Как читать HTTPS-трафик в Wireshark

Wireshark — это популярный анализатор пакетов с открытым исходным кодом, который предлагает широкий спектр удобных функций для анализа сети, устранения неполадок, обучения и многого другого. Люди, которые хотят использовать Wireshark впервые, и те, кто уже имеет с ним опыт, часто задаются вопросом о чтении HTTPS-трафика.

Если вы один из них, вы пришли в нужное место. Здесь мы объясним, что такое HTTPS и как он работает. Затем мы обсудим, можете ли вы читать HTTPS-трафик, почему это может быть проблемой и что вы можете с этим поделать.

Что такое HTTPS?

Безопасный протокол передачи гипертекста (HTTPS) представляет собой безопасную версию HTTP, которая гарантирует безопасную передачу данных и связь между веб-браузером и веб-сайтом.

HTTPS обеспечивает безопасность и предотвращает прослушивание, кражу личных данных, атаки «человек посередине» и другие угрозы безопасности. В наши дни любой веб-сайт, который просит вас ввести свою информацию или создать учетную запись, использует HTTPS для вашей защиты.

HTTPS защищает от угроз безопасности и вредоносных атак, шифруя все обмены между веб-браузером и сервером.

Важно уточнить, что HTTPS неотделим от HTTP. Скорее, это вариант HTTP, который использует специальное шифрование, такое как Secure Socket Layer (SSL) и Transport Layer Security (TLS), для защиты связи. Когда веб-браузер и веб-сервер обмениваются данными через HTTPS, они участвуют в рукопожатии SSL/TLS, т. е. обмениваются сертификатами безопасности.

Как узнать, защищено ли ваше соединение с веб-сайтом с помощью HTTPS? Просто посмотрите на адресную строку. Если вы видите «https» в начале URL-адреса, ваше соединение защищено.

Wireshark Как читать HTTPS-трафик

Одной из основных особенностей HTTPS является то, что он зашифрован. Хотя это является преимуществом, когда вы совершаете покупки в Интернете или оставляете личную информацию на веб-сайте, это может быть недостатком, когда вы отслеживаете веб-трафик и анализируете свою сеть.

Поскольку HTTPS зашифрован, его невозможно прочитать в Wireshark. Но вы можете отображать пакеты SSL и TLS и расшифровывать их в HTTPS.

Выполните следующие действия, чтобы прочитать пакеты SSL и TLS в Wireshark:

1. Откройте Wireshark и выберите, что вы хотите захватить, в меню «Захват».
   
2. На панели «Список пакетов» сосредоточьтесь на столбце «Протокол» и найдите «SSL».
   
3. Найдите интересующий вас пакет SSL или TLS и откройте его.
   

Как расшифровать SSL в Wireshark

Рекомендуемый способ расшифровки SSL — использование предварительного секретного ключа. Вам нужно будет выполнить следующие четыре шага:

• Установите переменную среды.
• Запустите браузер.
• Настройте параметры в Wireshark.
• Захват и расшифровка сеансовых ключей.

Давайте рассмотрим каждый шаг более подробно.

Установите переменную среды

Переменная среды — это значение, которое определяет, как ваш компьютер обрабатывает различные процессы. Если вы хотите расшифровать SSL и TLS, вам сначала нужно правильно установить переменную среды. Как вы это сделаете, зависит от вашей операционной системы.

Установите переменную среды в Windows

Пользователи Windows должны выполнить следующие шаги, чтобы установить переменную среды:

1. Запустите меню «Пуск».
   
2. Откройте «Панель управления».
   
3. Перейдите в «Система и безопасность».
   
4. Выберите «Система».
   
5. Прокрутите вниз и выберите «Дополнительные параметры системы».
   
6. Дважды проверьте, находитесь ли вы в разделе «Дополнительно», и нажмите «Переменные среды».
   
7. Нажмите «Создать» в разделе «Пользовательские переменные».
   
8. Введите «SSLKEYLOGFILE» в разделе «Имя переменной».
   
9. В разделе «Значение переменной» введите или найдите путь к файлу журнала.
   
10. Нажмите «ОК».
    

Установите переменную среды в Mac или Linux

Если вы пользователь Linux или Mac, вам нужно будет использовать nano для установки переменной среды.

Пользователи Linux должны открыть терминал и ввести следующую команду: «nano ~/.bashrc». Пользователи Mac должны открыть Launchpad, нажать «Другое» и запустить терминал. Затем они должны ввести эту команду: «nano ~/.bash_profile».

Пользователи Linux и Mac должны выполнить следующие шаги, чтобы продолжить:

1. Добавьте этот файл в конец файла: «export SSLKEYLOGFILE=~/.ssl-key.log».
2. Сохраните изменения.
3. Закройте окно терминала и запустите другое. Введите эту строку: «echo $SSKEYLOGFILE».
4. Теперь вы должны увидеть полный путь к журналу предварительного главного ключа SSL. Скопируйте этот путь, чтобы сохранить его на потом, так как вам нужно будет ввести его в Wireshark.

Запустите свой браузер

Второй шаг — запустить браузер, чтобы убедиться, что файл журнала используется. Вам нужно открыть браузер и посетить веб-сайт с поддержкой SSL.

После того, как вы посетили такой веб-сайт, проверьте свой файл на наличие данных. В Windows вы должны использовать Блокнот, а в Mac и Linux вы должны использовать эту команду: «cat ~/ .ssl-log.key».

Настроить Wireshark

После того, как вы установили, что ваш браузер регистрирует предварительные мастер-ключи в нужном месте, пришло время настроить Wireshark. После настройки Wireshark сможет использовать ключи для расшифровки SSL.

Чтобы сделать это, выполните следующие действия:

1. Запустите Wireshark и перейдите в «Редактировать».
   
2. Нажмите «Настройки».
   
3. Разверните «Протоколы».
   
4. Прокрутите вниз и выберите «SSL».
5. Найдите «(Pre)-Master Secret имя файла журнала» и введите путь, который вы установили на первом шаге.
6. Нажмите «ОК».

Захват и расшифровка сеансовых ключей

Теперь, когда вы все настроили, пришло время проверить, расшифровывает ли Wireshark SSL. Вот что вам нужно сделать:

1. Запустите Wireshark и начните сеанс захвата без фильтрации.
   
2. Сверните окно Wireshark и откройте браузер.
   
3. Зайдите на любой безопасный веб-сайт, чтобы получить данные.
   
4. Вернитесь в Wireshark и выберите любой кадр с зашифрованными данными.
   
5. Найдите «Packet byte view» и посмотрите на данные «Decrypted SSL». Теперь HTML должен быть виден.

Какие удобные функции предлагает Wireshark?

Одна из причин, по которой Wireshark является ведущим анализатором сетевых пакетов, заключается в том, что он предлагает широкий спектр удобных опций, которые улучшают взаимодействие с пользователем. Вот некоторые из них:

моя учетная запись netflix была взломана, а адрес электронной почты изменен

Цветовое кодирование

Просмотр огромного количества информации может занять много времени и утомительно. Wireshark пытается помочь вам различать разные типы пакетов с помощью уникальной системы цветового кодирования. Здесь вы можете увидеть цвета по умолчанию для основных типов пакетов:

• Голубой — УДП
• Светло-фиолетовый — TCP
• Светло-зеленый — HTTP-трафик
• Светло-желтый — трафик, специфичный для Windows (включая блоки сообщений сервера (SMB) и NetBIOS).
• Темно-желтый — Маршрутизация
• Темно-серый — трафик TCP SYN, ACK и FIN.
• Черный — пакеты с ошибкой

Вы можете просмотреть всю схему раскраски, перейдя в «Просмотр» и выбрав «Правила раскраски».

Wireshark позволяет настроить собственные правила раскраски в соответствии с вашими предпочтениями в тех же настройках. Если вы не хотите раскрашивать, переключите переключатель рядом с «Раскрасить список пакетов».

Метрики и статистика

Wireshark предлагает различные варианты получения дополнительных сведений о захвате. Эти параметры находятся в меню «Статистика» в верхней части окна.

В зависимости от того, что вас интересует, вы можете просмотреть статистику по свойствам файла захвата, разрешенным адресам, длине пакета, конечным точкам и многому другому.

Командная строка

Если у вас есть система без графического пользовательского интерфейса (GUI), вы будете рады узнать, что Wireshark имеет его.

Беспорядочный режим

По умолчанию Wireshark позволяет вам перехватывать пакеты, входящие и исходящие с компьютера, который вы используете. Но, если вы включите неразборчивый режим, вы сможете захватить большую часть трафика по всей локальной сети (LAN).

Часто задаваемые вопросы

Могу ли я фильтровать пакетные данные в Wireshark?

Да, Wireshark предлагает расширенные параметры фильтрации, которые позволяют отображать актуальную информацию за несколько секунд.

Платформа имеет два типа фильтров: захват и отображение. Фильтры захвата используются при захвате данных. Вы можете установить их перед началом захвата пакетов и не можете изменить их во время процесса. Эти фильтры представляют собой простой способ быстрого поиска интересующих вас данных. Если Wireshark захватит данные, которые не соответствуют установленным вами фильтрам, они не будут отображаться.

Фильтры отображения применяются после процесса захвата. В отличие от фильтров захвата, которые отбрасывают данные, не соответствующие заданным критериям, фильтры отображения просто скрывают эти данные из списка. Это дает вам более четкое представление о захвате и позволяет легко найти то, что вы ищете.

Если вы используете много фильтров в Wireshark и не можете их запомнить, вы будете рады узнать, что Wireshark позволяет вам сохранять ваши фильтры. Таким образом, вам не нужно беспокоиться о том, что вы забудете правильный синтаксис или примените неправильный фильтр. Вы можете сохранить свой фильтр, нажав значок закладки рядом с полем Фильтр.

Мастер сетевого анализа с Wireshark

Благодаря впечатляющим возможностям анализа пакетов Wireshark позволяет вам получить подробное представление о входящем и исходящем трафике вашей сети. Несмотря на то, что он предлагает расширенные функции, Wireshark имеет простой, интуитивно понятный интерфейс, поэтому даже новички в мире анализа пакетов быстро освоятся. Чтение HTTPS-трафика может быть непростым, но возможно, если вы расшифруете SSL-пакеты.

Что вам больше всего нравится в Wireshark? Были ли у вас когда-нибудь проблемы с этим? Расскажите нам в разделе комментариев ниже.