Làm cách nào tôi có thể lọc https khi theo dõi lưu lượng truy cập với Wireshark?

36

Tôi muốn quan sát giao thức HTTP. Làm cách nào tôi có thể sử dụng bộ lọc Wireshark để làm điều đó?

network-monitoring wireshark network-traffic

— Amirreza
nguồn

Đối với những người muốn xem dữ liệu được giải mã mà không cần truy cập máy chủ, hãy truy cập vào giữa: stackoverflow.com/questions/2136599/ory

— Ciro Santilli 改造心心事件

27

Như 3molo nói. Nếu bạn đang chặn lưu lượng, thì đó port 443là bộ lọc bạn cần. Nếu bạn có khóa riêng của trang web, bạn cũng có thể giải mã SSL đó. (cần phiên bản hỗ trợ SSL / bản dựng của Wireshark.)

Xem http://wiki.wireshark.org/SSL

— SmallClanger
nguồn

3

Có một sự khác biệt giữa lọc và giám sát. WireShark là một công cụ giám sát. Việc lọc sẽ phải được thực hiện với tường lửa hoặc tương tự.

— txwikinger

8

@TXwik Bạn lọc những gì bạn đang theo dõi với WireShark ....

— Holocryptic

1

Câu hỏi có thể rõ ràng hơn;)

— txwikinger

34

tcp.port == 443 trong cửa sổ bộ lọc (mac)

— lướt ván
nguồn

Nếu bạn định đăng một câu trả lời, thì nó thực sự phải là một câu trả lời khác với các câu trả lời khác trên trang. Nói điều tương tự mà hai câu trả lời khác đã nói không đặc biệt hữu ích.

— Mark Henderson

9

Nó là khác nhau đáng kể. Anh ấy đã thêm tiền tố tcp, thứ thực sự giúp tôi, sau khi thử những câu trả lời trước mà không gặp may.

— dùng53619

8

"Cổng 443" trong các bộ lọc chụp. Xem http://wiki.wireshark.org/CaptureFilters

Nó sẽ được mã hóa dữ liệu mặc dù.

— 3 triệu
nguồn

4

Lọc tcp.port==443và sau đó sử dụng (Pre) -Master-Secret thu được từ trình duyệt web để giải mã lưu lượng.

Một số liên kết hữu ích:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-USE-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Kể từ phiên bản SVN 36876, bạn cũng có thể giải mã lưu lượng khi bạn không sở hữu khóa máy chủ nhưng có quyền truy cập vào bí mật của chủ trước ... Tóm lại, có thể đăng nhập bí mật của chủ trước vào một tệp với phiên bản hiện tại của Firefox, Chromium hoặc Chrome bằng cách đặt biến môi trường (SSLKEYLOGFILE =). Phiên bản hiện tại của QT (cả 4 và 5) cũng cho phép xuất bí mật tiền chính, nhưng sang đường dẫn cố định / tmp / qt -ssl-key và chúng yêu cầu tùy chọn biên dịch thời gian: Đối với các chương trình Java, các bí mật tiền chế có thể được trích xuất từ nhật ký gỡ lỗi SSL hoặc xuất trực tiếp theo định dạng mà Wireshark yêu cầu thông qua tác nhân này. " (jSSLKeyLog)

— Ogglas
nguồn

Dù sao để làm điều này trên iPhone gắn trên mac? Tôi có thể kiểm tra lưu lượng truy cập http nhưng không https

— chovy

Tôi sẽ sử dụng proxy cho @chovy đó. Đó có phải là một sự thay thế? Hãy thử BURP và liên kết này: support.portswigger.net/customer/portal/articles/NH

— Ogglas

Có bất cứ điều gì như ợ nhưng nguồn mở?

— chovy

Tôi nghĩ là có nhưng tôi chưa thử bản thân mình. Hãy thử Googling "chặn mã nguồn mở proxy" và xem những gì bạn tìm thấy. Tuy nhiên BURP nổi tiếng trong cộng đồng bảo mật và không có gì mờ ám (mặc dù tên này) vì vậy tôi có thể sẽ đi với BURP. @chovy

— Ogglas

0

Bạn có thể sử dụng bộ lọc "tls":

TLS là viết tắt của Transport Layer Security , là sự kế thừa cho giao thức SSL. Nếu bạn đang cố kiểm tra yêu cầu HTTPS, bộ lọc này có thể là thứ bạn đang tìm kiếm.

— Richie Thomas
nguồn