Як я можу відфільтрувати https під час моніторингу трафіку за допомогою Wireshark?


36

Я хочу спостерігати за протоколом HTTP. Як я можу використовувати для цього фільтр Wireshark?


Для тих , хто хоче бачити розшифровані дані без доступу до сервера, йти людина в середині: stackoverflow.com/questions/2136599 / ...
Чіро Сантіллі新疆改造中心法轮功六四事件

Відповіді:


27

Як каже 3molo. Якщо ви перехоплюєте трафік, тоді port 443вам потрібен фільтр. Якщо у вас є приватний ключ сайту, ви також можете розшифрувати цей SSL. (потрібна версія SSL / збірка Wireshark.)

Дивіться http://wiki.wireshark.org/SSL


3
Існує різниця між фільтруванням та моніторингом. WireShark - це інструмент моніторингу. Фільтрування повинно проводитися за допомогою брандмауера або подібного.
txwikinger

8
@TXwik Ви фільтруєте те, що стежите за допомогою WireShark ....
Holocryptic

1
Питання могло бути зрозумілішим;)
txwikinger

34

tcp.port == 443 у вікні фільтра (mac)


Якщо ви збираєтесь розмістити відповідь, це дійсно має бути той, який істотно відрізняється від інших відповідей на сторінці. Говорити те саме, що вже сказано в двох інших відповідях, не є особливо корисним.
Марк Хендерсон

9
Він істотно відрізняється. Він додав префікс tcp, який мені справді допоміг, не спробувавши попередніх відповідей.
користувач53619


4

Відфільтруйте, tcp.port==443а потім використовуйте (Pre) -Master-Secret, отриманий від веб-браузера, для розшифрування трафіку.

Кілька корисних посилань:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Починаючи з редакції SVN 36876, також можна розшифрувати трафік, коли ви не володієте ключем сервера, але маєте доступ до секрету попереднього майстра ... Коротше кажучи, має бути можливість заносувати секрет попереднього майстра у файл з поточною версією Firefox, Chromium або Chrome шляхом встановлення змінної середовища (SSLKEYLOGFILE =) Поточні версії QT (і 4, і 5) дозволяють також експортувати секрет попереднього майстра, але на фіксований шлях / tmp / qt -ssl-ключі, і для них потрібен варіант часу компіляції: Для програм Java попередні майстер-секрети можуть бути вилучені з журналу налагодження SSL або виведені безпосередньо у форматі, який вимагає Wireshark за допомогою цього агента. " (jSSLKeyLog)


все-таки зробити це на iPhone, встановленому на mac? Я можу перевірити http-трафік, але не https
chovy

Я б використовував проксі для цього @chovy. Це альтернатива? Спробуйте BURP і за цим посиланням: support.portswigger.net/customer/portal/articles/…
Огглас

чи є якась річ, як відрижка, але з відкритим кодом?
chovy

Я думаю, що є, але я ще не спробував жодного. Спробуйте Googling "перехоплювати проксі з відкритим кодом" та подивіться, що ви знайдете. Однак BURP добре відомий у спільноті безпеки і не є чимось тінистим (незважаючи на назву), тому я, ймовірно, пішов би з BURP. @chovy
Огглас

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.