7

出于调试原因,我有时希望捕获流量并对其进行分析。一种选择是配置 OpenSSL 或 boost::asio::ssl 以保持传输不变。我在 API 中找不到任何东西。

4

2 回答 2

8

如果您可以配置连接的两端,则可以使用空密码。当您创建您的boost::asio::ssl::stream配置时,仅使用不加密的密码。这可以通过传递封装的 OpenSSL 指针使用 OpenSSL API 来完成:

boost::asio::ssl::stream<boost::asio::ip::tcp::socket> sslSocket(io, ssl);
SSL_set_cipher_list(sslSocket.native_handle(), "eNULL");
SSL_set_options(sslSocket.native_handle(), SSL_OP_NO_COMPRESSION);

SSL_set_cipher_list()调用设置允许的密码,并"eNULL"匹配未加密的密码(请参阅OpenSSL 密码)。该SSL_set_options()调用关闭了与加密无关的压缩,但在没有压缩的情况下更容易查看线路上的流量。 SSL_OP_NO_COMPRESSION可能仅适用于 OpenSSL 0.9.9 或更高版本。如果您使用的是较早的 OpenSSL 版本,此页面提供了禁用压缩的解决方法。在连接的一侧禁用压缩就足够了。

eNULL默认情况下从不启用密码,因此您需要显式配置两端。如果只配置一端,则握手将失败。s_server您可以使用 OpenSSL命令设置一个简单的测试服务器,如下所示:

openssl s_server -accept 8443 -cert server.pem -key server.pem -cipher eNULL

添加-debug标志也会转储协议,如果您的客户端禁用了压缩,您应该能够看到纯文本。

这是一个概念验证客户端,它将与上述s_server命令对话(verify_none用于简单的模式,用于防止 MITM 攻击的升级模式):

#include <boost/asio.hpp>
#include <boost/asio/ssl.hpp>

int main() {
   boost::asio::io_service io;

   boost::asio::ssl::context ssl(io,boost::asio::ssl::context::sslv23);
   ssl.set_verify_mode(boost::asio::ssl::context::verify_none);

   boost::asio::ssl::stream<boost::asio::ip::tcp::socket> sslSocket(io, ssl);
   SSL_set_cipher_list(sslSocket.native_handle(), "eNULL");
   SSL_set_options(sslSocket.native_handle(), SSL_OP_NO_COMPRESSION);

   boost::asio::ip::tcp::resolver resolver(io);
   boost::asio::ip::tcp::resolver::query query("localhost", "8443");
   boost::asio::ip::tcp::resolver::iterator endpoint = resolver.resolve(query);
   boost::system::error_code error = boost::asio::error::host_not_found;
   while (error && endpoint != boost::asio::ip::tcp::resolver::iterator())
   {
      sslSocket.lowest_layer().close();
      sslSocket.lowest_layer().connect(*endpoint++, error);
   }

   sslSocket.handshake(boost::asio::ssl::stream_base::client);
   boost::asio::write(sslSocket, boost::asio::buffer("how now brown cow\n"));
   sslSocket.shutdown(error);

   return 0;
}
于 2013-05-08T23:12:12.910 回答
4

当使用 boost::asio::ssl::stream 作为套接字对象时,我不知道如何告诉 asio 关闭加密。但是,我之前使用过 Wireshark 来查看通过网络传入和传出的 SSL 数据。Wireshark 提供了添加用于解密数据的 RSA 密钥文件的功能,从而最终在窗口中显示原始数据。

要指定密钥文件,请调出 Wireshark 并选择 Edit / Preferences 以调出首选项对话框。在窗口左侧的底部,应该有协议。单击它以显示所有协议。接下来,选择 SSL。在窗口的右侧,您现在应该会看到一个 RSA 密钥列表 Edit... 按钮。单击该按钮以显示指定密钥文件的窗口。您需要拥有与您通话的每台服务器或客户端的密钥文件、I/P 地址和端口号。

可以从此链接下载 Wireshark 。

于 2013-05-07T23:40:55.540 回答