Wie kann ich https filtern, wenn ich den Datenverkehr mit Wireshark überwache?

36

Ich möchte das HTTPs-Protokoll beachten. Wie kann ich dazu einen Wireshark-Filter verwenden?

network-monitoring wireshark network-traffic

— Amirreza
quelle

Für diejenigen , die die entschlüsselten Daten ohne Server - Zugriff sehen wollen, gehen Mann in der Mitte: stackoverflow.com/questions/2136599/...

— Ciro Santilli新疆改造中心法轮功六四事件

27

Wie 3molo sagt. Wenn Sie den Datenverkehr abfangen, port 443ist dies der Filter, den Sie benötigen. Wenn Sie den privaten Schlüssel der Site haben, können Sie dieses SSL auch entschlüsseln. (Benötigt eine SSL-fähige Version / Build von Wireshark.)

Siehe http://wiki.wireshark.org/SSL

— SmallClanger
quelle

3

Es gibt einen Unterschied zwischen Filtern und Überwachen. WireShark ist ein Überwachungswerkzeug. Das Filtern müsste mit einer Firewall oder ähnlichem durchgeführt werden.

— Txwikinger

8

@TXwik Sie filtern, was Sie mit WireShark überwachen ....

— Holocryptic

1

Frage könnte klarer sein;)

— txwikinger

33

tcp.port == 443 im Filterfenster (Mac)

— wolkensurfen
quelle

Wenn Sie eine Antwort veröffentlichen möchten, sollte es sich tatsächlich um eine Antwort handeln, die sich erheblich von den anderen Antworten auf der Seite unterscheidet. Dasselbe zu sagen, was bereits zwei andere Antworten sagen, ist nicht besonders hilfreich.

— Mark Henderson

9

Es ist wesentlich anders. Er fügte das TCP-Präfix hinzu, was mir sehr geholfen hat, nachdem er frühere Antworten ohne Glück versucht hatte.

— User53619

8

"Port 443" in Erfassungsfiltern. Siehe http://wiki.wireshark.org/CaptureFilters

Es werden jedoch verschlüsselte Daten gespeichert.

— 3molo
quelle

4

Filtern tcp.port==443und verwenden Sie dann das (Pre) -Master-Secret, das Sie von einem Webbrowser erhalten haben, um den Datenverkehr zu entschlüsseln.

Einige hilfreiche Links:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Seit der SVN-Revision 36876 ist es auch möglich, Datenverkehr zu entschlüsseln, wenn Sie nicht über den Serverschlüssel verfügen, aber Zugriff auf das Pre-Master-Geheimnis haben ... Kurz gesagt, das Pre-Master-Geheimnis sollte in einer Datei protokolliert werden können mit einer aktuellen Version von Firefox, Chromium oder Chrome durch Setzen einer Umgebungsvariablen (SSLKEYLOGFILE =) Aktuelle Versionen von QT (sowohl 4 als auch 5) ermöglichen den Export des Pre-Master-Geheimnisses, jedoch in den festen Pfad / tmp / qt -ssl-keys und erfordern eine Kompilierungszeitoption: Für Java-Programme können Pre-Master-Geheimnisse aus dem SSL-Debug-Protokoll extrahiert oder direkt in dem von Wireshark über diesen Agenten benötigten Format ausgegeben werden. " (jSSLKeyLog)

— Ogglas
quelle

trotzdem, um dies auf einem iPhone auf einem Mac zu tun? Ich kann den http-Verkehr überprüfen, aber nicht https

— chovy

Ich würde einen Proxy für das @chovy verwenden. Ist das eine Alternative? Versuchen Sie BURP und diesen Link: support.portswigger.net/customer/portal/articles/…

— Ogglas

Gibt es etwas wie rülpsen, aber Open Source?

— Chovy

Ich denke es gibt, aber ich habe es selbst nicht versucht. Versuchen Sie Googeln "Abfangen von Proxy Open Source" und sehen Sie, was Sie finden. Allerdings ist BURP in der Sicherheitsgemeinschaft gut bekannt und nicht etwas Schattiges (trotz des Namens), so dass ich wahrscheinlich mit BURP gehen würde. @chovy

— Ogglas

0

Sie können den Filter "tls" verwenden:

TLS steht für Transport Layer Security , dem Nachfolger des SSL-Protokolls. Wenn Sie versuchen, eine HTTPS-Anforderung zu überprüfen, ist dieser Filter möglicherweise das, wonach Sie suchen.

— Richie Thomas
quelle