Главная Другой Как читать HTTPS-трафик в Wireshark

Как читать HTTPS-трафик в Wireshark



Wireshark — это популярный анализатор пакетов с открытым исходным кодом, который предлагает широкий спектр удобных функций для анализа сети, устранения неполадок, обучения и многого другого. Люди, которые хотят использовать Wireshark впервые, и те, кто уже имеет с ним опыт, часто задаются вопросом о чтении HTTPS-трафика.

Как читать HTTPS-трафик в Wireshark

Если вы один из них, вы пришли в нужное место. Здесь мы объясним, что такое HTTPS и как он работает. Затем мы обсудим, можете ли вы читать HTTPS-трафик, почему это может быть проблемой и что вы можете с этим поделать.

Что такое HTTPS?

Безопасный протокол передачи гипертекста (HTTPS) представляет собой безопасную версию HTTP, которая гарантирует безопасную передачу данных и связь между веб-браузером и веб-сайтом.

HTTPS обеспечивает безопасность и предотвращает прослушивание, кражу личных данных, атаки «человек посередине» и другие угрозы безопасности. В наши дни любой веб-сайт, который просит вас ввести свою информацию или создать учетную запись, использует HTTPS для вашей защиты.

HTTPS защищает от угроз безопасности и вредоносных атак, шифруя все обмены между веб-браузером и сервером.

Важно уточнить, что HTTPS неотделим от HTTP. Скорее, это вариант HTTP, который использует специальное шифрование, такое как Secure Socket Layer (SSL) и Transport Layer Security (TLS), для защиты связи. Когда веб-браузер и веб-сервер обмениваются данными через HTTPS, они участвуют в рукопожатии SSL/TLS, т. е. обмениваются сертификатами безопасности.

Как узнать, защищено ли ваше соединение с веб-сайтом с помощью HTTPS? Просто посмотрите на адресную строку. Если вы видите «https» в начале URL-адреса, ваше соединение защищено.

Wireshark Как читать HTTPS-трафик

Одной из основных особенностей HTTPS является то, что он зашифрован. Хотя это является преимуществом, когда вы совершаете покупки в Интернете или оставляете личную информацию на веб-сайте, это может быть недостатком, когда вы отслеживаете веб-трафик и анализируете свою сеть.

Поскольку HTTPS зашифрован, его невозможно прочитать в Wireshark. Но вы можете отображать пакеты SSL и TLS и расшифровывать их в HTTPS.

Выполните следующие действия, чтобы прочитать пакеты SSL и TLS в Wireshark:

  1. Откройте Wireshark и выберите, что вы хотите захватить, в меню «Захват».
  2. На панели «Список пакетов» сосредоточьтесь на столбце «Протокол» и найдите «SSL».
  3. Найдите интересующий вас пакет SSL или TLS и откройте его.

Как расшифровать SSL в Wireshark

Рекомендуемый способ расшифровки SSL — использование предварительного секретного ключа. Вам нужно будет выполнить следующие четыре шага:

  • Установите переменную среды.
  • Запустите браузер.
  • Настройте параметры в Wireshark.
  • Захват и расшифровка сеансовых ключей.

Давайте рассмотрим каждый шаг более подробно.

Установите переменную среды

Переменная среды — это значение, которое определяет, как ваш компьютер обрабатывает различные процессы. Если вы хотите расшифровать SSL и TLS, вам сначала нужно правильно установить переменную среды. Как вы это сделаете, зависит от вашей операционной системы.

Установите переменную среды в Windows

Пользователи Windows должны выполнить следующие шаги, чтобы установить переменную среды:

  1. Запустите меню «Пуск».
  2. Откройте «Панель управления».
  3. Перейдите в «Система и безопасность».
  4. Выберите «Система».
  5. Прокрутите вниз и выберите «Дополнительные параметры системы».
  6. Дважды проверьте, находитесь ли вы в разделе «Дополнительно», и нажмите «Переменные среды».
  7. Нажмите «Создать» в разделе «Пользовательские переменные».
  8. Введите «SSLKEYLOGFILE» в разделе «Имя переменной».
  9. В разделе «Значение переменной» введите или найдите путь к файлу журнала.
  10. Нажмите «ОК».

Установите переменную среды в Mac или Linux

Если вы пользователь Linux или Mac, вам нужно будет использовать nano для установки переменной среды.

Пользователи Linux должны открыть терминал и ввести следующую команду: «nano ~/.bashrc». Пользователи Mac должны открыть Launchpad, нажать «Другое» и запустить терминал. Затем они должны ввести эту команду: «nano ~/.bash_profile».

Пользователи Linux и Mac должны выполнить следующие шаги, чтобы продолжить:

  1. Добавьте этот файл в конец файла: «export SSLKEYLOGFILE=~/.ssl-key.log».
  2. Сохраните изменения.
  3. Закройте окно терминала и запустите другое. Введите эту строку: «echo $SSKEYLOGFILE».
  4. Теперь вы должны увидеть полный путь к журналу предварительного главного ключа SSL. Скопируйте этот путь, чтобы сохранить его на потом, так как вам нужно будет ввести его в Wireshark.

Запустите свой браузер

Второй шаг — запустить браузер, чтобы убедиться, что файл журнала используется. Вам нужно открыть браузер и посетить веб-сайт с поддержкой SSL.

После того, как вы посетили такой веб-сайт, проверьте свой файл на наличие данных. В Windows вы должны использовать Блокнот, а в Mac и Linux вы должны использовать эту команду: «cat ~/ .ssl-log.key».

Настроить Wireshark

После того, как вы установили, что ваш браузер регистрирует предварительные мастер-ключи в нужном месте, пришло время настроить Wireshark. После настройки Wireshark сможет использовать ключи для расшифровки SSL.

Чтобы сделать это, выполните следующие действия:

  1. Запустите Wireshark и перейдите в «Редактировать».
  2. Нажмите «Настройки».
  3. Разверните «Протоколы».
  4. Прокрутите вниз и выберите «SSL».
  5. Найдите «(Pre)-Master Secret имя файла журнала» и введите путь, который вы установили на первом шаге.
  6. Нажмите «ОК».

Захват и расшифровка сеансовых ключей

Теперь, когда вы все настроили, пришло время проверить, расшифровывает ли Wireshark SSL. Вот что вам нужно сделать:

  1. Запустите Wireshark и начните сеанс захвата без фильтрации.
  2. Сверните окно Wireshark и откройте браузер.
  3. Зайдите на любой безопасный веб-сайт, чтобы получить данные.
  4. Вернитесь в Wireshark и выберите любой кадр с зашифрованными данными.
  5. Найдите «Packet byte view» и посмотрите на данные «Decrypted SSL». Теперь HTML должен быть виден.

Какие удобные функции предлагает Wireshark?

Одна из причин, по которой Wireshark является ведущим анализатором сетевых пакетов, заключается в том, что он предлагает широкий спектр удобных опций, которые улучшают взаимодействие с пользователем. Вот некоторые из них:

моя учетная запись netflix была взломана, а адрес электронной почты изменен

Цветовое кодирование

Просмотр огромного количества информации может занять много времени и утомительно. Wireshark пытается помочь вам различать разные типы пакетов с помощью уникальной системы цветового кодирования. Здесь вы можете увидеть цвета по умолчанию для основных типов пакетов:

  • Голубой — УДП
  • Светло-фиолетовый — TCP
  • Светло-зеленый — HTTP-трафик
  • Светло-желтый — трафик, специфичный для Windows (включая блоки сообщений сервера (SMB) и NetBIOS).
  • Темно-желтый — Маршрутизация
  • Темно-серый — трафик TCP SYN, ACK и FIN.
  • Черный — пакеты с ошибкой

Вы можете просмотреть всю схему раскраски, перейдя в «Просмотр» и выбрав «Правила раскраски».

Wireshark позволяет настроить собственные правила раскраски в соответствии с вашими предпочтениями в тех же настройках. Если вы не хотите раскрашивать, переключите переключатель рядом с «Раскрасить список пакетов».

Метрики и статистика

Wireshark предлагает различные варианты получения дополнительных сведений о захвате. Эти параметры находятся в меню «Статистика» в верхней части окна.

В зависимости от того, что вас интересует, вы можете просмотреть статистику по свойствам файла захвата, разрешенным адресам, длине пакета, конечным точкам и многому другому.

Командная строка

Если у вас есть система без графического пользовательского интерфейса (GUI), вы будете рады узнать, что Wireshark имеет его.

Беспорядочный режим

По умолчанию Wireshark позволяет вам перехватывать пакеты, входящие и исходящие с компьютера, который вы используете. Но, если вы включите неразборчивый режим, вы сможете захватить большую часть трафика по всей локальной сети (LAN).

Часто задаваемые вопросы

Могу ли я фильтровать пакетные данные в Wireshark?

Да, Wireshark предлагает расширенные параметры фильтрации, которые позволяют отображать актуальную информацию за несколько секунд.

Платформа имеет два типа фильтров: захват и отображение. Фильтры захвата используются при захвате данных. Вы можете установить их перед началом захвата пакетов и не можете изменить их во время процесса. Эти фильтры представляют собой простой способ быстрого поиска интересующих вас данных. Если Wireshark захватит данные, которые не соответствуют установленным вами фильтрам, они не будут отображаться.

Фильтры отображения применяются после процесса захвата. В отличие от фильтров захвата, которые отбрасывают данные, не соответствующие заданным критериям, фильтры отображения просто скрывают эти данные из списка. Это дает вам более четкое представление о захвате и позволяет легко найти то, что вы ищете.

Если вы используете много фильтров в Wireshark и не можете их запомнить, вы будете рады узнать, что Wireshark позволяет вам сохранять ваши фильтры. Таким образом, вам не нужно беспокоиться о том, что вы забудете правильный синтаксис или примените неправильный фильтр. Вы можете сохранить свой фильтр, нажав значок закладки рядом с полем Фильтр.

Мастер сетевого анализа с Wireshark

Благодаря впечатляющим возможностям анализа пакетов Wireshark позволяет вам получить подробное представление о входящем и исходящем трафике вашей сети. Несмотря на то, что он предлагает расширенные функции, Wireshark имеет простой, интуитивно понятный интерфейс, поэтому даже новички в мире анализа пакетов быстро освоятся. Чтение HTTPS-трафика может быть непростым, но возможно, если вы расшифруете SSL-пакеты.

Что вам больше всего нравится в Wireshark? Были ли у вас когда-нибудь проблемы с этим? Расскажите нам в разделе комментариев ниже.

Интересные статьи

Как узнать IP-адрес модема

Как узнать IP-адрес модема

Отключить значок сети на экране блокировки в Windows 10

Отключить значок сети на экране блокировки в Windows 10

Выбор редакции

От автомобильного прикуривателя до розетки для аксессуаров на 12 В
От автомобильного прикуривателя до розетки для аксессуаров на 12 В
Автомобильный прикуриватель, возможно, больше не используется в качестве зажигалки, но он все еще имеет место на наших приборных панелях в качестве фактической розетки на 12 В.
Как автоматически отвечать на тексты на iPhone
Как автоматически отвечать на тексты на iPhone
Если вы за рулем и не хотите, чтобы люди думали, что вы игнорируете ваши сообщения, вы можете подумать о настройке функции автоответчика на своем iPhone. Эта функция позволяет отвечать на тексты без
Как заблокировать номер на устройстве Android [Сентябрь 2020 г.]
Как заблокировать номер на устройстве Android [Сентябрь 2020 г.]
Это бесконечная борьба: вы не хотите разговаривать с продавцами, сборщиками счетов или вашей тетей Агнес, но все они хотят поговорить с вами. Во времена повсеместных стационарных телефонов вы могли позволить
Как очистить кеш и данные в Waze
Как очистить кеш и данные в Waze
Одна из причин, по которой так много пользователей любят Waze, заключается в том, что он быстрый и очень отзывчивый. И это именно то, что вы ожидаете и хотите от приложения для навигации по трафику. Но даже в Waze возникнет ошибка.
Отключить уведомление о привязке вашего телефона в Windows 10
Отключить уведомление о привязке вашего телефона в Windows 10
Windows 10 показывает уведомление «Свяжите свой телефон и компьютер», которое вы можете отключить, если не планируете связывать свои устройства.
Как отключить функцию «Найти iPhone»
Как отключить функцию «Найти iPhone»
Функция Apple Find My позволяет пользователям находить свои устройства, если они потеряли их. Независимо от того, продаете ли вы, обмениваете ли вы его, обслуживаете или больше не используете свой iPhone, вы хотите убедиться, что он удален с ваших устройств.
Как это исправить, если время на вашем телефоне неправильное
Как это исправить, если время на вашем телефоне неправильное
Ваш телефон не показывает правильное время? Как исправить, когда на телефоне отображается неправильное время. Однако иногда это выходит из-под вашего контроля.