Wie kann ich https filtern, wenn ich den Datenverkehr mit Wireshark überwache?

Antworten:

27

Wie 3molo sagt. Wenn Sie den Datenverkehr abfangen, port 443ist dies der Filter, den Sie benötigen. Wenn Sie den privaten Schlüssel der Site haben, können Sie dieses SSL auch entschlüsseln. (Benötigt eine SSL-fähige Version / Build von Wireshark.)

Siehe http://wiki.wireshark.org/SSL

SmallClanger
quelle
3
Es gibt einen Unterschied zwischen Filtern und Überwachen. WireShark ist ein Überwachungswerkzeug. Das Filtern müsste mit einer Firewall oder ähnlichem durchgeführt werden.
Txwikinger
8
@TXwik Sie filtern, was Sie mit WireShark überwachen ....
Holocryptic
1
Frage könnte klarer sein;)
txwikinger
33

tcp.port == 443 im Filterfenster (Mac)

wolkensurfen
quelle
Wenn Sie eine Antwort veröffentlichen möchten, sollte es sich tatsächlich um eine Antwort handeln, die sich erheblich von den anderen Antworten auf der Seite unterscheidet. Dasselbe zu sagen, was bereits zwei andere Antworten sagen, ist nicht besonders hilfreich.
Mark Henderson
9
Es ist wesentlich anders. Er fügte das TCP-Präfix hinzu, was mir sehr geholfen hat, nachdem er frühere Antworten ohne Glück versucht hatte.
User53619
4

Filtern tcp.port==443und verwenden Sie dann das (Pre) -Master-Secret, das Sie von einem Webbrowser erhalten haben, um den Datenverkehr zu entschlüsseln.

Einige hilfreiche Links:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Seit der SVN-Revision 36876 ist es auch möglich, Datenverkehr zu entschlüsseln, wenn Sie nicht über den Serverschlüssel verfügen, aber Zugriff auf das Pre-Master-Geheimnis haben ... Kurz gesagt, das Pre-Master-Geheimnis sollte in einer Datei protokolliert werden können mit einer aktuellen Version von Firefox, Chromium oder Chrome durch Setzen einer Umgebungsvariablen (SSLKEYLOGFILE =) Aktuelle Versionen von QT (sowohl 4 als auch 5) ermöglichen den Export des Pre-Master-Geheimnisses, jedoch in den festen Pfad / tmp / qt -ssl-keys und erfordern eine Kompilierungszeitoption: Für Java-Programme können Pre-Master-Geheimnisse aus dem SSL-Debug-Protokoll extrahiert oder direkt in dem von Wireshark über diesen Agenten benötigten Format ausgegeben werden. " (jSSLKeyLog)

Ogglas
quelle
trotzdem, um dies auf einem iPhone auf einem Mac zu tun? Ich kann den http-Verkehr überprüfen, aber nicht https
chovy
Ich würde einen Proxy für das @chovy verwenden. Ist das eine Alternative? Versuchen Sie BURP und diesen Link: support.portswigger.net/customer/portal/articles/…
Ogglas
Gibt es etwas wie rülpsen, aber Open Source?
Chovy
Ich denke es gibt, aber ich habe es selbst nicht versucht. Versuchen Sie Googeln "Abfangen von Proxy Open Source" und sehen Sie, was Sie finden. Allerdings ist BURP in der Sicherheitsgemeinschaft gut bekannt und nicht etwas Schattiges (trotz des Namens), so dass ich wahrscheinlich mit BURP gehen würde. @chovy
Ogglas
0

Sie können den Filter "tls" verwenden:

Bildbeschreibung hier eingeben

TLS steht für Transport Layer Security , dem Nachfolger des SSL-Protokolls. Wenn Sie versuchen, eine HTTPS-Anforderung zu überprüfen, ist dieser Filter möglicherweise das, wonach Sie suchen.

Richie Thomas
quelle