Jak mogę filtrować https podczas monitorowania ruchu za pomocą Wireshark?

Odpowiedzi:

27

Jak mówi 3molo. Jeśli przechwytujesz ruch, konieczny port 443jest filtr. Jeśli masz klucz prywatny witryny, możesz także odszyfrować ten protokół SSL. (wymaga wersji / kompilacji Wireshark z obsługą SSL).

Zobacz http://wiki.wireshark.org/SSL

SmallClanger
źródło
3
Istnieje różnica między filtrowaniem a monitorowaniem. WireShark to narzędzie do monitorowania. Filtrowanie musiałoby być wykonane za pomocą zapory ogniowej lub podobnego urządzenia.
txwikinger
8
@TXwik Filtrujesz to, co monitorujesz za pomocą WireShark ....
Holocryptic
1
Pytanie może być jaśniejsze;)
txwikinger
34

tcp.port == 443 w oknie filtru (mac)

cloudsurfin
źródło
Jeśli masz zamiar opublikować odpowiedź, to naprawdę powinna być taka, która znacznie różni się od innych odpowiedzi na stronie już. Powiedzenie tego samego, co już mówią dwie inne odpowiedzi, nie jest szczególnie pomocne.
Mark Henderson
9
Jest zasadniczo inny. Dodał prefiks tcp, co naprawdę mi pomogło, po wypróbowaniu poprzednich odpowiedzi bez powodzenia.
user53619,
4

Filtruj, tcp.port==443a następnie użyj (Pre) -Master-Secret uzyskanego z przeglądarki internetowej, aby odszyfrować ruch.

Kilka przydatnych linków:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

„Od wersji 36876 SVN możliwe jest również odszyfrowanie ruchu, gdy nie masz klucza serwera, ale masz dostęp do tajnego klucza przedmasterowego. Krótko mówiąc, powinno być możliwe zalogowanie tajnego klucza przedmasterowego do pliku z bieżącą wersją Firefoksa, Chromium lub Chrome poprzez ustawienie zmiennej środowiskowej (SSLKEYLOGFILE =). Obecne wersje QT (zarówno 4, jak i 5) pozwalają również na eksport tajnego klucza przedmasterowego, ale na stałą ścieżkę / tmp / qt -ssl-keys i wymagają opcji czasu kompilacji: w przypadku programów Java sekrety przedmasterowe można wyodrębnić z dziennika debugowania SSL lub wyprowadzić bezpośrednio w formacie wymaganym przez Wireshark za pośrednictwem tego agenta. ” (jSSLKeyLog)

Ogglas
źródło
w każdym razie, aby to zrobić na iPhonie zamontowanym na komputerze Mac? Mogę sprawdzać ruch http, ale nie https
chovy
Chciałbym użyć proxy dla tego @ chovy. Czy to jest alternatywa? Wypróbuj BURP i ten link: support.portswigger.net/customer/portal/articles/…
Ogglas
czy istnieje coś takiego jak beknięcie, ale open source?
chovy
Myślę, że są, ale sam nie próbowałem. Spróbuj Googling „przechwytywać proxy open source” i zobacz, co znajdziesz. Jednak BURP jest dobrze znany w społeczności bezpieczeństwa i nie jest czymś podejrzanym (pomimo nazwy), więc prawdopodobnie wybrałbym BURP. @chovy
Ogglas
0

Możesz użyć filtra „tls”:

wprowadź opis zdjęcia tutaj

TLS oznacza Transport Layer Security , który jest następcą protokołu SSL. Jeśli próbujesz sprawdzić żądanie HTTPS, ten filtr może być tym, czego szukasz.

Richie Thomas
źródło