Como posso filtrar https ao monitorar o tráfego com o Wireshark?

Respostas:

27

Como a 3molo diz. Se você está interceptando o tráfego, port 443é o filtro que você precisa. Se você possui a chave privada do site, também pode descriptografar esse SSL. (precisa de uma versão / compilação habilitada para SSL do Wireshark.)

Veja http://wiki.wireshark.org/SSL

SmallClanger
fonte
3
Há uma diferença entre filtragem e monitoramento. O WireShark é uma ferramenta de monitoramento. A filtragem teria que ser feita com um firewall ou similar.
precisa saber é o seguinte
8
@TXwik Você filtro que você está monitorando com WireShark ....
Holocryptic
11
Pergunta poderia ser mais claro;)
txwikinger
34

tcp.port == 443 na janela de filtro (mac)

cloudsurfin
fonte
Se você vai postar uma resposta, ela realmente deve ser substancialmente diferente das outras respostas da página. Dizer a mesma coisa que duas outras respostas já dizem não é particularmente útil.
Mark Henderson
9
É substancialmente diferente. Ele adicionou o prefixo tcp, o que realmente me ajudou, depois de tentar respostas anteriores sem sorte.
user53619
4

Filtre tcp.port==443e use o (Pre) -Master-Secret obtido de um navegador da Web para descriptografar o tráfego.

Alguns links úteis:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Desde a revisão 36876 do SVN, também é possível descriptografar o tráfego quando você não possui a chave do servidor, mas tem acesso ao segredo pré-mestre ... Em resumo, deve ser possível registrar o segredo pré-mestre em um arquivo com uma versão atual do Firefox, Chromium ou Chrome, definindo uma variável de ambiente (SSLKEYLOGFILE =). As versões atuais do QT (ambos 4 e 5) permitem exportar também o segredo pré-mestre, mas para o caminho fixo / tmp / qt -ssl-keys e requerem uma opção de tempo de compilação: para programas Java, os segredos pré-mestre podem ser extraídos do log de depuração SSL ou enviados diretamente no formato que o Wireshark exige por meio desse agente ". (jSSLKeyLog)

Ogglas
fonte
de qualquer maneira para fazer isso em um iPhone montado em um mac? Posso inspecionar o tráfego http, mas não https
chovy
Eu usaria um proxy para esse @chovy. Isso é uma alternativa? Experimente o BURP e este link: support.portswigger.net/customer/portal/articles/…
Ogglas
existe algo como arroto, mas de código aberto?
Chovy
Eu acho que existem, mas ainda não tentei. Tente pesquisar no Google "interceptação de código aberto de proxy" e veja o que você encontra. No entanto, o BURP é bem conhecido na comunidade de segurança e não é algo obscuro (apesar do nome), então eu provavelmente iria com o BURP. @chovy
Ogglas
0

Você pode usar o filtro "tls":

insira a descrição da imagem aqui

TLS significa Transport Layer Security , que é o sucessor do protocolo SSL. Se você está tentando inspecionar uma solicitação HTTPS, esse filtro pode ser o que você está procurando.

Richie Thomas
fonte