设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡合作培训机构(排名不分先后)≡□≡ 其他培训机构 太阁网络 这操作666啊,用Wireshark查看IPsec加密报文
返回列表 发新帖
查看: 1303|回复: 0
收起左侧

这操作666啊,用Wireshark查看IPsec加密报文

[复制链接]
闫辉
发表于 2022-8-16 09:42:34 | 显示全部楼层 |阅读模式


IPsec 封装安全负载(IPsec ESP)报文,因为是加密封装报文,wireshark打开后无法查看封装内容。
有时候我们需要查看封装的报文内容,以定位一些问题。wireshark支持对ESP的解析,只是需要做一些相应配置。
一、抓取并打开ipsec报文
通过tcpdump或者wireshark等方式抓取到ipsec报文。打开后,过滤4500端口(ESP标准端口),可以看到如下所示封装后的报文。

                               
登录/注册后可看大图

此时报文会提示是 UDP Encapsulation of IPsec Packets。并告知 ESP SPI: 0xc0a7ebd8 (3232230360)。ipsec是双向加密,且使用了不同的key,所以反向也有ESP SPI: 0x0caa055e (212469086)。
二、获取esp配置
有了SPI,我们就可以在系统上查询相关配置了。
linux系统可以通过ip xfrm state命令获取到esp相应配置。
[root@5-326-sh-qq-dcpe yl]#  ip xfrm statesrc 172.16.23.34 dst 124.64.17.33  proto esp spi 0x0caa055e reqid 55 mode tunnel  replay-window 0 flag af-unspec  auth-trunc hmac(sha256) 0x795cf1a66058a9b7e3004a89417699b815676c0e28d450b4d322b52a3fcfc85b 128  enc cbc(aes) 0x6580c3bc833a509132b3e2fb32af88fac3cc25984ee2300a32072f7ec0c3a87a  encap type espinudp sport 4500 dport 19765 addr 0.0.0.0src 124.64.17.33 dst 172.16.23.34  proto esp spi 0xc0a7ebd8 reqid 55 mode tunnel  replay-window 0 flag af-unspec  auth-trunc hmac(sha256) 0x0448794e814a9250e0e8f6e822b889fe4702d4455b915b5665339f93d59122c5 128  enc cbc(aes) 0x3fe4c7cf0a73240e02751e1304da3558e8754d633390a11126960eb60477f5e8  encap type espinudp sport 19765 dport 4500 addr 0.0.0.0
通过配置可知
三、wireshark上配置esp
wireshark界面操作如下:
1. "Encapsulating Security Payload"右键–>“协议首选项”–>“ESP SAs …”

                               
登录/注册后可看大图
2. ESP SAs界面操作
在ESP SAs界面上点击"+",创建一个选项如下。

                               
登录/注册后可看大图

这里的SrcIP和DstIP自然是wireshark里显示的 192.168.43.102和 49.235.117.117。
  • SPI:0xc0a7ebd8
  • Encryption加密方式: AES-CBC[RFC3602]
  • 加密key:0x6580c3bc833a509132b3e2fb32af88fac3cc25984ee2300a32072f7ec0c3a87a
  • Authentication:HMAC-SHA-256-128[RFC4868]
  • Authentication Key:0x795cf1a66058a9b7e3004a89417699b815676c0e28d450b4d322b52a3fcfc85b
同样步骤配置 49.235.117.117–>192.168.43.102 方向的SA。
配置完毕后如下图:


                               
登录/注册后可看大图

3. 解密后的报文
一般来说,这回就可以看到解密后的报文了。
部分wireshark需要显式打开 "Attempt to detect/decode encrypted ESP payloads"选项。

                               
登录/注册后可看大图

然后就可以看到解密后的报文内容,进行相应的查看分析了。


                               
登录/注册后可看大图


以上就是今日份的内容,更多的问题 大家可以在评论区留言讨论哦!超感谢小伙伴们的支持!如果你现在是在校大学生,对未来迷茫,如果你是初入职场的小白,对职业没有规划,如果你目前从事网工但是不知道如何提升,都欢迎你们加小老虎微信,小老虎可以拉你进群一起学习,讨论,拒绝焦虑!



最后
太阁老师的个人微信
添加太阁老师个人微信领取:太阁免费视频资料、NA综合实验配置文件拓扑图及模拟器、太阁独家实验手册、网工必读书籍等   


                               
登录/注册后可看大图

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-1-31 09:20 , Processed in 0.055366 second(s), 10 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表