April 14, 2013

使用Network Monitor擷取TLS/SSL封包

Network Monitor是一套免費又強大的網路封包分析工具,本篇文章將介紹如何使用Network Monitor來擷取安裝有SSL憑證的網站封包。

管理者模式開啟Network Monitor,點選New Capture


在視窗下方Display Filter輸入IPv4.Address == {欲監控的網站IP位址} AND TLS,例如IPv4.Address == 74.125.31.83 AND TLS。

IPv4.Address代表要監控來源或目的端的IP位址,因為我們想要監控的是有安裝SSL憑證的網站,所以只要專心在要監控的網站IP位址,避免擷取到不必要的封包
TLS為SSL所使用的通訊協定

點選Apply套用封包過濾規則。


接下來按下Start進行封包擷取


瀏覽欲監控的網站,可以看到Network Monitor成功擷取到SSL封包,如下方可以看到SSL handshake的過程


在這個範例中,我是擷取登入GMail時的封包,如果仔細檢查擷取到的frame(Description為TLS:TLS Rec Layer-1 SSL Application Data的frame)會發現資料都是有加密過的,如果要解密這些資料的話則必需要有SSL憑證的私密金鑰。

參考

No comments: