wireshark 解密IPSec加密後的報文
序言
wireshark作爲一款非常優秀的抓包工具,支持了各種各樣的網絡協議,成爲了網絡開發中必不可少的工具之一。一般而言,對於普通的網絡數據包,wireshark能夠提供很好的解析功能,但是對於加密的網絡報文,由於缺乏密鑰信息導致無法解析。幸運的時,新版的wireshark工具再一直密鑰信息的情況下,提供瞭解析加密報文的功能。下面我們就該功能的使用提供一個簡單的操作示例。
1. 正常抓取的報文
正常抓取的報文,wireshark無法解密。如果需要調試功能,但是又不知道它的報文內容,那是相當難受的感覺。
2. 使用wireshark解密加密報文
- 選中加密報文,右鍵選擇 “協議首選項”
- 選擇報文所屬協議
因爲我的是IPsec協商報文,採用的IKEv2協議,因此我使用了**“IKEv2 Decryption Table…”**,效果圖如下:
然後根據需求填充上自己的密鑰參數信息:
3. 密鑰的來源
我使用的是Ipsec報文,他的密鑰再協商過程中產生,因此我將pluto協商過程中的密鑰信息記錄下來,然後根據需求依次填充到wireshark中即可。密鑰信息如下:
------------------------------------------------------------------
KEY length: skd_bytes=16 ska_bytes=16 ske_bytes=24 skp_bytes=16
SK_d: ce 21 6c af e3 6c 34 93 0f fc 86 21 e8 bf e7 22
SK_ai: 6ebfc1b41d90e0ea50a5124b75657839
SK_ar: 26a3a2f1fa014ec600a9d38b43ad1ec0
SK_ei: a91e5a67fdb998421fd9d31f46055be40e49aa5ba2468b00
SK_er: 8aef98774979227dd7f46a747adcfab19128a68cb35c8b1d
SK_pi: 93 04 47 7e 45 16 c6 2b 84 a6 37 bb 0f 03 f1 7e
SK_pr: da 9f 5b 47 4e b4 25 3e 47 dd 3e e8 82 c5 7f e1
ICOOKIE: ffd40d496cdd6ba6
RCOOKIE: 265f96692df83750
------------------------------------------------------------------
4. 解密後的報文
這樣便很方便的看到解密的IPSec報文的內容。