Scapy嗅探SSL

Question

当我在替罪羊中嗅探时，我如何识别SSL数据包？

我知道SSL数据包正在通过端口443，我是否可以假设所有通过端口443的TCP数据包都是SSL数据包？

Answer 1

其他人则将SSL/TLS作为一个层添加到Scapy中。

tls

按照自述文件安装。一旦安装完毕，您应该能够使用它来检测带有haslayer函数的数据包中的SSL/TLS内容。

Answer 2

您既不能假设使用端口443的所有通信量都是SSL，也不能假设SSL只能在端口443上找到。要检测SSL通信量，您可以尝试查看第一个字节，即以\x16\x03开头的数据流，然后是[\x00-\x03]，可能是SSL3.0的ClientHello。TLS 1.2.当然，它也可能是其他协议，它只使用相同的初始字节序列。