3

我使用 SIP 服务器通过端口 5070 侦听 SIP/TLS 请求。我正在尝试跟踪和分析为什么我的拨号器没有通过 Wireshark 在网络上注册。

我已经在 Wireshark 的首选项中编辑了所有需要的字段,添加了服务器的私钥,编辑了 SIP TCP 和 TLS 端口(它们是 5070 而不是 5061),我现在清楚地得到的是 TLS 客户端 Hello 和服务器响应,但没有 SIP 出现,只有 TCP SYN 和 ACK。

我已经搜索并尝试了所有可能的方法,但无济于事 - 任何帮助将不胜感激。

提前致谢。

//M

4

1 回答 1

3

TLS 会话是否使用具有完美前向保密性的密码套件?如果是这种情况,即使使用服务器私钥,Wireshark 也无法解密 TLS。检查服务器在 ServerHello 消息中选择的密码套件中的子字符串EDHor EECDH,在这种情况下使用完美前向保密。您必须在客户端或服务器中配置密码套件以不使用任何EDHEECDH套件。对于 OpenSSL,请使用ALL:-EDH:-EECDH或类似的密码套件设置。

通过完美的前向保密,客户端和服务器将使用 Diffie-Hellman (DH) 就共享会话密钥达成一致;服务器私钥仅用于签名。如果没有完美的前向保密,共享密钥由客户端使用服务器的公钥加密,因此可以由服务器(和 Wireshark)使用服务器的私钥(假设服务器使用 RSA 密钥)解密。

于 2012-04-15T15:04:59.950 回答