尝试了用SSLKEYLOGFILE导出https流量client端的key,并在wireshark中解密,导出pcap,suricata依旧无法检测。
以下是过程:
1. 配置密钥存放地址环境变量
mkdir ~/tls && touch ~/tls/sslkeylog.log
#zsh
echo "" >> ~/.zshrc
echo "export SSLKEYLOGFILE=~/tls/sslkeylog.log" >> ~/.zshrc && source ~/.zshrc
#bash
echo "" >> ~/.bashrc
echo "export SSLKEYLOGFILE=~/tls/sslkeylog.log" >> ~/.bashrc && source ~/.bashrc2. 配置wireshark中 解密密钥的路径
3 curl 一下https网站, wireshark就解密了。
可以看到
使用wireshark是可以看到https中的http明文的。
但是suricata无法检测http中的任何关键字。
到网上找到一个PDF,确信了suricata是无法检测tls加密流量中的明文的:
PDF最后提到要把suricata放到ssl 负载均衡后面。
就是不知道天眼,御界是怎么导入证书检测的,难道用私钥充当了代理服务器解密的角色?