想查看封装报文内容?教你用Wireshark查看IPsec加密报文!

最新推荐文章于 2024-07-19 16:18:30 发布
最新推荐文章于 2024-07-19 16:18:30 发布
阅读量2.1k 收藏 4
点赞数
文章标签: 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccie21820/article/details/126284154
版权
本文介绍了如何使用Wireshark查看IPsec ESP加密报文内容。首先,通过抓取和过滤ipsec报文,然后利用Linux的`ip xfrm state`命令获取ESP配置。接着,在Wireshark中配置ESP SAs,包括SPI、加密和认证密钥。最后,解密后的报文内容可以被正确解析和分析。
摘要由CSDN通过智能技术生成

IPsec 封装安全负载(IPsec ESP)报文,因为是加密封装报文,wireshark打开后无法查看封装内容。

有时候我们需要查看封装的报文内容,以定位一些问题。wireshark支持对ESP的解析,只是需要做一些相应配置。

一、抓取并打开ipsec报文

通过tcpdump或者wireshark等方式抓取到ipsec报文。打开后,过滤4500端口(ESP标准端口),可以看到如下所示封装后的报文。


此时报文会提示是 UDP Encapsulation of IPsec Packets。并告知 ESP SPI: 0xc0a7ebd8 (3232230360)。ipsec是双向加密,且使用了不同的key,所以反向也有ESP SPI: 0x0caa055e (212469086)。

二、获取esp配置

有了SPI,我们就可以在系统上查询相关配置了。
linux系统可以通过ip xfrm state命令获取到esp相应配置。

[root@5-326-sh-qq-dcpe yl]#  ip xfrm state
src 172.16.23.34 dst 124.64.17.33
  proto esp spi 0x0caa055e reqid 55 mode tunnel
  replay-window 0 flag af-unspec
  auth-trunc hmac(sha256) 0x795cf1a66058a9b7e3004a89417699b815676c0e28d450b4d322b52a3fcfc85b 128
  enc cbc(aes) 0x6580c3bc833a509132b3e2
最低0.47元/天 解锁文章
6IE闫辉教你考HCIE
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【006】 Wireshark抓包内容:中文名为“.....“及如何查看真实的报文内容
专注【PostgreSQL源码学习&研究】
04-18 7469
1.本次项目中,进程服务是放到容器环境里,当webserver模块向存储模块发起一个请求的时候,发现存储响应的报文内容不正确。所谓“不正确”,即抓包看到的响应报文中,其所有的中文名都显示不出来,为:“name”:"…"等形式,而且后面该中文名后面的报文也给忽略掉了。但是我发出去的报文中,log日志打印,是没有问题的。如下: 而抓包看到的报文内容却是这样的,如下图所示: Wirshark抓包报文...
总部分部互相访问的数据安全应该怎样保障?IPsec完美解决
qq_44940837的博客
04-17 309
IPsec在总部分支里的运用
wireshark lua 插件 解析提取网络报文传输内容(文本,多媒体,等信息)
12-14
1. windows 下 安装 wiresshark (2.2.6测试没有问题)版本最好是最新的版本 老版本好像会报一个tshark错误 2. 安装好wiresshark后的目录(**/**/Wireshark)下创建一个 lua 文件夹。把root3.0放在当前文件夹下 并解压 3. 在wiresshark目录下 init.lua 文件目录添加上一行 dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 4. 最好用tshark 命令读包。 tshark.exe -q -r 报文路径 注意: windows 下最好是不用的时候把 init.lua dofile(DATA_DIR.."lua/robotV3_0/robot.lua") 这行注释掉。要不然会产生很多文件拖延文件打开速度 {liunx 下也可以 不过要加上一个环境变量。否则会报找不到文件。具体的太久了忘记了!!}
Wireshark观察IPsec协议的通信过程
最新发布
布丁椰奶冻的博客
07-19 519
一、配置本地安全策略 二、启动Wireshark,设置过滤器,开始捕获 1. 主模式 2. Quick mode 三、心得体会 1. 碰到的问题和解决办法 2. 心得
IPsec加密报文wireshark查看方法
04-19 1万+
IPsec加密报文wireshark查看方法一、抓取并打开ipsec报文二、获取esp配置三、wireshark上配置esp1. "Encapsulating Security Payload"右键-->"协议首选项"-->"ESP SAs ..."2. ESP SAs界面操作3. 解密后的报文 IPsec 封装安全负载(IPsec ESP)报文,因为是加密封装报文wireshark打开后无法查看封装内容。 有时候我们需要查看封装报文内容,以定位一些问题。wireshark支持对ESP的
wireshark查看报文详细内容
qq_42478602的博客
02-18 1万+
wireshark查看报文详细内容
wireshark抓包:报文信息
qq_43148894的博客
09-01 8895
使用wires hark抓包 色彩规则: 黑色:报文错误(TCP解析错误、重传、乱序、丢包、重复响应) Bad TCP:TCP解析错误,通常为重传、乱序、丢包、重复响应 HSRP State Change:HSRP(热备份协议),表示状态非active和standby Spanning Tree Topology Change:生成树协议状态为0x80,拓扑发生变化 OSPF State Change:OSPF的msg类型不是hello ICMP errors:ICMP协议错误,协议type字段值错误
如何用Wireshark(Ethereal)查看HTTPS(SSL)消息里的加密内容
热门推荐
雕虫小技
04-30 4万+
本文根据个人经验介绍如何用Wireshark(Ethereal的新名字)去查看捕捉到的SSL(包括HTTPS)里被加密的消息。大家在使用Tomcat等服务器配置成HTTPS(基于TLS/SSL)后,调试时往往需要用Wireshark去抓包,并希望查看其中的HTTP消息。但是HTTPS的通讯是加密的,所以默认情况下你只能看到HTTPS在建立连接之初的交互证书和协商的几个消息而已,真正的业务数据(
IPsec封装问题详解
lingshengxiyou的博客
11-12 929
IPsec:(Internet Protocol Security),用来保护IP数据包,是一个协议包,里边包含诸多协议。安全领域IPsec,是重要的一课。ssl EZvpn L2TP等都有不同特点。这一章节,我们一起研究下IPsec
IPSec传输模式下ESP报文的装包与拆包过程
Runner1st的博客
12-23 1192
先上图 装包过程 在原IP报文中的payload(可能承载了是TCP报文)后面添加ESP trailer信息。 ESP trailer包括三部分:Padding, Pad length, Next header。由于所选加密算法可能是块加密,所以可能需要进行填充(Padding);附上的填充长度(Pad length)方便在解包时移除填充的数据;Next Head用来表明原IP报文的pa...
查看报文工具(抓包工具)smsniff
05-05
比较方便的查看本机发送出去的每一次请求的报文内容和返回结果,一般用于调试webservice,自己用过的东西
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng
墨鱼菜鸡
07-11 4950
最好的 MitM 中间人攻击开源框架清单:https://github.com/Chan9390/Awesome-MitM 哔哩哔哩:https://search.bilibili.com/all?keyword=wireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软...
使用Wireshark软件抓包(分析报文
weixin_43399489的博客
09-08 2951
报文分析软件的工作原理主要是。网卡有四种模式:广播、组播、直接、混杂。网卡通常的缺省工作模式是。
wireshark 过滤条件查看报文
陌上花开缓缓归以的博客
02-24 434
报文长度过滤:udp.length > NUM(tcp.len > NUM)3, not 或者!
wireshark查看国密局网站使用的密码协议 算法套件和证书
m0_57752092的博客
07-28 1943
以国密局网站为例,抓取报文查看网站使用的密码协议 算法套件和证书
wireshark tcp报文深度解析
陌上花开缓缓归以的博客
05-10 998
/保留6位中的4位首部长度。//保留6位中的4位首部长度。//16位TCP检验和。//保留6位中的2位。//保留6位中的2位。
网络安全---ICMP报文分析】Wireshark教程----Wireshark 分析ICMP报文数据试验
m0_67844671的博客
09-29 2918
【超详细】Wireshark教程----超详细的Wireshark 分析ICMP报文数据,通过搭建试验环境,抓夹两个主机之间ICMP数据,剖析ICMP协议来通信是如何实现的。主要内容包括试验环境搭建,更改网路配置,通过子网掩码判断目标主机是否跟自己处于一个网段,ARP广播等等
使用wireshark查看IPSEC加密流量
weixin_34342578的博客
06-06 3848
IPSEC 的流量是加密的,在调试过程中即使抓到了数据包,也无法看到数据内容。而wireshark通过导入密钥,配置好加密算法,可以解密报文,让你看到被加密的数据。wireshark官网ESP解密介绍的链接:https://wiki.wireshark.org/ESP_Preferences动手实践一把:解密需要材料:1、 加密和验证算法,如3des-md52、 inboun...
wireshark加密报文查看
03-27
由于加密报文已被加密,因此Wireshark无法直接查看内容。但是,可以尝试通过以下方法来查看加密报文的信息: 1. 查看TLS握手过程:在Wireshark中,可以对TLS握手过程进行深入分析,以了解加密报文的类型、密钥交换方式、加密算法等信息。选择TLS握手消息,可以查看其中的密钥交换信息和加密套件。 2. 查看SSL证书信息:如果加密报文是SSL加密的,则可以查看SSL证书的详细信息,以了解加密证书的颁发机构、有效期、公钥等信息。选择SSL证书消息,可以查看其中的证书信息。 3. 尝试解密报文:如果拥有加密报文的私钥,可以尝试使用Wireshark的解密功能来解密报文。在Wireshark中,可以配置TLS/SSL解密选项,将私钥和证书导入Wireshark,以便解密加密报文。 需要注意的是,以上方法仅适用于特定情况下的加密报文查看,且需要一定的技术能力和权限。在大多数情况下,加密报文仍然是无法直接查看的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值