- 締切済み
WiresharkでSSL通信を復号(DH形式)
ルータの通信を眺めていたら、static.xlhost.comというところとSSL通信しているのを見つけて、ネットで検索を掛けてみたところ怪しいなと思い(spamの温床のようですが…)、ルータ側でパケットをキャプチャしてみたのですが…通信内容を復号できません。 http://d.hatena.ne.jp/ozuma/20140413/1397397632 一度ここのサイトを見ながらIP address(static.xlhost.comのアドレス),Port(443),Protocol(https),KeyFile(なし),Password(なし)というところまではこれたのですが、キャプチャしたパケットの内ClientKeyExchangeの欄を開いてみたらRSAではなくEC Diffie-Hellman Client paramsと表示されており、ここからどうやって復号まで漕ぎ着ければいいのか分かりません(pubkeyは65個の数字+記号で表示されています)。 また、KeyFileの見つけ方も今調べているところですが不明なままです。どなたか詳しい方、復号までの方法を教えていただければ助かります。よろしくお願いします。
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- drum_KT
- ベストアンサー率43% (1108/2554)
質問で参照している記事は、「サーバがHeartbleedという脆弱性を持っていて、この脆弱性を利用した攻撃を行った結果、サーバの秘密鍵が入手できたと仮定して、その秘密鍵をWiresharkのKeyFileにセットすればSSL通信の内容がこういう風に解読できるよね」ということを説明しているので、サーバ側が自サイトにあって、あなた自身が秘密鍵を管理しているのでない限り、この方法で解読することは不可能です(相手サイトに対して実際にHertbleed脆弱性を利用した攻撃を行った場合、あなたが不正アクセス禁止法違反に問われる可能性があります)。 DHの場合は、秘密鍵がわかっていてもこの方法は使えないとも書いてありますが、それ以前の問題ですよね。 不審サイトへの定期アクセスは、マルウェアがC&Cサーバに対して行っているものであることが想定されるので、自サイト内の通信元を至急隔離して検査すべきと思います。
あああ、そうだわwashi001さん これに返事が出来る=SSLを破れるつうことだし。
お礼
ok_kamokamoさん、それはもしかして…Youtubeで検索を掛ければそれらしい情報が出てくるということ…ではないですよね。なにはともあれwashi001さんの対策で様子見してみます。ありがとうございます。
- washi001
- ベストアンサー率41% (157/379)
要らんつっこみかもしれませんが。 Port443の通信がパケットキャプチャで復号できてしまったら、暗号化の意味が ないのでは? 絶対無理とは言いませんが、途方も無い労力がかかるように思います。 それよりも、怪しいと感じていらっしゃるのであれば、URLフィルタなり、IPアドレス でフィルタするなり、通信を遮断する方がよいと思います。 もし遮断して、ユーザーからクレームがあがれば、そのときに何のサイトなのか調査する のが手順かな?と思います。
お礼
washi001さん、回答ありがとうございます。 サイトを見てみた感じあっさりいけるのかな?と思っていたのですが、そうではないようですね…。ちなみにルータは自宅のもので、ソフトウェアルータを使用しています。とりあえずIPアドレスで遮断して様子見してみます。HeartBeatという名前と簡単な説明を読んで、もしやできるのか?と思ってましたが、ローカルでApache立てて両方の情報を取れてないと出来ない、みたいな感じなのですね。勉強になりましたm(_ _)m
お礼
回答ありがとうございます。とりあえずFWの機能で国ごとブロックしました。これからも様子見していこうと思います。