Làm cách nào tôi có thể lọc https khi theo dõi lưu lượng truy cập với Wireshark?


Câu trả lời:


27

Như 3molo nói. Nếu bạn đang chặn lưu lượng, thì đó port 443là bộ lọc bạn cần. Nếu bạn có khóa riêng của trang web, bạn cũng có thể giải mã SSL đó. (cần phiên bản hỗ trợ SSL / bản dựng của Wireshark.)

Xem http://wiki.wireshark.org/SSL


3
Có một sự khác biệt giữa lọc và giám sát. WireShark là một công cụ giám sát. Việc lọc sẽ phải được thực hiện với tường lửa hoặc tương tự.
txwikinger

8
@TXwik Bạn lọc những gì bạn đang theo dõi với WireShark ....
Holocryptic

1
Câu hỏi có thể rõ ràng hơn;)
txwikinger

34

tcp.port == 443 trong cửa sổ bộ lọc (mac)


Nếu bạn định đăng một câu trả lời, thì nó thực sự phải là một câu trả lời khác với các câu trả lời khác trên trang. Nói điều tương tự mà hai câu trả lời khác đã nói không đặc biệt hữu ích.
Mark Henderson

9
Nó là khác nhau đáng kể. Anh ấy đã thêm tiền tố tcp, thứ thực sự giúp tôi, sau khi thử những câu trả lời trước mà không gặp may.
dùng53619


4

Lọc tcp.port==443và sau đó sử dụng (Pre) -Master-Secret thu được từ trình duyệt web để giải mã lưu lượng.

Một số liên kết hữu ích:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-USE-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Kể từ phiên bản SVN 36876, bạn cũng có thể giải mã lưu lượng khi bạn không sở hữu khóa máy chủ nhưng có quyền truy cập vào bí mật của chủ trước ... Tóm lại, có thể đăng nhập bí mật của chủ trước vào một tệp với phiên bản hiện tại của Firefox, Chromium hoặc Chrome bằng cách đặt biến môi trường (SSLKEYLOGFILE =). Phiên bản hiện tại của QT (cả 4 và 5) cũng cho phép xuất bí mật tiền chính, nhưng sang đường dẫn cố định / tmp / qt -ssl-key và chúng yêu cầu tùy chọn biên dịch thời gian: Đối với các chương trình Java, các bí mật tiền chế có thể được trích xuất từ ​​nhật ký gỡ lỗi SSL hoặc xuất trực tiếp theo định dạng mà Wireshark yêu cầu thông qua tác nhân này. " (jSSLKeyLog)


Dù sao để làm điều này trên iPhone gắn trên mac? Tôi có thể kiểm tra lưu lượng truy cập http nhưng không https
chovy

Tôi sẽ sử dụng proxy cho @chovy đó. Đó có phải là một sự thay thế? Hãy thử BURP và liên kết này: support.portswigger.net/customer/portal/articles/NH
Ogglas

Có bất cứ điều gì như ợ nhưng nguồn mở?
chovy

Tôi nghĩ là có nhưng tôi chưa thử bản thân mình. Hãy thử Googling "chặn mã nguồn mở proxy" và xem những gì bạn tìm thấy. Tuy nhiên BURP nổi tiếng trong cộng đồng bảo mật và không có gì mờ ám (mặc dù tên này) vì vậy tôi có thể sẽ đi với BURP. @chovy
Ogglas

0

Bạn có thể sử dụng bộ lọc "tls":

nhập mô tả hình ảnh ở đây

TLS là viết tắt của Transport Layer Security , là sự kế thừa cho giao thức SSL. Nếu bạn đang cố kiểm tra yêu cầu HTTPS, bộ lọc này có thể là thứ bạn đang tìm kiếm.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.