Как я могу отфильтровать https при мониторинге трафика с помощью Wireshark?

36

Я хочу соблюдать протокол HTTP. Как я могу использовать фильтр Wireshark для этого?

Amirreza
источник
Для тех, кто хочет видеть расшифрованные данные без доступа к серверу, идите по
центру

Ответы:

27

Как говорит 3моло. Если вы перехватываете трафик, то port 443вам нужен фильтр. Если у вас есть закрытый ключ сайта, вы также можете расшифровать этот SSL. (требуется версия с поддержкой SSL / сборка Wireshark.)

Смотрите http://wiki.wireshark.org/SSL

SmallClanger
источник
3
Существует разница между фильтрацией и мониторингом. WireShark - это инструмент мониторинга. Фильтрация должна выполняться с помощью брандмауэра или чего-то подобного.
txwikinger
8
@TXwik Вы фильтруете то, что вы контролируете, с помощью WireShark ....
Holocryptic
1
Вопрос может быть понятнее;)
txwikinger
34

tcp.port == 443 в окне фильтра (mac)

cloudsurfin
источник
Если вы собираетесь опубликовать ответ, он действительно должен существенно отличаться от других ответов на странице. Сказать то же самое, что уже говорят два других ответа, не особенно полезно.
Марк Хендерсон
9
Это существенно отличается. Он добавил префикс tcp, который мне очень помог, после неудачных попыток ответить на предыдущие вопросы.
user53619
4

Фильтруйте, tcp.port==443а затем используйте (Pre) -Master-Secret, полученный из веб-браузера, для расшифровки трафика.

Некоторые полезные ссылки:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

«Начиная с версии SVN 36876, также возможно расшифровать трафик, когда вы не обладаете ключом сервера, но имеете доступ к секретному ключу перед мастером ... Короче говоря, должна быть возможность записать секретный файл перед мастером в файл с текущей версией Firefox, Chromium или Chrome путем установки переменной среды (SSLKEYLOGFILE =). Текущие версии QT (как 4, так и 5) также позволяют экспортировать секрет перед мастер-файлом, но по фиксированному пути / tmp / qt -ssl-keys и для них требуется опция времени компиляции: для программ Java предварительные главные секреты могут быть извлечены из журнала отладки SSL или выведены непосредственно в формате, необходимом Wireshark через этого агента. " (JSSLKeyLog)

Ogglas
источник
в любом случае, чтобы сделать это на iPhone, установленном на Mac? Я могу проверять http трафик, но не https
chovy
Я бы использовал прокси для этого @chovy. Это альтернатива? Попробуйте BURP и эту ссылку: support.portswigger.net/customer/portal/articles/…
Ogglas
Есть ли такая вещь, как отрыжка, но с открытым исходным кодом?
Чови
Я думаю, что есть, но я сам не пробовал. Попробуйте Googling «перехватывать прокси с открытым исходным кодом» и посмотрите, что вы найдете. Однако BURP хорошо известен в сообществе безопасности и не является чем-то сомнительным (несмотря на название), поэтому я бы, вероятно, выбрал BURP. @chovy
Огглас