捕获ssl，解码并保存原始输出

Question

我在Linux上运行，我需要捕获HTTPS流量（不是中间人），然后解码流量，然后保存解码流量到原始pcap文件。 将输出管道配置到另一个进程也是可以的。获取一个人类可读的输出（不是原始的）并不好。

我有权访问服务器上的ssl密钥。

路线我想：

1. tshark的。很好用，但不支持DH（可能还有其他常用的ssl加密密钥）。请参阅this和this
2. ssldump。效果很好，但不能输出原始pcap文件，只能输出可读的输出。编辑：ssldump无法解密ssl（在这种情况下）。

如果你能帮我解决＃1或＃2的问题，那太棒了。新的想法也受到欢迎。谢谢！

Answer 1

我可以访问SSL密钥服务器上...伟大的作品，但不支持DH

服务器的SSL密钥不与DH/ECDH帮助，因为连接的加密密钥不是从服务器的密钥派生的。您需要访问用于加密的实际密钥。有几个关于如何使用某些浏览器访问这些密钥的说明，请参阅https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/。

如果您无权访问SSL连接的加密密钥，那么您唯一的办法就是限制密码，以免使用DH/ECDH。这不建议用于生产。