Как читать HTTPS-трафик в Wireshark

Wireshark – это популярный анализатор пакетов с открытым исходным кодом, предлагающий широкий спектр удобных функций для анализа сети, устранения неполадок, обучения и многого другого. Люди, которые хотят использовать Wireshark впервые, и те, кто уже имеет с ним опыт, часто задаются вопросом о чтении трафика HTTPS.

Если вы один из них, вы пришли в нужное место. Здесь мы объясним, что такое HTTPS и как он работает. Затем мы обсудим, можете ли вы читать HTTPS-трафик, почему это может быть проблемой и что с этим делать.

Что такое HTTPS?

Защищенный протокол передачи гипертекста (HTTPS) представляет собой безопасную версию HTTP, гарантирующую безопасную передачу данных и связь между веб-браузером и веб-сайтом.

HTTPS обеспечивает безопасность и предотвращает прослушивание, кражу личных данных, атаки «человек посередине» и другие угрозы безопасности. В наши дни любой веб-сайт, который просит вас ввести свою информацию или создать учетную запись, использует HTTPS для вашей защиты.

HTTPS защищает от угроз безопасности и вредоносных атак, шифруя все обмены между веб-браузером и сервером.< /p>

Важно уточнить, что HTTPS неотделим от HTTP. Скорее, это вариант HTTP, который использует специальное шифрование, такое как Secure Socket Layer (SSL) и Transport Layer Security (TLS), для защиты связи. Когда веб-браузер и веб-сервер взаимодействуют через HTTPS, они выполняют рукопожатие SSL/TLS, то есть обмениваются сертификатами безопасности.

Как узнать, защищено ли ваше соединение с веб-сайтом с помощью HTTPS ? Просто посмотрите на адресную строку. Если вы видите “https” в начале URL-адреса ваше соединение защищено.

Wireshark Как читать HTTPS-трафик

Одной из основных особенностей HTTPS является то, что он зашифрован. Хотя это является преимуществом, когда вы делаете покупки в Интернете или оставляете личную информацию на веб-сайте, это может быть недостатком, когда вы отслеживаете веб-трафик и анализируете свою сеть.

Поскольку HTTPS зашифрован, его невозможно прочитать в Wireshark. Но вы можете отображать пакеты SSL и TLS и расшифровывать их в HTTPS.

Выполните следующие действия, чтобы прочитать пакеты SSL и TLS в Wireshark:

  1. Откройте Wireshark и выберите, что вы хотите захватить в “Capture” меню.
  2. В “Списке пакетов” на панели выберите “Протокол” и найдите “SSL.”
  3. Найдите SSL или пакет TLS, который вас интересует, и откройте его.

Как Расшифровать SSL в Wireshark

Рекомендуемый способ расшифровки SSL — использование предварительного секретного ключа. Вам потребуется выполнить следующие четыре шага:

  • задать переменную среды.
  • запустить браузер. .
  • Настройте параметры в Wireshark.
  • Захватите и расшифруйте сеансовые ключи.

Позвольте’ s рассмотрим каждый шаг более подробно.

Установка переменной среды

Переменная среды — это значение, которое определяет, как ваш компьютер обрабатывает различные процессы. Если вы хотите расшифровать SSL и TLS, вам сначала нужно правильно установить переменную среды. То, как вы это сделаете, зависит от вашей операционной системы.

Установка переменной среды в Windows

Пользователи Windows должны выполнить следующие действия, чтобы установить переменную среды:

  1. Откройте меню «Пуск».
  2. Откройте “Панель управления”
  3. Перейдите в “Система и безопасность”
  4. Выберите “ Система.”
  5. Прокрутите вниз и выберите “Дополнительные параметры системы .”
  6. Дважды проверьте, находитесь ли вы в разделе “Дополнительно” и нажмите “Переменные среды”
  7. Нажмите “ Новый” в разделе “Переменные пользователя”
  8. Введите “SSLKEYLOGFILE” в разделе “Имя переменной”
  9. В разделе “Значение переменной” введите или найдите путь к файлу журнала.
  10. Нажмите “ Хорошо. ”

Установите переменную среды в Mac или Linux

Если вы используете Linux или Mac, вам потребуется использовать nano для установки переменной среды.

Пользователи Linux должны открыть терминал и ввести следующую команду: “nano ~/.bashrc”. Пользователям Mac следует открыть Launchpad, нажать “Другое” и запустить терминал. Затем они должны ввести следующую команду: “nano ~/.bash_profile”.

Пользователи Linux и Mac должны выполнить следующие действия:

    < li id="step1">Добавьте этот файл в конец файла: “export SSLKEYLOGFILE=~/.ssl-key.log”.
  1. Сохраните изменения.
  2. Сохраните изменения.
  3. li>
  4. Закройте окно терминала и запустите другое. Введите следующую строку: “echo $SSKEYLOGFILE”.
  5. Теперь вы должны увидеть полный путь к журналу предварительного главного ключа SSL. Скопируйте этот путь, чтобы сохранить его позже, так как вам нужно будет ввести его в Wireshark.

Запустите браузер

Второй шаг – это запуск браузера, чтобы убедиться, что файл журнала используется. Вам нужно открыть браузер и посетить веб-сайт с поддержкой SSL.

После посещения такого веб-сайта проверьте наличие данных в своем файле. В Windows вы должны использовать Блокнот, а в Mac и Linux вы должны использовать эту команду: “cat ~/.ssl-log.key”.

Настроить Wireshark

После вы установили, что ваш браузер регистрирует предварительные мастер-ключи в нужном месте, пришло время настроить Wireshark. После настройки Wireshark сможет использовать ключи для расшифровки SSL.

Для этого выполните следующие действия:

  1. Запустите Wireshark и перейдите в раздел “Изменить”
  2. Нажмите “Настройки”
  3. Развернуть “Протоколы”
  4. Прокрутите вниз и выберите “SSL”
  5. Найдите “(Pre )-имя файла журнала главного секрета” и введите путь, который вы указали на первом шаге.
  6. Нажмите «ОК».

Захват и расшифровка ключей сеанса

Теперь, когда вы все настроили, пришло время проверить, расшифровывает ли Wireshark SSL. Вот что вам нужно сделать:

  1. Запустите Wireshark и начните сеанс захвата без фильтрации.
  2. Сверните окно Wireshark и откройте браузер.
  3. Зайдите на любой защищенный веб-сайт, чтобы получить данные.
  4. Вернитесь в Wireshark и выберите любой кадр с зашифрованными данными.
  5. Найти “Просмотр байтов пакетов” и посмотрите на “Расшифрованный SSL” данные. Теперь HTML должен быть виден.

Какие удобные функции предлагает Wireshark?

Одна из причин, по которой Wireshark является ведущим анализатором сетевых пакетов, заключается в том, что он предлагает широкий спектр удобных опций, которые улучшают взаимодействие с пользователем. Вот некоторые из них:

Цветовое кодирование

Просмотр огромного количества информации может занять много времени и утомительно. Wireshark пытается помочь вам различать разные типы пакетов с помощью уникальной системы цветового кодирования. Здесь вы можете увидеть цвета по умолчанию для основных типов пакетов:

  • Голубой – UDP
  • Светло-фиолетовый – TCP
  • Светло-зеленый – HTTP-трафик
  • Светло-желтый – Трафик для Windows (включая блоки сообщений сервера (SMB) и NetBIOS
  • Темно-желтый – маршрутизация
  • Темно-серый – TCP SYN, ACK и FIN-трафик
  • Черные пакеты – пакеты с ошибкой

Вы можете просмотреть всю цветовую схему, перейдя в “View” и выбрав “Правила окраски”

Wireshark позволяет настроить собственные правила окраски в соответствии с вашими предпочтениями в тех же настройках. Если вы не хотите раскрашивать, переключите переключатель рядом с “Раскрасить список пакетов”

Метрики и статистика

Wireshark предлагает различные варианты, чтобы узнать больше о вашем захвате. . Эти параметры находятся в разделе “Статистика” меню в верхней части окна.

В зависимости от того, что вас интересует, вы можете просмотреть статистику по свойствам файла захвата, разрешенным адресам, длине пакета, конечным точкам и многим другим параметрам.

Командная строка

Если у вас есть системы, которая не имеет графического пользовательского интерфейса (GUI), вы будете рады узнать, что Wireshark имеет его.

Неразборчивый режим

По умолчанию Wireshark позволяет перехватывать пакеты, входящие и исходящие с компьютера, который вы используете. Но, если включить неразборчивый режим, можно перехватывать большую часть трафика по всей локальной сети (LAN).

FAQ

Могу ли я фильтровать пакетные данные в Wireshark?

Да, Wireshark предлагает расширенные параметры фильтрации, которые позволяют отображать нужную информацию за несколько секунд.

Платформа имеет два типа фильтров: захват и отображение. Фильтры захвата используются при захвате данных. Вы можете установить их перед началом захвата пакетов и не можете изменить их во время процесса. Эти фильтры представляют собой простой способ быстрого поиска интересующих вас данных. Если Wireshark захватит данные, которые не соответствуют установленным вами фильтрам, они не будут отображаться.

Фильтры отображения применяются после процесс захвата. В отличие от фильтров захвата, которые отбрасывают данные, не соответствующие заданным критериям, фильтры отображения просто скрывают эти данные из списка. Это дает вам более четкое представление о захвате и позволяет легко находить то, что вы ищете.

Если вы используете много фильтров в Wireshark и не можете их запомнить, вы будете рады узнать, что Wireshark позволяет вам сохранять ваши фильтры. Таким образом, вам не нужно беспокоиться о том, что вы забудете правильный синтаксис или примените неправильный фильтр. Вы можете сохранить свой фильтр, нажав значок закладки рядом с полем «Фильтр».

Основной анализ сети с помощью Wireshark

Благодаря своим впечатляющим возможностям анализа пакетов Wireshark позволяет вам получить -глубокий обзор трафика, входящего и исходящего из вашей сети. Несмотря на то, что он предлагает расширенные функции, Wireshark имеет простой, интуитивно понятный интерфейс, поэтому даже новички в мире анализа пакетов быстро освоятся. Чтение HTTPS-трафика может оказаться непростым делом, но возможно, если вы расшифруете SSL-пакеты.

Что вам больше всего нравится в Wireshark? Были ли у вас когда-нибудь проблемы с этим? Расскажите нам в разделе комментариев ниже.

Валентин Павлов/ автор статьи
Страсть Влентина к играм началась с Resident Evil, и с тех пор он не переставал играть в хоррор-игры. Пишет экспертные руководства для самых сложных игр и обзоры для самых громких релизов. Является магистром журналистики и имеет степень бакалавра лингвистики. Любимые игры: GTA 5, Silent Hill 2, Call of Duty: Modern Warfare 2, Heavy Rain, Metro 2033 и другие.
Понравилась статья? Поделиться с друзьями:
Добавить комментарий