1.背景
在某次实验中发现wireshark抓到的ssl流量包无法政策解析Server Hello的数据。
2.通过Microsoft Network Monitor打开流量包
在朋友的建议下使用Microsoft Network Monitor工具打开流量包,但Wireshark所抓的流量包格式为pcapng,Microsoft Network Monitor无法正常解析。所以需要使用Wireshark将其另存为Microsoft Network Monitor能解析的cap格式流量包。
通Microsoft Network Monitor 可以看到已经正常解析处TLS握手过程的流量内容。
3.从Microsoft Network Monitor 寻找服务端的证书
可以通过Microsoft Network Monitor 看到服务端在握手过程发生的数字证书数据,但貌似Microsoft Network Monitor 未提供直接导出流量包中二进制数据的功能。(ps:可能提供了相关功能,但笔者并未找到,有会用的朋友可以交流一下)
4.从Microsoft Network Monitor 导出服务端的证书
虽然工具无法导出证书,但可以复制选择的数据,因此只能通过复制16进制数据来实现导出的目的,首先讲证书数据全部选择然后粘贴至txt文本中(框出来的部分需要删除,仅留下上面的十六进制数据)。
然后使用010Editor将txt文本导入16进制。
最后将其另存为cer格式的文件即可实现数字证书的提取。
5.总结
在流量包分析过程中,如果出现协议无法正常解析的情况,可以考虑更换协议分析工具。文章来源:https://www.toymoban.com/news/detail-441069.html
文章来源地址https://www.toymoban.com/news/detail-441069.html
到了这里,关于使用Microsoft Network Monitor分析Wireshark无法解析的SSL流量包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!