Frage Wie kann ich https bei der Überwachung des Traffics mit Wireshark filtern?


Ich möchte das HTTP-Protokoll beobachten. Wie kann ich dazu einen Wireshark-Filter verwenden?


28
2018-04-26 14:43


Ursprung


Für diejenigen, die die entschlüsselten Daten ohne Serverzugriff sehen wollen, gehen Sie in die Mitte: stackoverflow.com/questions/2136599/... - Ciro Santilli 新疆改造中心 六四事件 法轮功


Antworten:


Wie 3Molo sagt. Wenn Sie den Verkehr abfangen, dann port 443 ist der Filter, den Sie brauchen. Wenn Sie den privaten Schlüssel der Site haben, können Sie das SSL auch entschlüsseln. (benötigt eine SSL-fähige Version / Build von Wireshark.)

Sehen http://wiki.wireshark.org/SSL 


22
2018-04-26 14:53



Es gibt einen Unterschied zwischen Filtern und Überwachen. WireShark ist ein Überwachungswerkzeug. Die Filterung müsste mit einer Firewall oder ähnlichem erfolgen. - txwikinger
@TXwik Sie filtern, was Sie mit WireShark überwachen .... - Holocryptic
Frage könnte klarer sein;) - txwikinger


tcp.port == 443 im Filterfenster (Mac)


23
2018-06-13 02:16



Wenn du eine Antwort postest, sollte sie wirklich eine sein, die sich wesentlich von den anderen Antworten auf der Seite unterscheidet. Das gleiche zu sagen, was zwei andere Antworten bereits sagen, ist nicht besonders hilfreich. - Mark Henderson♦
Es ist wesentlich anders. Er fügte das tcp-Präfix hinzu, was mir sehr geholfen hat, nachdem ich vorherige Antworten ohne Glück versucht hatte. - user53619
Ich stimme zu, danke. - cloudsurfin


"Port 443" in Capture-Filter. Sehen http://wiki.wireshark.org/CaptureFilters


Es wird jedoch verschlüsselte Daten sein.


8
2018-04-26 14:46





Filter tcp.port==443 und dann das (Pre) -Master-Secret, das von einem Webbrowser erhalten wurde, um den Verkehr zu entschlüsseln.

Einige hilfreiche Links:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Seit der SVN-Revision 36876 ist es auch möglich, Datenverkehr zu entschlüsseln, wenn Sie nicht den Serverschlüssel besitzen, aber Zugriff auf das Pre-Master-Geheimnis haben. Kurz gesagt sollte es möglich sein, das Pre-Master-Geheimnis in einer Datei zu protokollieren mit einer aktuellen Version von Firefox, Chromium oder Chrome durch Setzen einer Umgebungsvariablen (SSLKEYLOGFILE =). Aktuelle Versionen von QT (sowohl 4 als auch 5) erlauben es, auch den Pre-Master-Secret zu exportieren, aber in den festen Pfad / tmp / qt -ssl-keys und sie benötigen eine Kompilierzeit-Option: Für Java-Programme können Pre-Master-Secrets aus dem SSL-Debug-Protokoll extrahiert oder direkt in dem Format ausgegeben werden, das Wireshark über diesen Agenten benötigt. " (jSSLKeyLog)


3
2018-06-10 07:17



Wie auch immer, um dies auf einem iPhone auf einem Mac zu tun? Ich kann http-Verkehr aber nicht https kontrollieren - chovy
Ich würde einen Proxy für das @ Chovy verwenden. Ist das eine Alternative? Versuchen Sie BURP und diesen Link: support.portswigger.net/customer/portal/articles/... - Ogglas
Gibt es etwas wie Burp aber Open Source? - chovy
Ich denke es gibt, aber ich habe es selbst nicht versucht. Probieren Sie Googling "abfangen Proxy Open Source" und sehen Sie, was Sie finden. Jedoch ist BURP in der Sicherheits-Community gut bekannt und nicht etwas zwielichtig (trotz des Namens), also würde ich wahrscheinlich mit BURP gehen. @chovy - Ogglas