Eu quero observar o protocolo HTTPs. Como posso usar um filtro Wireshark para fazer isso?
network-monitoring
wireshark
network-traffic
Amirreza
fonte
fonte
Respostas:
Como a 3molo diz. Se você está interceptando o tráfego,
port 443
é o filtro que você precisa. Se você possui a chave privada do site, também pode descriptografar esse SSL. (precisa de uma versão / compilação habilitada para SSL do Wireshark.)Veja http://wiki.wireshark.org/SSL
fonte
tcp.port == 443 na janela de filtro (mac)
fonte
"porta 443" nos filtros de captura. Veja http://wiki.wireshark.org/CaptureFilters
Porém, serão dados criptografados.
fonte
Filtre
tcp.port==443
e use o (Pre) -Master-Secret obtido de um navegador da Web para descriptografar o tráfego.Alguns links úteis:
https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350
https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/
"Desde a revisão 36876 do SVN, também é possível descriptografar o tráfego quando você não possui a chave do servidor, mas tem acesso ao segredo pré-mestre ... Em resumo, deve ser possível registrar o segredo pré-mestre em um arquivo com uma versão atual do Firefox, Chromium ou Chrome, definindo uma variável de ambiente (SSLKEYLOGFILE =). As versões atuais do QT (ambos 4 e 5) permitem exportar também o segredo pré-mestre, mas para o caminho fixo / tmp / qt -ssl-keys e requerem uma opção de tempo de compilação: para programas Java, os segredos pré-mestre podem ser extraídos do log de depuração SSL ou enviados diretamente no formato que o Wireshark exige por meio desse agente ". (jSSLKeyLog)
fonte
Você pode usar o filtro "tls":
TLS significa Transport Layer Security , que é o sucessor do protocolo SSL. Se você está tentando inspecionar uma solicitação HTTPS, esse filtro pode ser o que você está procurando.
fonte