IPSec中 ISAKMP & ESP 报文解密方法

已于 2024-06-12 11:46:52 修改
阅读量2.2k 收藏 7
点赞数 1
分类专栏: 网络协议 文章标签: wireshark ubuntu
于 2023-08-02 10:20:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_A_A_a___/article/details/132055177
版权

1. ESP报文解密

(1) IPSec对等体连接完毕后在服务器输入 sudo ip xfrm state 可以看到源地址到目的地址的SPI值,加密/认证算法、加密/认证密钥等。

在这里插入图片描述

(2) Wireshark点击ESP报文协议首选项 -》选择ESP字段-》点击ESP SAs -》 添加两条IPv4协议的解密规则,输入两个方向的SPI值,选择加密/认证算法,加密/认证密钥,点击OK即可。

在这里插入图片描述
在这里插入图片描述

2.ISAKMP报文解密

(1)ISAKMP报文加密密钥需要在服务器Strongwan的日志中查看,默认的存放在/var/log/syslog中,但不会显示加密密钥,需要手动设置日志路径,并把日志等级设置为4.
修改strongwan配置文件,/etc/strongwan.conf 内容如下:

charon {  
    load_modular = yes
	plugins {
		    include strongswan.d/charon/*.conf
		}
    filelog {
    charon {
        path = /var/log/charon.log
        # add a timestamp prefix
        time_format = %b %e %T
        # prepend connection name, simplifies grepping
        ike_name = yes
        # overwrite existing files
        append = no
        # increase default loglevel for all daemon subsystems
        default = 4
        # flush each line to disk
        flush_line = yes
    }
    stderr {
        # more detailed loglevel for a specific subsystem, overriding the
        # default loglevel.
        ike = 2
        knl = 3
    }
    }
}

default定义的是日志的级别,默认日志级别为:-1,0,1,2,3,4,-1是完全没有日志,
0只告诉你建立连接,连接关闭;
1只输出错误提示,
2会输出错误,警告和调试信息;
3会把连接传输的数据也打印;
4则会把密钥内容这些敏感数据也打印。

(2)如果在Ubuntu运行 sudo ipsec restart 后未生成 /var/log/charon.log 这个文件(我在运行时就遇到过),那么极有可能是apparmor配置导致日志文件无法读写,可以在 /var/log/syslog 中找到类似这种打印:

buntu kernel: [ 2250.553437] audit: type=1400 audit(1524560552.427:182): apparmor="DENIED" operation="mknod" profile="/usr/lib/ipsec/charon" name="/var/log/strongswan.log" pid=4557 comm="charon" requested_mask="c" denied_mask="c" fsuid=0 ouid=0

这是由于在Ubuntu中使用了apparmor配置,需要在相应配置文件中修改相应文件权限控制。
参考文章:Ubuntu由于apparmor配置导致日志文件无法读写
解决方法:

1. 修改apparmor配置
	sudo vim '/etc/apparmor.d/usr.lib.ipsec.charon'
	大括号中其他文件权限配置之后,添加(前面的内容为定义的log文件的路径,后面的是分配的权限),
		由于我在strongswan.conf中filelog的路径配置的为/var/log/charon.log,
		因此我配置的权限如下:
		/var/log/charon.*      rwk,
2. 重载apparmor
	sudo /etc/init.d/apparmor reload
3.重启strongswan(IPSec)
	sudo ipsec restart

(3)IPSec对等体连接建立完毕后,或者抓包时能看到ISAKMP交互的几个过程报文后,就可在日志文件中找到 encryption key 字段,复制其后面的16进制数据(F5-6C这一段)
在这里插入图片描述
(4)Wireshark在ISAKMP报文中复制Initiator SPI,并将其和 encryption key 配置到协议首选项中,点击OK即可。

在这里插入图片描述
在这里插入图片描述

天天的那个天啊
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
IPsec体系结构及ISAKMP协议实现流程
01-10
IPsec体系结构;ISAKMP协议框架的实现;IKE协议的实现
使用wireshark解密ipsec ISAKMP
shaohui973的专栏
10-09 1416
Ipsec首先要通过ikev2协议来协商自己后续协商所用的加解密key以及用户数据的esp包用的加解密包。ISAKMP就是加密过的ike-v2的加密包,有时候我们需要解密这个包来查看协商数据。如何来解密这样的包?点击apply后,对应的包就被解密了。
华为ISAKMP的介绍配置实例以及故障案例分析-(值得收藏学习)
最新发布
满地找牙的博客
07-03 886
ISAKMP(Internet Security Association and Key Management Protocol),即互联网安全关联和密钥管理协议,是IPsec(Internet Protocol Security)协议套件的一个核心组件
使用wireshark解析ipsec esp
shaohui973的专栏
10-09 2192
Ipsec esp包就是ipsec通过ike协议协商好后建立的通信隧道使用的加密包,该加密包里面就是用户的数据,比如通过的语音等。 那么如何将抓出来的esp包解析出来看呢? 获取相关的esp的key信息. 打开wireshark -> edit->preferences 找到protocol->esp 右边依次填入相关的信息: SA#1的格式为: protocol|source address| destination address|SPI Protocol为网络层协议
ISAKMP报文封装格式及解释
aaheguosong的博客
04-06 4424
ISAKMP报文封装格式及详解1.IP报文头新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.IP报文头 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器,
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9373
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
IPsecIKE与ISAKMP过程分析(主模式-消息1)
ryanzzzzz的博客
04-29 3959
IPsec协议族IKE(Internet Key Exchange)是一种基于ISAKMP的协议,它为建立IPSec安全通信隧道提供了一种无痕密钥交换的机制。简单来说,IKE就是ISAKMP的扩展,为ISAKMP提供了更加高效、灵活和安全的密钥协商机制。
5.3 IPSec之三----密钥管理
m0_56534254的博客
11-03 792
ISAKMP没有定义具体的密钥交换方法,可以适用于不同的密钥交换协议。主模式是艾莎ISA的身份保护模式,一般交换4-6个报文,实现三个任务。因特网密钥交换协议IKE是一个安全协商SA的协议。4、密钥管理--ISAKMP的交换类型。5、密钥管理--ISAKMP的交换阶段。3、密钥管理--ISAKMP包格式。8、IKE协议--第一阶段野蛮模式。9、IKE协议--第二阶段快速模式。7、IKE协议--第一阶段主模式。2、密钥管理--ISAKMP。6、密钥管理--IKE协议。1、密钥管理--IKE。
IPsec协议的ESP报文的装包与拆包过程
热门推荐
chenxz_的博客
12-23 1万+
一、IPsec简介 了解网络层相关知识应该就知道IP协议是不可靠的网络层协议,因此存在很多安全隐患。因此对IP协议进行安全加强的迫切需要催生了IPsecIPsec在网络层将IP报文进行处理之后再传输,增强了IP报文的安全性。准确来说,IPsec不是一个单独的协议,而是一组协议。 IPSec是IPv6的组成部分,也是IPv4的可选扩展协议,能保证IP报文的数据保密性(加密)、数据完整性度量...
ipsec ike v1 isakmpesp.pcap
12-08
ipsec ike v1 isakmpesp解密-抓包联系,请搭配说明文档使用
ISAKMP协议pcap数据包下载;ISAKMP协议报文解析
03-24
ISAKMP协议pcap数据包下载,支持抓包软件(如:wireshark)打开并学习ISAKMP协议报文解析。需要其他协议,请查看我发布的其他资源。
IPSecpluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如包含:主模式和野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
ipsec等协议分析
07-20
ipsec1.pdf和ipsec0.pdf可能详细介绍了IPSec的架构、工作流程、协议规范、实施方法、配置示例以及相关的安全考虑。文件可能涵盖了以下内容: 1. IPSec的基本概念和原理 2. AH和ESP的详细对比与应用场景 3. IKE协议...
wireshark专栏——解密加密报文
weixin_44081384的博客
09-13 6716
wireshark打开加密的报文,点击Edit选择Preferences,找到Protocal,选择SNMP协议,点击User table 点击Edit,填入对应的加密参数(设备SNMPv3配置),点击OK即可解密。备注:这些参数是SNMPv3读取mib节点时设置的参数。
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 8870
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1DH算法生成密钥、IKE安全提议的算法、IPSec安全提议算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
IPSec 传输模式下 ESP 报文的装包与拆包过程
我和facker五五开
11-11 1829
ESP和传输模式简介 ESP(Encapsulating Security Payloads),封装安全载荷协议,IPsec 所支持的两类协议的一种。该协议能够在数据的传输过程对数据进行完整性度量,来源认证以及加密,也可防止回放攻击。 ESP在传输模式时,不会生成新的IP头,而是采用原来的IP头,保护的也仅仅是真正传输的数据部分,而不是整个IP报文。处理的时候,原来的IP报文会先被
IPSec数据报文封装格式详解
ryanzzzzz的博客
04-25 4356
以下遵循GMT 0022-2014 IPSec VPN 技术规范。IPsec提供两种封装协议AH(鉴别头,Authentication Header)和ESP(封装安全载荷,Encapsulation Security Payload)。 AH可以提供无连接的完整性、数据源鉴别和抗重发攻击服务。因为AH不提供机密性服务,故AH不运行单独使用,应与ESP嵌套使用。ESP可以提供机密性、数据源鉴别、无连接的完整性、抗重放攻击服务和有限信息流量保护。
IPsecIKE与ISAKMP过程分析(快速模式-消息1)
ryanzzzzz的博客
05-01 1933
IKE在第一阶段(主模式)完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段(快速模式)的信息将由ISAKMP SA来保护,所以除ISAKMP头外的所有载荷都要加密。 在HDR之后,是Hash结构(HMAC)用来保证本消息的完整性和数据源身份鉴别。 HAHS = PRF(SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]),HMAC密钥为SKEYID_a,IDi和IDr为可选字段。
wirehshark解密IPSEC流量
05-31
要使用Wireshark解密IPSEC流量,需要进行以下步骤: 1. 确认Wireshark版本:只有Wireshark 2.6.5及以上版本的才支持IPSEC解密功能。 2. 获取IPSec密钥:需要获取IPSec VPN连接的预共享密钥或证书,这个需要从VPN管理者处获取。 3. 配置Wireshark:在Wireshark的“Edit”菜单下选择“Preferences”,然后选择“Protocols”下的“ESP”和“ISAKMP”,在“ESP”和“ISAKMP”选项卡输入相应的IPSec密钥。 4. 捕获IPSec流量:在Wireshark开始捕获IPSec流量。 5. 解密IPSec流量:在WiresharkIPSec流量,右键点击选择“Decode as”,选择“ESP”或“ISAKMP”,然后点击“Edit”按钮,在“ESP”或“ISAKMP”选项输入相应的IPSec密钥即可解密。 需要注意的是,IPSec解密功能只能解密使用预共享密钥或证书进行加密的IPSec流量,对于使用其他加密方式的IPSec流量无法解密
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值