我收集了SSL客户端和服务器之间的简短交换(确切地说是openssl的s_client和s_server),并希望使用tshark查看pcap文件的ssl部分.我不需要解密加密部分,但至少想知道未加密字段中的值.

将文件从服务器复制到我的桌面时,我可以使用Wireshark打开pcap文件并默认查看字段：

另一方面,tshark -r tls_dump.pcap仅显示数据包的TCP部分.例如,对于相同的数据包：

4 0.000069237    127.0.0.1 → 127.0.0.1    TCP 373 54312 → 44330 [PSH,ACK] Seq=1 Ack=1 Win=43776 Len=307 ...

我尝试使用tcpdump -U -i lo’端口44330′-w tls_dump.pcap和tshark -nn -i lo -s 0 -w tls_dump.pcap端口44330(如here)收集数据包,但在尝试查看时数据包的结果是一样的.

tshark选项我试过：

> -2无效
> -2R“ssl”什么都没有显示
> -Y“ssl”什么都没显示
> -o“ssl.desegment_ssl_records：TRUE”-o“ssl.desegment_ssl_application_data：TRUE”无效
> -T json仅显示原始未解释的TCP有效负载数据
> -V仅显示原始未解释的TCP有效负载数据
> –print没有效果
> –enable-protocol“ssl”无效
> –enable-heuristic“ssl”给了我一个没有这样的协议ssl,无法启用错误

如何使用tshark输出SSL数据包的SSL数据包详细信息？

tshark -r tls_dump.pcap -d tcp.port==44330,ssl

tshark -r tls_dump.pcap -d tcp.port==44330,ssl -2R "ssl"

tshark -r tls_dump.pcap -d tcp.port==44330,ssl -2R "ssl" -T json