tcpdump tls

[Eugene Grosbein]

27.07.2020 0:47, Slawa Olhovchenkov пишет:

> А что-как можно сделать что бы расшифровать https сессию в .pcap?
> 
> Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет,
> типа
> 
> ====
> Server's response
> 
> Full response:
>     0 Missing status code HTTP/1.1
> =====
> 
> 
> и я хочу своими глазами увидеть что конкретно ему отправилось и что
> именно пришло.

В случае сеансовых ключей RSA можно попробовать в Wireshark:
меню Редактирование/Параметры (Edit/Preference),
дальше Protocols/TLS и там есть место вставить серверный ключ.

Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры
дампить сессионные ключи, чтобы потом можно было их использовать в Wireshark,
в (Pre)-Master-Secret log filename.