wireshark 解密加密報文

wireshark 解密IPSec加密後的報文

序言

wireshark作爲一款非常優秀的抓包工具，支持了各種各樣的網絡協議，成爲了網絡開發中必不可少的工具之一。一般而言，對於普通的網絡數據包，wireshark能夠提供很好的解析功能，但是對於加密的網絡報文，由於缺乏密鑰信息導致無法解析。幸運的時，新版的wireshark工具再一直密鑰信息的情況下，提供瞭解析加密報文的功能。下面我們就該功能的使用提供一個簡單的操作示例。

1. 正常抓取的報文

正常抓取的報文，wireshark無法解密。如果需要調試功能，但是又不知道它的報文內容，那是相當難受的感覺。

2. 使用wireshark解密加密報文

• 選中加密報文，右鍵選擇 “協議首選項”
  
• 選擇報文所屬協議

因爲我的是IPsec協商報文，採用的IKEv2協議，因此我使用了**“IKEv2 Decryption Table…”**，效果圖如下：

然後根據需求填充上自己的密鑰參數信息：

3. 密鑰的來源

我使用的是Ipsec報文，他的密鑰再協商過程中產生，因此我將pluto協商過程中的密鑰信息記錄下來，然後根據需求依次填充到wireshark中即可。密鑰信息如下:

 ------------------------------------------------------------------
 KEY length: skd_bytes=16  ska_bytes=16  ske_bytes=24  skp_bytes=16 
 SK_d:  ce 21 6c af  e3 6c 34 93  0f fc 86 21  e8 bf e7 22
 SK_ai:  6ebfc1b41d90e0ea50a5124b75657839
 SK_ar:  26a3a2f1fa014ec600a9d38b43ad1ec0
 SK_ei:  a91e5a67fdb998421fd9d31f46055be40e49aa5ba2468b00
 SK_er:  8aef98774979227dd7f46a747adcfab19128a68cb35c8b1d
 SK_pi:  93 04 47 7e  45 16 c6 2b  84 a6 37 bb  0f 03 f1 7e
 SK_pr:  da 9f 5b 47  4e b4 25 3e  47 dd 3e e8  82 c5 7f e1

 ICOOKIE:  ffd40d496cdd6ba6
 RCOOKIE:  265f96692df83750
 ------------------------------------------------------------------

4. 解密後的報文

這樣便很方便的看到解密的IPSec報文的內容。