Forum Linux.général ethereal - capture de paquet SSL

Posté par  .
Étiquettes : aucune
0
18
sept.
2006
Bonjour à tous ...

j'ai fait un test de capture et de filtrage de paquets sous ethereal. Je me connecte à mon mail via https, je filtre l'ip et je verifie que les paquets sont bien en SSL :

(ip.addr==x.x.x.x) && (ssl)

cependant ethereal ne me renvoi aucun paquet provenant de https://x.x.x.x .... y'a t'il qque chose que je aurais zappé ???

merci pour votre aide.

  • # Filtre

    Posté par  . Évalué à 1.

    Ta chaine de filtre devrait plutôt resembler à cela si tu utilise un filtre de capture :
    host x.x.x.x and tcp port 443

    Ou cela si tu utilise un filtre d'affichage :
    (ip.addr==x.x.x.x) and (tcp.port == 443)

    Enfin je sais pas mais essaie les deux, un par un, etc. pour moi c'est ces formats là si on parle de ethereal (ou plutôt wireshark maintenant).

    • [^] # Re: Filtre

      Posté par  . Évalué à 0.

      oui excuse moi, c'est un filtre de display...

      dans tout les cas filtrer le port 443 n'est pas une condition necessaire et suffisante pour l'utilisation de SSL. J'essai de trouver une regle ethereal qui me confirme l'utilisation de SSL quelque soit le port...

      • [^] # Re: Filtre

        Posté par  . Évalué à 1.

        Peut-être "(ip.addr==x.x.x.x) and (tcp.port == https)" ?

        En tout cas pour ton premier exemple, au premier abord je me demandais si l'algo qui analyse le filtre entré aimait bien le "&&" car dans les exemple de ma distrib' des "and" sont utilisés...

        • [^] # Re: Filtre

          Posté par  . Évalué à 1.

          chez moi le && marche ;) mais encore une fois ct un filtre de display...

          pour revenir à ma problematique, j'ai presque trouvé la reponse. Il faut savoir que dans le protocole SSL le premier byte reprend les valeurs suivantes : {14, 15, 16, 17} (état du handshake ssl). Ensuite vient la version sur les deux bytes suivant (03, 01 dans mon cas). Le problème desormait pour moi est de trouver la syntaxe tcpdump pour choper les trois premier bytes de la section data du paquet et de filtrer à partir de ca...

          quelqu'un connait ?

  • # La solution

    Posté par  . Évalué à 1.

    Pour ceux que ca interresse la solution pour selectionner les paquets crypté en SSL et capturé avec ethereal c'est d'appliquer le filtre suivant (display) :

    (data[0]==17 or data[0]==16 or data[0]==15 or data[0]==14) and data[1]==3 and data[2]==1

    notez qu'avec ca vous n'obtiendrez pas tous les paquets crypté SSL car il y a parfois des découpages lié à au couches inferieurs.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.