ฉันจะกรอง https เมื่อตรวจสอบปริมาณการใช้งานด้วย Wireshark ได้อย่างไร


35

ฉันต้องการสังเกตโปรโตคอล HTTPs ฉันจะใช้ตัวกรอง Wireshark เพื่อทำสิ่งนั้นได้อย่างไร


สำหรับผู้ที่ต้องการดูข้อมูลที่ถอดรหัสโดยไม่ต้องเข้าถึงเซิร์ฟเวอร์ให้ไปหาคนตรงกลาง: stackoverflow.com/questions/2136599/…
Ciro Santilli 新疆改造中心中心法轮功六四事件

คำตอบ:


27

ดังที่ 3molo กล่าว หากคุณขัดขวางการรับส่งข้อมูลport 443คุณจำเป็นต้องมีตัวกรอง หากคุณมีคีย์ส่วนตัวของไซต์คุณสามารถถอดรหัส SSL นั้นได้ (ต้องการเวอร์ชัน / บิลด์ที่เปิดใช้งาน SSL ของ Wireshark)

ดูhttp://wiki.wireshark.org/SSL


3
มีความแตกต่างระหว่างการกรองและการตรวจสอบ WireShark เป็นเครื่องมือตรวจสอบ การกรองจะต้องทำกับไฟร์วอลล์หรือคล้ายกัน
txwikinger

8
กรอง @TXwik คุณสิ่งที่คุณกำลังตรวจสอบกับ WireShark ....
Holocryptic

1
คำถามอาจชัดเจนกว่า)
txwikinger

32

tcp.port == 443 ในหน้าต่างตัวกรอง (mac)


หากคุณกำลังจะโพสต์คำตอบควรเป็นคำตอบที่แตกต่างอย่างมากกับคำตอบอื่น ๆ ในหน้านี้ การพูดแบบเดียวกันกับที่อีกสองคำตอบพูดแล้วไม่เป็นประโยชน์โดยเฉพาะ
Mark Henderson

9
มันแตกต่างกันมาก เขาเพิ่มคำนำหน้า tcp ซึ่งช่วยฉันได้จริงหลังจากลองคำตอบก่อนหน้าโดยไม่มีโชค
user53619


4

กรองtcp.port==443แล้วใช้ (Pre) -Master-Secret ที่ได้รับจากเว็บเบราว์เซอร์เพื่อถอดรหัสทราฟฟิก

ลิงค์ที่เป็นประโยชน์บางส่วน:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"เนื่องจาก SVN revision 36876 จึงเป็นไปได้ที่จะถอดรหัสทราฟฟิกเมื่อคุณไม่มีคีย์เซิร์ฟเวอร์ แต่มีการเข้าถึงข้อมูลลับระดับมาสเตอร์ก่อน กับเวอร์ชันปัจจุบันของ Firefox, Chromium หรือ Chrome โดยการตั้งค่าตัวแปรสภาพแวดล้อม (SSLKEYLOGFILE =) QT รุ่นปัจจุบัน (ทั้ง 4 และ 5) อนุญาตให้ส่งออกข้อมูลลับก่อนปรมาจารย์ด้วยเช่นกัน -ssl-keys และพวกเขาต้องการตัวเลือกเวลาการคอมไพล์: สำหรับโปรแกรม Java สามารถแยกความลับก่อนต้นแบบได้จากล็อกการดีบัก SSL หรือเอาต์พุตโดยตรงในรูปแบบที่ Wireshark ต้องการผ่านเอเจนต์นี้ " (jSSLKeyLog)


จะทำเช่นนี้ใน iPhone ที่ติดตั้งบน mac หรือไม่? ฉันสามารถตรวจสอบปริมาณการใช้งาน http แต่ไม่สามารถ https
chovy

ฉันจะใช้ proxy สำหรับ @chovy นั้น นั่นเป็นทางเลือกหรือไม่? ลอง BURP และลิงค์นี้: support.portswigger.net/customer/portal/articles/…
Ogglas

มีอะไรอย่างเรอ แต่เป็นโอเพ่นซอร์สบ้างไหม
chovy

ฉันคิดว่ามี แต่ฉันไม่ได้ลองเอง ลองใช้ Googling "สกัดกั้นพร็อกซีโอเพนซอร์ส" และดูสิ่งที่คุณค้นหา อย่างไรก็ตาม BURP เป็นที่รู้จักกันดีในชุมชนความปลอดภัยและไม่ใช่สิ่งที่ร่มรื่น (แม้จะมีชื่อ) ดังนั้นฉันอาจจะไปกับ BURP @chovy
Ogglas

0

คุณสามารถใช้ตัวกรอง "tls":

ป้อนคำอธิบายรูปภาพที่นี่

TLS ย่อมาจากTransport Layer Securityซึ่งเป็นตัวตายตัวแทนของโปรโตคอล SSL หากคุณกำลังพยายามตรวจสอบคำขอ HTTPS ตัวกรองนี้อาจเป็นสิ่งที่คุณกำลังมองหา

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.