Wireshark SSL/TLS 패킷 복호화

※ 2019/10/18 업데이트

https://woonizzooni.tistory.com/entry/tcpdump-SSLTLS-패킷-복호화

https://woonizzooni.tistory.com/entry/SSLTLS-패킷-복호화-관련-nss-libnss

 

---

일단, 모든 패킷 내용을 볼 수 있는 것은 아니고 (핫스팟 모드로 동작 중인 상태에서 흐르는 모든 패킷)

개인PC환경에서 Chrome/Firefox 등 SSLKEYLOGFILE환경 변수를 지원(?)할 수 있는 앱에서의 통신 패킷만 복호화 가능함.

 

즉, 개인 PC에서 크롬브라우저 패킷 복호화 정도라고 해두자.

 

 

• "SSLKEYLOGFILE" 환경변수 추가
  • Windows
    '제어판\시스템 및 보안\시스템 : 고급시스템설정 클릭' or 'Win+R > sysdm.pl 입력 > 고급탭'
    환경변수(N) 클릭
    사용자 변수 '새로만들기'
    변수 이름 : SSLKEYLOGFILE
    변수 값 : 원하는 경로 & 파일명 설정 (ex. C:\Users\MyName\sslkey.log)
  • Mac/Linux
    • 터미널에서 환경 변수 및 값 export
      ex) 'export SSLKEYLOGFILE=${HOME}/.sslkey.log' 시키고 
    • 터미널에서 chome 혹은 firefox 앱 실행
    • 동일 터미널(or 같은 환경 설정값 상태 터미널)에서 wireshark실행

 

• Wireshark 실행환경 설정
  • Wireshark 2.6.1 (WinPcap for WIndows 10과 같이 사용 중이었던...)
    ㄴEdit > Preferences > Protocols > SSL : (Pre)-Master-Secret log filename에 환경변수 값 선택
    
    
    
  • WIreshark 3.0.2 (설치하다보니 NPcap이란게 생겼나보네. WinPcap은 죽었나? 오 윈도우도 loopback adapter가 생겼나)
    ㄴEdit > Preferences > Protocols > TLS : (Pre)-Master-Secret log filename에 환경변수 값 선택
    

 

• 테스트 (Windows10에서)
  • Wireshark 실행 > 패킷 캡쳐 실행
  • Chrome브라우저 실행 > http://www.daum.net 주소 입력
  • Wireshark에서 패킷 내용 확인

 

 

[참고]

Decrypting TLS Browser Traffic With Wireshark....

https://redflagsecurity.net/2019/03/10/decrypting-tls-wireshark/

Decrypt SSL with Wireshark

https://www.comparitech.com/net-admin/decrypt-ssl-with-wireshark/

 

기타

https://stackoverflow.com/questions/42332792/chrome-not-firefox-are-not-dumping-to-sslkeylogfile-variable

https://askubuntu.com/questions/1035991/open-firefox-or-chrome-to-write-to-sslkeylogfile

libcurl로 지원한다는 글이 보이는데, 뭐 이거야 SSLKEYLOGFILE 지원 모듈을 포함시키면 되는 거니까...

찾아보는건 여기까지...