ssldump 项目教程

ssldump 项目教程

ssldump ssldump - (de-facto repository gathering patches around the cyberspace) 项目地址: https://gitcode.com/gh_mirrors/ss/ssldump

1. 项目介绍

ssldump 是一个 SSLv3/TLS 网络协议分析器。它能够识别网络接口上的 TCP 连接，并尝试将这些连接解释为 SSLv3/TLS 流量。当它识别出 SSLv3/TLS 流量时，会将其记录解码并以文本形式显示在标准输出上。如果提供了适当的密钥材料，它还可以解密连接并显示应用程序数据流量。此外，ssldump 还支持 JSON 输出选项，支持 JA3 和 IPv6。

2. 项目快速启动

安装依赖

在 Debian & Ubuntu 上安装依赖（以 root 用户执行）：

apt install build-essential git cmake ninja-build libssl-dev libpcap-dev libnet1-dev libjson-c-dev

在 Fedora, CentOS, RHEL & Rocky 上安装依赖（以 root 用户执行）：

dnf install git cmake ninja-build gcc openssl-devel libpcap-devel libnet-devel json-c-devel

在 OpenBSD 上安装依赖（以 root 用户执行）：

pkg_add git cmake ninja json-c libnet

在 FreeBSD 上安装依赖（以 root 用户执行）：

pkg install git cmake ninja json-c libnet

在 MacOS 上安装依赖（以 root 用户执行）：

brew install cmake ninja openssl@3 libpcap libnet json-c

编译与安装

克隆项目仓库：

git clone https://github.com/adulau/ssldump.git
cd ssldump

编译并安装：

cmake -G Ninja -B build
ninja -C build
./build/ssldump -v

（可选，以 root 用户执行）安装：

ninja -C build install

3. 应用案例和最佳实践

案例1：捕获并分析 SSL/TLS 流量

使用 ssldump 捕获并分析所有接口上的 SSL/TLS 流量，并将结果以 JSON 格式输出，包括 JA3 哈希值：

./ssldump -j -ANH -n -i any | jq

案例2：查询 JA3 哈希值

从捕获的 pcap 文件中提取 JA3 哈希值，并查询 ja3er.com 服务以获取已知的 JA3 哈希值：

./ssldump -r yourcapture.pcap -j | jq -r 'select(.ja3_fp != null) | .ja3_fp' | parallel 'curl -s -X GET https://ja3er.com/search/{} | jq'

4. 典型生态项目

D4-Project

ssldump 被用于 D4-Project，这是一个用于被动检测和侦察技术的项目，旨在发现、跟踪和归因于易受攻击的“设备”。更多信息可以参考 D4-Project。

crl-monitor

ssldump 还与 crl-monitor 项目相关联，该项目提供了额外的后端代码，用于监控和分析 SSL/TLS 流量。更多信息可以参考 crl-monitor。

ssldump ssldump - (de-facto repository gathering patches around the cyberspace) 项目地址: https://gitcode.com/gh_mirrors/ss/ssldump