Bagaimana saya bisa memfilter https saat memantau lalu lintas dengan Wireshark?


Jawaban:


27

Seperti yang dikatakan 3molo. Jika Anda mencegat lalu lintas, maka port 443filterlah yang Anda butuhkan. Jika Anda memiliki kunci pribadi situs, Anda juga dapat mendekripsi SSL itu. (membutuhkan versi / build Wireshark yang mendukung SSL.)

Lihat http://wiki.wireshark.org/SSL


3
Ada perbedaan antara penyaringan dan pemantauan. WireShark adalah alat pemantauan. Penyaringan harus dilakukan dengan firewall atau sejenisnya.
txwikinger

8
@TXwik Anda memfilter apa yang Anda pantau dengan
WireShark

1
Pertanyaan bisa lebih jelas;)
txwikinger

34

tcp.port == 443 di jendela filter (mac)


Jika Anda akan memposting jawaban, itu seharusnya merupakan salah satu yang secara substansial berbeda dengan jawaban lain di halaman tersebut. Mengatakan hal yang sama dengan yang sudah dikatakan dua jawaban lainnya tidak terlalu membantu.
Mark Henderson

9
Ini sangat berbeda. Dia menambahkan awalan tcp, yang benar-benar membantu saya, setelah mencoba jawaban sebelumnya tanpa hasil.
user53619


4

Saring tcp.port==443dan kemudian gunakan (Pre) -Master-Secret yang diperoleh dari browser web untuk mendekripsi lalu lintas.

Beberapa tautan bermanfaat:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Sejak revisi SVN 36876, dimungkinkan juga untuk mendekripsi lalu lintas ketika Anda tidak memiliki kunci server tetapi memiliki akses ke rahasia pra-master ... Singkatnya, seharusnya memungkinkan untuk mencatat rahasia pra-master ke file dengan versi Firefox, Chromium, atau Chrome saat ini dengan menetapkan variabel lingkungan (SSLKEYLOGFILE =). Versi QT saat ini (keduanya 4 dan 5) memungkinkan untuk mengekspor rahasia pra-master juga, tetapi ke jalur tetap / tmp / qt -ssl-keys dan mereka memerlukan opsi waktu kompilasi: Untuk program Java, rahasia pra-master dapat diekstraksi dari log debug SSL, atau menghasilkan langsung dalam format yang diperlukan oleh Wireshark melalui agen ini. " (jSSLKeyLog)


lagi pula untuk melakukan ini pada iPhone yang terpasang pada mac? Saya dapat memeriksa lalu lintas http tetapi tidak https
chovy

Saya akan menggunakan proxy untuk @chovy itu. Apakah itu alternatif? Coba BURP dan tautan ini: support.portswigger.net/customer/portal/articles/…
Ogglas

apakah ada hal seperti bersendawa tetapi open source?
chovy

Saya pikir ada tetapi saya belum mencoba sendiri. Coba Googling "mencegat open source proxy" dan lihat apa yang Anda temukan. Namun BURP terkenal di komunitas keamanan dan bukan sesuatu yang teduh (meskipun namanya) jadi saya mungkin akan pergi dengan BURP. @chovy
Ogglas

0

Anda dapat menggunakan filter "tls":

masukkan deskripsi gambar di sini

TLS adalah singkatan dari Transport Layer Security , yang merupakan penerus protokol SSL. Jika Anda mencoba memeriksa permintaan HTTPS, filter ini mungkin yang Anda cari.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.