCap 并从本地主机捕获了数据包,之后我使用 Wireshark 打开转储文件(.pcap),但我看到的不是 SSL 或 TLS 类型的协议,而是 TCP:
这是 TCP 流的一部分:
....l...h..T.....Y.2..1...t.4....8.J...../.5 ... .... .2.8......'......Ssl服务器。......................M..T...M.<.......eE
...M.%c...Kg.. .....iKku.^q(C.$..;..Mx......g&./. .................0...0.........L.^..F.)...{.0. ..+......0.1 0...U....MyCA0.. 150228143257Z。391231235959Z0.1.0...U....SslServer0.."0 ..*.H...........0.. ......p9.cq...F. ^....Bm...S... .....Bg.B.<]..f[...<...q'..Tc......R... ZCDD..N...1..0.v..l. <...d[=C.7.8.+^..j(...X.........D'. !*5.^.^Ef..=.6y@.=..)|...Sp..Sv.|h.-.. UT..&bG.......J{.7k. X.........:.[o..o.,r..0..Wi.s..8.Jn9........4...WU....fkmw..........D0B0@..U...907..m.....@.. ...f...0.1 0...U.. ..MyCA..(J..j+..K......0...+..h..X.+.M..{...n .....@.'.F........~....@9J.......A4,>.9.DE.R.V4t._bGY.,v.> G......J ....3....@..c,%[S._..u...$....!Vr...~...'.~ ..T*[.#[.?.B{..Z..mp9.7.Uu}.e..c..H^n.:...-AJxs.. ...:... ..u.....YB..2n...yg=...(.Fv...B.Is..GK.....;.F..Ln..... L...ao ......@...q0o1.0...U....SE1.0...U. ..AddTrust AB1&0$..U....AddTrust 外部 TTP 网络1 “0 ..U...AddTrust 外部 CA 根..0..1.0...U....US1.0...U. .GeoTrust Inc.1907..U...0(c) 2008 GeoTrust Inc. - 仅供授权使用1604..U...-GeoTrust 主要证书颁发机构 - G3.g0e1.0...U....US1.0...U。
这是正确的 SSL/TLS 流吗?为什么Wireshark将其标记为TCP?
更新:
小智 7
默认情况下,Wireshark 使用 TCP 端口号来了解这是标准 TCP 还是 TLS/SSL。
如果您想让 Wireshark 永久将任何端口识别为 SSL/TLS,请转至编辑>首选项>协议> HTTP > 在SSL/TLS 端口下将其从 更改443为443,5555, ... <other TLS/SSL ports go here>。
另请注意,SSL 流量是加密的,因此您无法看到正在传输的实际数据。如果您希望 Wireshark 解密 SSL 流量,那么您必须向其提供服务器的私钥(参考Wireshark 中的 SSL 剖析)