HTTPS报文分析(Wireshark)

这篇具有很好参考价值的文章主要介绍了HTTPS报文分析(Wireshark)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

概述

HTTPS全称为Hyper Text Transfer Protocol over Secure Socket Layer或者Hypertext Transfer Protocol Secure,被译为超文本传输安全协议。HTTPS是以安全为目标的HTTP通道,即HTTP下加入SSL层。HTTPS的安全集成是SSL。其中,HTTP协议时通过明文形式传输数据的。目前,大部分网站为了安全,都是要HTTPS协议。
https报文,报文分析,https,wireshark,网络

TLS流

TLS(Transport Layer Security,传输层安全性协议)是SSL(Secure Sockets Layer,安全套接层)的继承者,目的是为了互联网通信提供安全及数据完整性保障。所以,对于捕获到HTTPS服务器传输的数据包,使用的协议为TLS协议。TLS流和HTTP流一样,如果响应的数据较多时,数据将被TCP分片传输。如果要想查看完整的会话,则必须跟踪流。在菜单栏中,依次选择“分析”|“追踪流”|TLS流命令,将弹出追踪TLS流对话框。 https报文,报文分析,https,wireshark,网络
https报文,报文分析,https,wireshark,网络

提示:如果用户要导出TLS流,则需要对捕获到的TLS包解密后才可以操作;否则,追踪到的TLS流对话框为空白。

HTTPS统计分析

wireshark中提供了一个HTTPS数据统计功能。用户可以通过查看HTTPS统计信息来查看各种数据包的情况。
菜单如下:
https报文,报文分析,https,wireshark,网络

解密HTTPS数据

如果网站服务器使用的是HTTPS协议的话,则使用Wireshark捕获到的包都是加密的包。如果响应分析传输的内容,则需要进行解密。其中,解密后的内容为HTTP和HTTP2协议。
如果没有解密,则所有的数据包都是TLS协议。Wireshark中支持通过导入服务器证书和日志文件两种方式来解密HTTPS数据。
https报文,报文分析,https,wireshark,网络
两种解密方式配置:

  1. 方式1:如上图所示的对话框中单击RSA keys list对应的Edit按钮,即可配置通过服务器证书来解密HTTPS数据。
  2. 方式2:单击(Pre)-Master-Secret log filename文本框对应的browser按钮,指定日志文件存储路径,即可使用日志文件的方式来解密HTTPS数据。

使用日志文件方式解密

对于普通用户来说,如果要拿到服务器证书,显然不是一件很容易的事。此时,使用日志文件的方式相对来说就比较简单了。Chrome、Firefox、Edege浏览器都支持使用日记文件的方式记录用来加密TLS数据包对称会话的密钥,然后再Wireshark中指定该日记文件,就可以快速地解密HTTPS数据了。
日记文件方式主要是通过在系统中配置一个环境变量SSLKEYLOGFILE来实现的。
当用户配置SSLKEYLOGFILE环境变量后,就表示告诉浏览器想知道其每次HTTPS会话的key记录。这样,浏览器将会在每次HTTPS会话结束后,将会话数据解密的key记录到keylog文件中,然后Wireshark通过访问keylog文件,使用里面的key就可以解密字节捕获到浏览器中产生的HTTPS会话数据流。
配置方式如下:

  1. 系统配置SSLKEYLOGFILE变量
    SSLKEYLOGFILE变量值可以随意指定,本例中是F:\sslkeylog.log。 https报文,报文分析,https,wireshark,网络
  2. Wireshark中指定日志文件路径
    在菜单栏中依次选择“编辑”|“首选项”|Protocols|TLS命令,打开TLS协议设置对话框,在其中指定日志文件的存储路径。
    https报文,报文分析,https,wireshark,网络
  3. 之后通过Chrome等浏览器访问HTTPS网站,并用Wireshark捕获到的包即可成功解密。
    此时使用显示过滤器tls and http或者tls and http2即可过滤解密后的数据包。
    https报文,报文分析,https,wireshark,网络
    从窗口中可以看到,成功显示过滤出了解密后的数据包。而且从状态栏上可以看到,出现了一个Decrypted TLS(被解密的TLS数据包)标签,表示解密成功。
  4. 我们可以通过追踪流来看到解密后的分组数据。
    https报文,报文分析,https,wireshark,网络

使用服务器证书方式解密

如果用户可以拿到服务器证书的话,则可以使用服务器证书方式解密HTTPS数据。文章来源地址https://www.toymoban.com/news/detail-722740.html

  • 在菜单栏依次选择“编辑”|“首选项”|Protocols|TLS命令,打开TLS协议设置对话框。
    https报文,报文分析,https,wireshark,网络
  • 单击RSA keys list对应的Edit按钮,将打开TLS解密对话框,如上图所示。
  • 该对话框中共包括5列,分别是IP address、Port、Protocol、Key File和Password。
    • IP address:服务器的IP地址。
    • Port:HTTPS监听的端口,一般为443。
    • Protocol:指定协议,一般为HTTP。
    • Key File:指定从服务器上获取到的RSA Key。这个RSA Key需要是一个解密后的PKCS#8PEM格式的(RSA)Key。
    • password:一般不填写。

到了这里,关于HTTPS报文分析(Wireshark)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络技术】【Kali Linux】Wireshark嗅探(九)安全HTTP协议(HTTPS协议)

    本次实验是基于之前的实验:Wireshark嗅探(七)(HTTP协议)进行的。本次实验使用Wireshark流量分析工具进行网络嗅探,旨在初步了解安全的HTTP协议(HTTPS协议)的工作原理。 HTTPS的含义是HTTP + SSL,即使用SSL(安全套接字)协议对通信数据进行加密。HTTP和HTTPS协议的区别(用

    2024年01月20日
    浏览(52)
  • 【网络技术】【Kali Linux】Wireshark嗅探(十一)以太网Ethernet协议报文捕获及分析

    往期 Kali Linux 上的 Wireshark 嗅探实验见博客: 【网络技术】【Kali Linux】Wireshark嗅探(一)ping 和 ICMP 【网络技术】【Kali Linux】Wireshark嗅探(二)TCP 协议 【网络技术】【Kali Linux】Wireshark嗅探(三)用户数据报(UDP)协议 【网络技术】【Kali Linux】Wireshark嗅探(四)域名系统(

    2024年04月27日
    浏览(38)
  • Wireshark 解密https 数据

    默认情况下 wireshark 抓到的https 数据包都是加密后的,无法展示明文内容 浏览器在访问https 站点的时候会检测这个 SSLKEYLOGFILE 变量,如果存在,则将https 密钥写入对应的文件内 配置好之后需要重启浏览器生效 文件内容如下 配置wireshark 使用上面环境变量指定的密钥文件 适用

    2024年02月16日
    浏览(41)
  • Wireshark抓包及DNS报文分析

    Wireshark抓包及DNS报文分析 来来来,点我进行5分钟视频学习,冲冲冲 一、抓包整体描述 第一行,帧Frame 2 指的是要发送的数据块,其中,所抓帧的序号为2,捕获字节数等于传送字节数:696字节。 第二行,以太网,有线局域网技术,是数据链路层。源Mac地址为00e04c3639fa;目标

    2023年04月08日
    浏览(50)
  • wireshark如何抓取https的包

    一般情况下wireshark是无法抓取密文的,我们通过谷歌浏览器得到配置密钥然后进行抓取 window系统: 1.关闭所有浏览器 2.设置SSL 密钥日志文件: cmd打开控制台,执行如下命令: setx SSLKEYLOGFILE E:sslkeykeylog.txt 3.指定 Google Chrome 浏览器生成 SSL 密钥日志文件,到keylog.txt中 \\\"C:Pro

    2024年01月22日
    浏览(47)
  • 使用 Wireshark 调试 HTTPS请求

    从我的这篇博客前端也需要深度了解HTTPS协议可以知道。 https 协议是通过 tls 加密套算法保护下的 http 协议;传统的 wireshark 抓包,可以清楚的看到 http 协议每次交互的报文和内容,但是对于加密的 https ,实际通信是基于非对称加密算法后,在对称算法加密通道内的报文。在

    2024年02月13日
    浏览(42)
  • macos wireshark 抓取https包

    1、启动浏览器 1.1 创建空文件 $ touch /Users/zhujl/Downloads/https/mysslkey.log 2、设置wireshark  tls属性,指定tls密钥存储文件 2.1 进入Wireshark Preferfences Protocols TLS 属性配置  2.2  勾选上Reassemable TLS records spanning multiple TCP segments 属性  2.3 设置Pre-Master-Secret log filename 为步骤1.1 创建的文件

    2024年02月16日
    浏览(40)
  • 使用wireshark抓取https明文包

    ## 设置wireshark抓取本地https包 ### 原理 1. 几乎所有的浏览器以及curl默认支持一个环境变量,当存在该环境变量时。浏览器会自动将https协商用的对称密钥写入该环境变量指向的文件(按照一定的格式) 2. wireshark可以从指定文件中读取密钥,从而使用该密钥对https报文进行解密 3

    2024年02月14日
    浏览(43)
  • 如何使用wireshark抓取HTTPS数据包?

    wireshark 是基于网络层的抓包工具,通过捕获通信双方的TCP/IP包实现内容提取。对于应用层的数据,如果应用层协议是公开的,就可以直接显示数据。处理HTTPS 协议时,因为不知道客户端、服务端的私钥,所以对应的数据不可见。 也就是说,如果 wireshark 能够获取私钥,就能显

    2024年01月19日
    浏览(43)
  • 计算机网络管理 实验4(二) SNMP报文管理信息结构SMI及其规定的ASN.1分析并使用Wireshark抓包分析sysContact的相关信息

    ⬜⬜⬜ 🐰🟧🟨🟩🟦🟪(*^▽^*)欢迎光临 🟧🟨🟩🟦🟪🐰⬜⬜⬜ ✏️write in front✏️ 📝个人主页:陈丹宇jmu 🎁欢迎各位→点赞👍 + 收藏⭐️ + 留言📝​ 🙉联系作者🙈by QQ:813942269🐧 🌈致亲爱的读者:很高兴你能看到我的文章,希望我的文章可以帮助到你,祝万事

    2024年02月09日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包