wiresharkを使っていてESPのパケットを復号化したいマニアックな方向けの記事。
「wireshark esp 復号」って感じでググれば英語サイトかどこかに書いてあるけどすごく簡単にサクッと説明します。
ちなみにwirehsark2.6.0だとなぜか復号化できないので注意。公式Q&Aにそれっぽい質問投げている人がいたけど解決するかは分かりません。
復号化手順
①ESPで暗号化されているpcapをwiresharkで開く
②ツールバーから[編集]→[設定]
③設定画面が開いたら左枠の[protocols]→[ESP]
④右のチェックボックスはとりあえず全部チェック(よくわかりません。。動けばいいんです。プログラミングと一緒。) → edit押下
⑤ESP SAs画面にて下のほうにある+ボタンで追加したら項目に沿って記載する
注意
・ESPの場合[Encryption Key]と[]Authentication Key]は頭に0xをつけてください。
・当たり前ですがkeyがないと復号化できません。
・[Encryption]と[Authentication]は環境によって違うので合ったものを選択してください。
内緒
[Src IP]、[Dest IP]、[SPI]は[*]アスタリスクで多分いけます。慣れるまではちゃんと入力したほうがいいと思います。
⑥OK押下で閉じていきESPパケットが復号化されていれば成功
最後に
復号化できて満足するだけではなくIPsecを深堀りして調べていくと面白いですよ。
ネットワーク屋さんには必須のwiresharkですがもっと色んな機能があるので使いこなせると仕事も捗りますね。
私は通信キャリアでの経験があるのでよくwiresharkを使用してました。
SIPのシーケンス確認やRTPの遅延、ジッタ、ロスなど詳細まで見なければ仕事になりません。
RTPストリームで音声再生できるのって面白いですよね。
パケットロスがあればグラフでも波形が途切れてたり、音声を再生すると音が飛んでたり。
遅延が起きていれば音声再生するとすんごくスローで聞こえたり。
こういうのって日常では体験できない(しない)ので業務でも常に新鮮でしたし楽しかったです。
お客様の突然の依頼はあたふたしちゃって仕事にボロが出ちゃったりするんで勘弁ですけど。。
ただ、突然依頼されたときにうまく対応できるかどうかってすごく大事で
卒なくこなせばお客様からの評価も上がる。
冷静になれなかったら厳しい目で見られる。
エンジニアにとって一番嬉しいことって技術力を認められることだと思っているので
これからも頑張ります。
以上。
コメントを書く