Come posso filtrare https durante il monitoraggio del traffico con Wireshark?


Risposte:


27

Come dice 3molo. Se stai intercettando il traffico, allora port 443è il filtro che ti serve. Se si dispone della chiave privata del sito, è anche possibile decrittografare tale SSL. (richiede una versione / build abilitata per SSL di Wireshark.)

Vedi http://wiki.wireshark.org/SSL


3
C'è una differenza tra filtraggio e monitoraggio. WireShark è uno strumento di monitoraggio. Il filtro dovrebbe essere fatto con un firewall o simili.
txwikinger,

8
@TXwik Filtra ciò che stai monitorando con WireShark ....
Holocryptic,

1
La domanda potrebbe essere più chiara;)
txwikinger,

34

tcp.port == 443 nella finestra del filtro (mac)


Se hai intenzione di pubblicare una risposta, dovrebbe essere davvero una che è sostanzialmente diversa dalle altre risposte sulla pagina. Dire la stessa cosa che già dicono altre due risposte non è particolarmente utile.
Mark Henderson

9
È sostanzialmente diverso. Ha aggiunto il prefisso tcp, che mi ha davvero aiutato, dopo aver provato le risposte precedenti senza fortuna.
user53619


4

Filtrare tcp.port==443e quindi utilizzare il (Pre) -Master-Secret ottenuto da un browser Web per decrittografare il traffico.

Alcuni link utili:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Dalla revisione SVN 36876, è anche possibile decrittografare il traffico quando non si possiede la chiave del server ma si ha accesso al segreto pre-master ... In breve, dovrebbe essere possibile registrare il segreto pre-master in un file con una versione corrente di Firefox, Chromium o Chrome impostando una variabile di ambiente (SSLKEYLOGFILE =). Le versioni correnti di QT (sia 4 che 5) consentono anche di esportare il segreto pre-master, ma nel percorso fisso / tmp / qt -ssl-keys e richiedono un'opzione di compilazione: per i programmi Java, i segreti pre-master possono essere estratti dal registro di debug SSL o emessi direttamente nel formato richiesto da Wireshark tramite questo agente. " (JSSLKeyLog)


comunque per farlo su un iPhone montato su un mac? Posso controllare il traffico http ma non https
chovy

Vorrei usare un proxy per quel @chovy. È un'alternativa? Prova BURP e questo link: support.portswigger.net/customer/portal/articles/…
Ogglas,

c'è qualcosa come burp ma open source?
amorevole

Penso che ci siano ma non ho provato nessuno. Prova Googling "intercettazione proxy open source" e vedi cosa trovi. Tuttavia BURP è ben noto nella comunità della sicurezza e non è qualcosa di losco (nonostante il nome), quindi probabilmente andrei con BURP. @chovy
Ogglas,

0

Puoi usare il filtro "tls":

inserisci qui la descrizione dell'immagine

TLS è l'acronimo di Transport Layer Security , che è il successore del protocollo SSL. Se stai cercando di ispezionare una richiesta HTTPS, questo filtro potrebbe essere quello che stai cercando.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.