So lesen Sie den HTTPS -Verkehr in Wireshark

So lesen Sie den HTTPS -Verkehr in Wireshark

Wireshark ist ein beliebter Open-Source-Paketanalysator, der eine breite Palette von bequemen Funktionen für die Netzwerkanalyse, Fehlerbehebung, Bildung und vieles mehr bietet. Menschen, die zum ersten Mal Wireshark einsetzen wollen, und diejenigen, die bereits Erfahrung damit haben, wundern sich oft über das Lesen von HTTPS -Verkehr.

Wenn Sie einer von ihnen sind, sind Sie am richtigen Ort gekommen. Hier erklären wir, was HTTPS ist und wie es funktioniert. Dann werden wir diskutieren, ob Sie den HTTPS -Verkehr lesen können, warum dies ein Problem sein könnte und was Sie dagegen tun können.

Was ist https?

Hypertext Transfer Protocol Secure (HTTPS) stellt eine sichere Version von HTTP dar, die sichere Datenübertragung und Kommunikation zwischen einem Webbrowser und einer Website garantiert.

HTTPS sorgt für Sicherheit und verhindert Abhändung, Identitätsdiebstähle, Mann-in-the-Middle-Angriffe und andere Sicherheitsbedrohungen. Heutzutage fordert jede Website auf, auf der Sie aufgefordert werden, Ihre Informationen einzugeben oder ein Konto zu erstellen. Funktionen HTTPS, um Sie zu schützen.

HTTPS -Schilde vor Sicherheitsbedrohungen und böswilligen Angriffen, indem alle Austausch zwischen einem Webbrowser und einem Server verschlüsselt werden.

Es ist wichtig zu klären, dass HTTPS nicht von HTTP getrennt ist. Es handelt sich vielmehr um eine HTTP -Variante, die eine spezifische Verschlüsselung verwendet wie sichere Socket Layer (SSL) und Transport Layer Security (TLS), um die Kommunikation zu sichern. Wenn ein Webbrowser und ein Webserver über HTTPS kommunizieren, beteiligen sie sich mit einem SSL/TLS -Handshake, i, i.e., Ein Austausch von Sicherheitszertifikaten.

Wie können Sie feststellen, ob Ihre Kommunikation mit einer Website mit HTTPS gesichert ist? Schauen Sie sich einfach die Adressleiste an. Wenn Sie zu Beginn der URL "https" sehen, ist Ihre Verbindung sicher.

Wireshark, wie man den HTTPS -Verkehr liest

Eines der Hauptmerkmale von HTTPS ist, dass es verschlüsselt ist. Dies ist zwar von Vorteil, wenn Sie online einkaufen oder persönliche Informationen auf einer Website verlassen, aber es kann ein Nachteil sein, wenn Sie verfolgen, um den Webverkehr zu überwachen und Ihr Netzwerk zu analysieren.

Da HTTPS verschlüsselt ist, gibt es keine Möglichkeit, es in Wireshark zu lesen. Sie können jedoch SSL- und TLS -Pakete anzeigen und sie auf HTTPS entschlüsseln.

Befolgen Sie diese Schritte, um SSL- und TLS -Pakete in Wireshark zu lesen:

  1. Öffnen Sie Wireshark und wählen Sie, was Sie im Menü "Capture" erfassen möchten.
  2. Konzentrieren Sie sich im Bereich "Paketliste" auf die Spalte "Protokoll" und suchen Sie nach "SSL".”
  3. Finden Sie das SSL- oder TLS -Paket, an dem Sie interessiert sind.

Wie man SSL in Wireshark entschlüsselt

Die empfohlene Möglichkeit, SSL zu entschlüsseln. Sie müssen diese vier Schritte ausfüllen:

  • Setzen Sie eine Umgebungsvariable.
  • Starten Sie Ihren Browser.
  • Konfigurieren Sie Ihre Einstellungen in Wireshark.
  • Erfassen und Entschlüsseln von Sitzungsschlüssel.

Lassen Sie uns jeden Schritt ausführlicher durchgehen.

Setzen Sie eine Umgebungsvariable

Eine Umgebungsvariable ist ein Wert, der bestimmt, wie Ihr Computer mit verschiedenen Prozessen umgeht. Wenn Sie SSL und TLS entschlüsseln möchten, müssen Sie zunächst eine Umgebungsvariable ordnungsgemäß einstellen. Wie Sie dies tun, hängt von Ihrem Betriebssystem ab.

Stellen Sie eine Umgebungsvariable in Windows ein

Windows -Benutzer sollten diese Schritte befolgen, um eine Umgebungsvariable festzulegen:

  1. Starten Sie das Startmenü.
  2. Öffnen Sie das Bedienfeld.”
  3. Gehen Sie zu „System und Sicherheit.”
  4. Wählen Sie „System.”
  5. Scrollen Sie nach unten und wählen Sie „Erweiterte Systemeinstellungen.”
  6. Verdoppeln Sie die Überprüfung, wenn Sie sich im Abschnitt „Erweitert“ befinden, und drücken Sie "Umgebungsvariablen".”
  7. Drücken Sie unter "Nutzervariablen" "Neu".”
  8. Geben Sie "SSLKEYLogfile" unter "Variablen Namen" ein.”
  9. Geben Sie unter "Variablenwert" den Pfad zur Protokolldatei ein oder durchsuchen.
  10. Drücke OK.”

Legen Sie eine Umgebungsvariable auf Mac oder Linux fest

Wenn Sie ein Linux- oder Mac -Benutzer sind, müssen Sie Nano verwenden, um eine Umgebungsvariable festzulegen.

Linux -Benutzer sollten ein Terminal öffnen und diesen Befehl eingeben: „Nano ~/ .bashrc ”. MAC -Benutzer sollten LaunchPad öffnen, "Andere" drücken und ein Terminal starten. Dann sollten sie diesen Befehl eingeben: „Nano ~/ .bash_profile ”.

Sowohl Linux- als auch Mac -Benutzer sollten dann folgende Schritte ausführen, um fortzufahren:

  1. Fügen Sie diese Datei am Ende der Datei hinzu: „SSLKEYLOGFILE = ~/ exportieren.SSL-Key.Protokoll".
  2. Speichern Sie Ihre Änderungen.
  3. Schließen Sie das Terminalfenster und starten Sie eine andere. Geben Sie diese Zeile ein: "Echo $ sskeyLogfile".
  4. Sie sollten nun den vollständigen Pfad zu Ihrem SSL-Tastenprotokoll vor dem Master sehen. Kopieren Sie diesen Pfad, um ihn für später zu speichern, da Sie ihn in Wireshark eingeben müssen.

Starten Sie Ihren Browser

Der zweite Schritt besteht darin, Ihren Browser zu starten, um sicherzustellen, dass die Protokolldatei verwendet wird. Sie müssen Ihren Browser öffnen und eine SSL-fähige Website besuchen.

Nachdem Sie eine solche Website besucht haben, überprüfen Sie Ihre Datei auf Daten. In Windows sollten Sie Notepad verwenden, während Sie in Mac und Linux diesen Befehl verwenden sollten: „Cat ~/ .SSL-Log.Taste".

Konfigurieren Sie Wireshark

Nachdem Sie Ihr Browser eingerichtet haben, protokolliert die Tasten vor dem Master am gewünschten Ort. Es ist an der Zeit, Wireshark zu konfigurieren. Nach dem Konfigurieren sollte Wireshark in der Lage sein, die Schlüssel zum Entschlüsseln von SSL zu verwenden.

Befolgen Sie die folgenden Schritte, um dies zu tun:

  1. Starten Sie Wireshark und gehen Sie zu „Bearbeiten.”
  2. Klicken Sie auf „Einstellungen.”
  3. Erweitern Sie „Protokolle.”
  4. Scrollen Sie nach unten und wählen Sie „SSL.”
  5. Finden Sie "(pre) -Master Secret Log Dateiname" und geben Sie den Pfad ein, den Sie im ersten Schritt einrichten.
  6. Drücke OK.”

Erfassen und Entschlüsseln von Sitzungsschlüssel

Nachdem Sie alles konfiguriert haben, ist es Zeit zu überprüfen, ob Wireshark SSL entschlüsselt. Folgendes müssen Sie tun:

  1. Starten Sie Wireshark und beginnen.
  2. Minimieren Sie das WireShark -Fenster und öffnen Sie Ihren Browser.
  3. Gehen Sie zu einer sicheren Website, um Daten zu erhalten.
  4. Kehren Sie zu Wireshark zurück und wählen Sie einen beliebigen Rahmen mit verschlüsselten Daten aus.
  5. Finden Sie "Paket -Byte -Ansicht" und sehen Sie sich die Daten "Entschlüsselter SSL" an. HTML sollte jetzt sichtbar sein.

Welche bequemen Funktionen bieten Wireshark an?

Einer der Gründe, warum Wireshark ein führender Netzwerkpaketanalysator ist, ist, dass es eine breite Palette von bequemen Optionen bietet, die Ihre Benutzererfahrung verbessern. Hier sind einige davon:

Farbcodierung

Das Durchlaufen großer Informationsmengen kann zeitaufwändig und anstrengend sein. Wireshark versucht Ihnen zu helfen, verschiedene Pakettypen mit einem einzigartigen Farbkodiersystem zu unterscheiden. Hier sehen Sie die Standardfarben für wichtige Pakettypen:

  • Hellblau - UDP
  • Hellviolett - TCP
  • Hellgrün - HTTP -Verkehr
  • Hellgelb - Windows -spezifischer Datenverkehr (einschließlich Server -Nachrichtenblöcke (SMB) und NetBIOS
  • Dunkelgelb - Routing
  • Dunkelgrau - TCP -Syn, ACK und FIN -Verkehr
  • Schwarz - Pakete mit einem Fehler enthalten

Sie können das gesamte Malvorlagen anzeigen, indem Sie zu „Anzeigen“ gehen und "Malvorlagen" auswählen.”

Mit Wireshark können Sie Ihre eigenen Farbregeln entsprechend Ihren Vorlieben in denselben Einstellungen anpassen. Wenn Sie keine Färbung haben möchten, wechseln Sie die Schaltfläche "Schalter" neben „Paketliste erfassen.”

Metriken und Statistiken

Wireshark bietet verschiedene Möglichkeiten, um mehr über Ihre Erfassung zu erfahren. Diese Optionen befinden sich im Menü „Statistik“ oben im Fenster.

Abhängig von dem, woran Sie interessiert sind, können Sie Statistiken zu Capture -Dateieigenschaften, behobenen Adressen, Paketlängen, Endpunkten und vielen anderen überprüfen.

Befehlszeile

Wenn Sie ein System haben, das keine grafische Benutzeroberfläche (GUI) hat, werden Sie gerne die Wireshark -Funktionen kennenlernen.

Promiscuous -Modus

Mit Wireshark können Sie standardmäßig Pakete erfassen, die zu und vom Computer gehen, den Sie verwenden. Wenn Sie jedoch den Promiscuous -Modus aktivieren, können Sie den größten Teil des Datenverkehrs im gesamten örtlichen Netzwerk (LAN) erfassen.

FAQ

Kann ich Paketdaten in Wireshark filtern??

Ja, Wireshark bietet erweiterte Filteroptionen an, mit denen Sie relevante Informationen in wenigen Sekunden anzeigen können.

Die Plattform verfügt über zwei Arten von Filtern: Erfassung und Anzeige. Erfassungsfilter werden beim Aufnehmen von Daten verwendet. Sie können sie vor dem Starten einer Paketaufnahme einstellen und können sie während des Vorgangs nicht ändern. Diese Filter stellen eine einfache Möglichkeit dar, schnell nach den Daten zu suchen, an denen Sie interessiert sind. Wenn Wireshark Daten erfasst, die nicht Ihren festgelegten Filtern übereinstimmen, wird sie nicht angezeigt.

Anzeigefilter werden nach dem Erfassungsprozess angewendet. Im Gegensatz zu Erfassungsfiltern, die Daten abwerfen, die nicht mit den festgelegten Kriterien übereinstimmen, verbergen Sie diese Daten einfach aus der Liste aus. Dies gibt Ihnen eine klarere Sicht auf die Erfassung und ermöglicht es Ihnen, leicht zu finden, wonach Sie suchen.

Wenn Sie viele Filter in Wireshark verwenden und Probleme haben, sich an sie zu erinnern, werden Sie sich freuen zu wissen, dass mit Wireshark Sie Ihre Filter retten können. Auf diese Weise müssen Sie sich keine Sorgen machen, die richtige Syntax zu vergessen oder den falschen Filter anzuwenden. Sie können Ihren Filter speichern, indem Sie das Lesezeichen -Symbol neben dem Filterfeld drücken.

Master -Netzwerkanalyse mit Wireshark

Dank der beeindruckenden Optionen für Paketanalysen können Sie mit Wireshark eine ausführliche Sicht auf den Verkehr erhalten, der zu und von Ihrem Netzwerk geht. Obwohl es fortschrittliche Funktionen bietet, bietet Wireshark eine einfache, intuitive Schnittstelle, sodass selbst diejenigen, die neu in der Paketanalyse -Welt sind, die Seile schnell lernen werden. Das Lesen des HTTPS -Verkehrs ist möglicherweise nicht einfach, aber es ist möglich, wenn Sie SSL -Pakete entschlüsseln.

Was magst du am meisten an Wireshark?? Haben Sie jemals Probleme damit gehabt?? Teilen Sie uns im Kommentarbereich unten mit.