Назад | Перейти на главную страницу

Анализ трафика SSL / TLS

Я хочу анализировать и записывать трафик SSL / TLS, который входит и отправляется с определенной машины. В частности, я хотел бы знать, сколько существует подключений SSL / TLS, сколько подключений используют TLSv1.2 и сколько используют более старые версии SSL / TLS, и какие домены использовались во время анализа. Я хочу, чтобы этот анализ проводился на реальном трафике и параллельно записывал его в файл pcap. Кто-нибудь знает инструмент, который может сделать это легко?

Думаю, у меня есть инструмент, который может удовлетворить ваши потребности: SSLAnalyzer который является частью PcapPlusPlus люкс. Этот инструмент записывает трафик SSL / TLS и собирает о нем все виды данных, в том числе запрашиваемые вами имена хостов, версии SSL / TLS и количество подключений. Вы можете использовать его следующим образом:

./SSLAnalyzer -i <IP_ADDRESS>

PcapPlusPlus является многоплатформенным, поэтому вы можете скомпилировать его на Win32, Linux (в основном протестировано на Ubuntu, как указано на веб-сайте) и Mac OS X (вы не указали нужную вам ОС). Результат выглядит примерно так:

STATS SUMMARY
=============

General stats
--------------------

Sample time:                                           14.761 [Seconds]
Number of SSL packets:                                    201 [Packets]
Rate of SSL packets:                                   11.736 [Packets/sec]
Number of SSL flows:                                       25 [Flows]
Rate of SSL flows:                                      1.460 [Flows/sec]
Total SSL data:                                         89632 [Bytes]
Rate of SSL data:                                    5233.320 [Bytes/sec]
Average packets per flow:                               8.040 [Packets]
Average data per flow:                               3585.280 [Bytes]
Client-hello message:                                      23 [Messages]
Server-hello message:                                      23 [Messages]
Number of SSL flows with successful handshake:             22 [Flows]
Number of SSL flows ended with alert:                       5 [Flows]

SSL/TLS ports count
--------------------

| SSL/TLS ports | Count |
-------------------------
| 443           | 25    |
-------------------------

SSL versions count
--------------------

| SSL record version           | Count |
----------------------------------------
| TLSv1.2                      | 20    |
| TLSv1.0                      |  3    |
----------------------------------------

Client-hello versions count
--------------------

| Client-hello version         | Count |
----------------------------------------
| TLSv1.0                      | 23    |
----------------------------------------

Cipher-suite count
--------------------

| Cipher-suite                                       | Count |
--------------------------------------------------------------
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256              | 19    |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256            | 4     |
--------------------------------------------------------------

Server-name count
--------------------

| Hostname                                 | Count |
----------------------------------------------------
| assets-cdn.github.com                    | 9     |
| api.github.com                           | 4     |
| collector.githubapp.com                  | 3     |
| accounts.google.com                      | 2     |
| github.com                               | 2     |
| live.github.com                          | 2     |
| www.gmail.com                            | 1     |
----------------------------------------------------