一、需要取证材料

1、通道的安全信息（前端页面F12的安全，导出数字证书）
2、通道的密码套件 （抓包）
3、通道的数字证书（抓包，加密证书和签名证书）
4、商密证书（国密浏览器、应用安全网关或者VPN网关）

二、抓包工具

Windows：Wireshark，Linux：tcpdump.

wireshark显示过滤器常用规则：
ip.addr==IP地址 && tls.handshake
_ws.col.protocol == "TLCP"

tcpdump常用过滤规则：
1、抓取所有网卡的所有协议并保存为mp.pcap。
tcpdump -i any -w /mp.pcap
2、抓取特定网卡的特定端口协议并保存为mp.pcap。
tcpdump -i 网卡名称 tcp port 443 -w /mp.pcap
3、直接终端输出基于TCP的TLCP协议，端口为443。
tcpdump -i any -nn -X -vvv \
'tcp port 443 and (tcp[((tcp[12] & 0xf0) >> 2)] = 0x16)'

本文由 li_ 创作，采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外，均为本站原创或翻译，转载前请务必署名。