IPSEC가 모든 것을 암호화하는 Windows 네트워크의 두 서버 간의 통신 문제를 해결하려고 합니다. 소스서버에 Wireshark를 설치하고 통신이 안되는 시점의 트래픽을 캡쳐했는데 몇 개의 ARP와 DNS 패킷 외에 캡쳐되는 것은 모두 ESP(Encapsultating Security Payload) 암호화 패킷이다.
중간자 캡처를 수행하는 경우 이 내용을 이해할 수 있지만 소스 컴퓨터에 있습니다. Wireshark가 (암호 해독이 완료된 후) 스택을 더 멀리 캡처하도록 지정하는 방법이 있습니까? 중요한 경우 소스 머신은 Hyper-V VM으로 실행되는 W2K8R2입니다.
답변1
ESP 트래픽을 직접 검사하고 분석하려면 Wireshark 버전을 libcrypt와 연결해야 합니다.자세한 내용은 여기.
답변2
내 질문에 대답하기 위해(또는 적어도 내 솔루션을 언급하기 위해) Netmon은 문제 없이 동일한 트래픽을 캡처하고 구문 분석할 수 있습니다. Netmon 캡처를 저장하고 Wireshark에서 열었는데 모든 것이 여전히 ESP 패킷으로 표시됩니다. 분명히 Wireshark는 패킷 암호화를 해제하는 것을 좋아하지 않습니다. 아마도 Netmon이 로컬 키를 사용하여 그렇게 할 수 있을까요? 어쨌든 정답은 Netmon을 사용하는 것이었습니다. 트래픽 분석에는 그다지 좋지 않지만 엔드포인트에서 캡처하면 ESP 패킷을 엽니다.
답변3
실제 인터페이스가 아닌 IPSec VPN 서비스에서 제공하는 가상 인터페이스에서 캡처하도록 Wireshark에 지시해야 할 수도 있습니다. 캡처->인터페이스로 이동하거나 캡처->옵션으로 이동하여 드롭다운에서 인터페이스를 선택합니다.
답변4
Wireshark에서 편집/기본 설정으로 이동하여 프로토콜 목록을 확장합니다. 목록에서 ESP를 찾아 주요 정보를 입력하세요.