SSLdump Kullanarak HTTPS Trafiği Analizi

SSLdump SSL/TLS kullanılarak şifrelenmiş trafikler için geliştirilmiş trafik analizi ve şifre çözümleme aracıdır. SSLdump kullanarak -sunucuya ait gizli anahtarın elimizde olduğu varsayılıyor-HTPS ve benzeri şifreli trafiklerin içerisinde geçen bilgiler okunabilir.

SSldump akan trafikten analiz/şifre çözme yapabileceği gibi daha önce pcap formatında kaydedilmiş trafikden de analiz/şifre çözme işlemleri gerçekleştirebilir.

SSLdump Kullanım Parametreleri

Canlı trafikte analiz için

#ssldump -i ağ_arabirimi (ssldump -i eth0 gibi)

Daha önce kaydedilmiş pcap formatındaki dosyadan okutmak için

#ssldump -r

SSL trafiği içerisinde geçen verileri açığa çıkarmak için gerekli parametreler

ssldump -i eth0 -k gizlianahtar -d

-d uygulama seviyesi trafik bilgilerini göstermek için kullanılır.

SSL verilerini çözebilmesi için ssldump’ın openssl destekli kurulmuş olması gerekir. Openssl desteğini öğrenmek için -v parametresi kullanılabilir.

[root@labs ~]# ssldump -v
ssldump 0.9b3
Copyright (C) 1998-2001 RTFM, Inc.
All rights reserved.
Compiled with OpenSSL: decryption enabled

Örnek kullanım:

#ssldump -i rl0 tcp port 443

New TCP connection #1: dsl7.16-3229.ttnet.net.tr(4318) <-> labs.lifeoverip.net(443)
1 1 0.0638 (0.0638) C>S Handshake
ClientHello
Version 3.1
resume [32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipher suites
Unknown value 0xff
Unknown value 0xc00a
Unknown value 0xc014
Unknown value 0×88
Unknown value 0×87
Unknown value 0×39
Unknown value 0×38
Unknown value 0xc00f
Unknown value 0xc005
Unknown value 0×84
Unknown value 0×35
Unknown value 0xc007
Unknown value 0xc009
Unknown value 0xc011
Unknown value 0xc013
Unknown value 0×45
Unknown value 0×44
Unknown value 0×33
Unknown value 0×32
Unknown value 0xc00c
Unknown value 0xc00e
Unknown value 0xc002
Unknown value 0xc004
Unknown value 0×96
Unknown value 0×41
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
Unknown value 0x2f
Unknown value 0xc008
Unknown value 0xc012
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Unknown value 0xc00d
Unknown value 0xc003
Unknown value 0xfeff
TLS_RSA_WITH_3DES_EDE_CBC_SHA
compression methods
NULL
1 2 0.0643 (0.0004) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipherSuite Unknown value 0×88
compressionMethod NULL
1 3 0.0643 (0.0000) S>C ChangeCipherSpec
1 4 0.0643 (0.0000) S>C Handshake
1 5 0.1088 (0.0445) C>S ChangeCipherSpec
1 6 0.1088 (0.0000) C>S Handshake
1 7 0.1088 (0.0000) C>S application_data
1 8 0.1124 (0.0035) S>C application_data
1 9 0.1124 (0.0000) S>C application_data
1 10 0.1796 (0.0672) C>S application_data
1 11 0.1832 (0.0035) S>C application_data
1 12 0.1832 (0.0000) S>C application_data

Bir SSL bağlantısına ait tüm adımlar ssldump’da ayrı trafik numarasıyla belirtilir ve ilgili ssl bağlantısına ait tüm paketler o numarayı takip eder. yukardaki çıktıda bir adet ssl bağlantısı vardır ve 1, 1 1, 1 2, 1, 3 ….1 12 şeklinde giden satırlar tek bir SSL bağlantısına aittir.

Yukardaki ssl bağlantısında veriler şifreli olduğu için gözükmeyecektir. SSldump’a bağlantı yapılan adresin gizli anahtarını -k parametresi ile tanıtırsak 1 12 0.1832 (0.0000) S>C application_data yazan kısımda aşağıdaki gibi açık HTTP başlık bilgileri gözükecektir.

#ssldump -i rl0 -d -H -k /usr/local/etc/apache22/extra/blog.key tcp port 443

New TCP connection #1: dsl7.16-3229.ttnet.net.tr(4318) <-> labs.lifeoverip.net(443)
1 1 0.0638 (0.0638) C>S Handshake
ClientHello
Version 3.1
resume [32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipher suites
Unknown value 0xff
Unknown value 0xc00a
Unknown value 0xc014
Unknown value 0×88
Unknown value 0×87
Unknown value 0×39
Unknown value 0×38
Unknown value 0xc00f
Unknown value 0xc005
Unknown value 0×84
Unknown value 0×35
Unknown value 0xc007
Unknown value 0xc009
Unknown value 0xc011
Unknown value 0xc013
Unknown value 0×45
Unknown value 0×44
Unknown value 0×33
Unknown value 0×32
Unknown value 0xc00c
Unknown value 0xc00e
Unknown value 0xc002
Unknown value 0xc004
Unknown value 0×96
Unknown value 0×41
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
Unknown value 0x2f
Unknown value 0xc008
Unknown value 0xc012
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Unknown value 0xc00d
Unknown value 0xc003
Unknown value 0xfeff
TLS_RSA_WITH_3DES_EDE_CBC_SHA
compression methods
NULL
1 2 0.0643 (0.0004) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipherSuite Unknown value 0×88
compressionMethod NULL
1 3 0.0643 (0.0000) S>C ChangeCipherSpec
1 4 0.0643 (0.0000) S>C Handshake
1 5 0.1088 (0.0445) C>S ChangeCipherSpec
1 6 0.1088 (0.0000) C>S Handshake
1 7 0.1088 (0.0000) C>S application_data

GET /network_pentest HTTP/1.1
Host: www.bga.com.tr
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive

1 8 0.1124 (0.0035) S>C application_data

HTTP/1.1 404 Not Found

Date: Tue, 29 Jun 2010 13:24:17 GMT
Server: Apache/2.2.13
Content-Length: 213
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

1 12 0.1832 (0.0000) S>C application_data

SSldump hakkında detay bilgi için http://www.rtfm.com/ssldump/documentation.html