0
私はpcapファイルを解析するためにcでlibpcapライブラリを使用しています。私は、TCPクライアントのhelloを抽出し、指定されたサーバと一致するようにサーバ名の表示をチェックしようとしています。それをしてもいいですか?はいの場合、誰かが私にどのように教えてくれますか?ありがとうlibpcapでHelloクライアントとSNIを抽出する
A
答えて
1
PcapPlusPlusライブラリを使用してこれを行うことができるC++コードスニペットがあります。このコードは、あなたがpcapファイルからパケットを読み込んでいることを前提としていますが、ライブインターフェイスから読み取ったときにも同じことができます:
// create a pcap file reader instance
pcpp::IFileReaderDevice* reader = pcpp::IFileReaderDevice::getReader("my_ssl_packets.pcap");
// open the reader for reading
reader->open();
// read the first (and only) packet from the file
pcpp::RawPacket rawPacket;
while (reader->getNextPacket(rawPacket) != NULL)
{
// parse the packet
pcpp::Packet sslParsedPacket(&rawPacket);
// check if this is a SSL packet
if (!sslParsedPacket.isPacketOfType(pcpp::SSL))
continue;
// check if this is a SSL handshake packet
pcpp::SSLHandshakeLayer* sslHandshakeLayer = sslPacket->getLayerOfType<pcpp::SSLHandshakeLayer>();
if (sslHandshakeLayer == NULL)
continue;
// check if this is a client-hello message
pcpp::SSLClientHelloMessage* clientHelloMessage = sslHandshakeLayer->getHandshakeMessageOfType<pcpp::SSLClientHelloMessage>();
if (clientHelloMessage == NULL)
continue;
// extract the Server Name Indication from the client-hello message
pcpp::SSLServerNameIndicationExtension* sniExtension = clientHelloMessage->getExtensionOfType<pcpp::SSLServerNameIndicationExtension>();
if (sniExtension != NULL)
printf("Server Name Indication is: %s\n", sniExtension->getHostName().c_str());
}
// close the file reader
reader->close();
delete reader;
関連する問題
- 1. TLSクライアントからのSNI(Server Name Indication)の抽出hello
- 2. クライアントとサーバ間のLinuxスニファLibpcap
- 3. 新しいJava 9クライアントでTLS SNIを有効にする
- 4. SSL SNIサポートを検出する
- 5. 新しいクライアントごとにGStreamerとURIクエリパラメータを抽出する
- 6. Java 8を使用するSNIクライアント側の謎
- 7. ゼロコピーメカニズムとlibpcap
- 8. iptablesとlibpcap
- 9. IIS 8.5でのSNIとSSL
- 10. SQLクライアント経由でFileMaker Pro 5.5からデータを抽出する
- 11. libpcapドロップパケット検出がサポートされていますか? [Centos 6.6/3.10 kernel/libpcap 1.6.2]
- 12. スクエアAPI:ヒストリカルトランザクションのクライアント詳細の抽出
- 13. サービスファブリックでSNIを設定するには
- 14. NGINXでCNAMEとSSLを使用するSNIと仮想ホスト
- 15. libpcapでパケットを廃棄する
- 16. Scalaでlibpcapを使用する
- 17. libpcapでパケットレートを測定することはできますか?
- 18. JAX-RSクライアントからObjectMapperを抽出する方法は?
- 19. ファイル名からクライアント番号を抽出する方法
- 20. LogstashとXpathでデータを抽出する
- 21. クライアントHello HTTPS(okHTTP)に拡張機能を追加する方法
- 22. 問題のlibpcap
- 23. libpcap for Python2.6(Windows)
- 24. イベント抽出とN進関係抽出
- 25. Dockerはクライアントからhello-worldを実行できません
- 26. Jmeter SNIの問題
- 27. SNIダイナミックな証明
- 28. [SailsJS/sails-mongo] SNI名
- 29. libpcapのパケット損失を計算する
- 30. 二重引用符を使用すると、{$ hello}、$ {hello}&$ helloの違いは何ですか?
libpcapはネットワークデータのみを取得します。ここから、IPとTCPプロトコルを解析してTLSレイヤーに到達する必要があります。このレイヤーを理解して、SNI拡張子を含むClientHelloを抽出する必要があります。したがって、libpcapを使用するだけで、あなたはこの問題を広すぎるほどの5%にしかなりません。 –
私はTCPとIPプロトコルを解析しましたが、このパケットがClientHelloであることをどのように知っていますか? – sarah
あなたはIPとTCPを扱っていることをどのように知っていましたか?おそらく、これらのプロトコルを理解し、それに応じて情報を抽出することであろう。また、ClientHelloを入手するためにTLSで行う必要があります。ClientHelloのフォーマットについても説明しているTLS 1.2の仕様については、[RFC 5246](https://tools.ietf.org/html/rfc5246)を参照してください。 –