こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

締切り済みの質問

WiresharkでSSL通信を復号(DH形式)

ルータの通信を眺めていたら、static.xlhost.comというところとSSL通信しているのを見つけて、ネットで検索を掛けてみたところ怪しいなと思い(spamの温床のようですが…)、ルータ側でパケットをキャプチャしてみたのですが…通信内容を復号できません。

http://d.hatena.ne.jp/ozuma/20140413/1397397632

一度ここのサイトを見ながらIP address(static.xlhost.comのアドレス),Port(443),Protocol(https),KeyFile(なし),Password(なし)というところまではこれたのですが、キャプチャしたパケットの内ClientKeyExchangeの欄を開いてみたらRSAではなくEC Diffie-Hellman Client paramsと表示されており、ここからどうやって復号まで漕ぎ着ければいいのか分かりません(pubkeyは65個の数字+記号で表示されています)。

また、KeyFileの見つけ方も今調べているところですが不明なままです。どなたか詳しい方、復号までの方法を教えていただければ助かります。よろしくお願いします。

投稿日時 - 2015-03-27 21:07:31

QNo.8944091

困ってます

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.3

質問で参照している記事は、「サーバがHeartbleedという脆弱性を持っていて、この脆弱性を利用した攻撃を行った結果、サーバの秘密鍵が入手できたと仮定して、その秘密鍵をWiresharkのKeyFileにセットすればSSL通信の内容がこういう風に解読できるよね」ということを説明しているので、サーバ側が自サイトにあって、あなた自身が秘密鍵を管理しているのでない限り、この方法で解読することは不可能です(相手サイトに対して実際にHertbleed脆弱性を利用した攻撃を行った場合、あなたが不正アクセス禁止法違反に問われる可能性があります)。

DHの場合は、秘密鍵がわかっていてもこの方法は使えないとも書いてありますが、それ以前の問題ですよね。

不審サイトへの定期アクセスは、マルウェアがC&Cサーバに対して行っているものであることが想定されるので、自サイト内の通信元を至急隔離して検査すべきと思います。

投稿日時 - 2015-03-28 03:29:28

お礼

回答ありがとうございます。とりあえずFWの機能で国ごとブロックしました。これからも様子見していこうと思います。

投稿日時 - 2016-06-13 14:12:37

あああ、そうだわwashi001さん

これに返事が出来る=SSLを破れるつうことだし。

投稿日時 - 2015-03-27 21:57:57

お礼

ok_kamokamoさん、それはもしかして…Youtubeで検索を掛ければそれらしい情報が出てくるということ…ではないですよね。なにはともあれwashi001さんの対策で様子見してみます。ありがとうございます。

投稿日時 - 2015-03-27 22:38:10

ANo.1

要らんつっこみかもしれませんが。

Port443の通信がパケットキャプチャで復号できてしまったら、暗号化の意味が
ないのでは?
絶対無理とは言いませんが、途方も無い労力がかかるように思います。

それよりも、怪しいと感じていらっしゃるのであれば、URLフィルタなり、IPアドレス
でフィルタするなり、通信を遮断する方がよいと思います。
もし遮断して、ユーザーからクレームがあがれば、そのときに何のサイトなのか調査する
のが手順かな?と思います。

投稿日時 - 2015-03-27 21:48:18

お礼

washi001さん、回答ありがとうございます。

サイトを見てみた感じあっさりいけるのかな?と思っていたのですが、そうではないようですね…。ちなみにルータは自宅のもので、ソフトウェアルータを使用しています。とりあえずIPアドレスで遮断して様子見してみます。HeartBeatという名前と簡単な説明を読んで、もしやできるのか?と思ってましたが、ローカルでApache立てて両方の情報を取れてないと出来ない、みたいな感じなのですね。勉強になりましたm(_ _)m

投稿日時 - 2015-03-27 22:33:57

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-