我有一个 PCAP 文件,其中包含 SSL 加密的 HTTP 流量和来自相关 Web 服务器的私钥。我想要一个包含解密的 HTTP 流量的 PCAP 文件,以便将其输入到其他工具中。我已经能够tshark解密并显示 HTTP 协议;但是,当我将其结果输出到数据包转储文件时,该文件仍然包含 SSL 加密的流量。我可以使用tshark解密的流量重建并写入 PCAP 吗?
我目前正在使用以下命令:
./tshark \
-o ssl.desegment_ssl_records:TRUE \
-o ssl.desegment_ssl_application_data:TRUE \
-o ssl.keys_list:"127.0.0.1","443","http","../snakeoil/rsasnakeoil2.key" \
-V -2 -R http \
-r ../snakeoil/rsasnakeoil2.cap \
-w out.pca