Как читать HTTPS-трафик в Wireshark
Wireshark — популярный анализатор пакетов с открытым исходным кодом, который предлагает широкий спектр удобных функций для сетевого анализа, устранения неполадок, обучения и многого другого. Люди, которые хотят использовать Wireshark впервые, и те, кто уже имеет с ним опыт, часто задаются вопросом о чтении HTTPS-трафика.
Если вы один из них, вы попали по адресу. Здесь мы объясним, что такое HTTPS и как он работает. Затем мы обсудим, можете ли вы читать HTTPS-трафик, почему это может быть проблемой и что можно с этим сделать.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
Что такое HTTPS?
Протокол передачи гипертекста Secure (HTTPS) представляет собой безопасную версию HTTP, которая гарантирует безопасную передачу данных и связь между веб-браузером и веб-сайтом.
HTTPS обеспечивает безопасность и предотвращает подслушивание, кражу личных данных, атаки «человек посередине» и другие угрозы безопасности. В наши дни любой веб-сайт, который просит вас ввести свою информацию или создать учетную запись, использует HTTPS для вашей защиты.
HTTPS защищает от угроз безопасности и вредоносных атак, шифруя весь обмен данными между веб-браузером и сервером.
Важно уточнить, что HTTPS не отделен от HTTP. Скорее, это вариант HTTP, который использует специальное шифрование, такое как Secure Socket Layer (SSL) и Transport Layer Security (TLS), для защиты связи. Когда веб-браузер и веб-сервер взаимодействуют через HTTPS, они участвуют в подтверждении связи SSL/TLS, т. е. обмениваются сертификатами безопасности.
Как определить, защищено ли ваше соединение с веб-сайтом с помощью HTTPS? Просто посмотрите на адресную строку. Если вы видите «https» в начале URL-адреса, ваше соединение защищено.
Wireshark Как читать HTTPS-трафик
Одной из основных особенностей HTTPS является то, что он зашифрован. Хотя это является преимуществом, когда вы делаете покупки в Интернете или оставляете личную информацию на веб-сайте, это может быть недостатком, когда вы отслеживаете веб-трафик и анализируете свою сеть.
Поскольку HTTPS зашифрован, его невозможно прочитать в Wireshark. Но вы можете отображать пакеты SSL и TLS и расшифровывать их в HTTPS.
Выполните следующие действия, чтобы прочитать пакеты SSL и TLS в Wireshark:
- Откройте Wireshark и выберите в меню «Захват» то, что вы хотите захватить.
- На панели «Список пакетов» сосредоточьтесь на столбце «Протокол» и найдите «SSL».
- Найдите интересующий вас пакет SSL или TLS и откройте его.
Как расшифровать SSL в Wireshark
Рекомендуемый способ расшифровки SSL — использовать секретный ключ предварительного мастера. Вам нужно будет выполнить следующие четыре шага:
- Установите переменную среды.
- Запустите браузер.
- Настройте параметры в Wireshark.
- Захват и расшифровка сеансовых ключей.
Давайте разберем каждый шаг более подробно.
Установите переменную среды
Переменная среды — это значение, которое определяет, как ваш компьютер обрабатывает различные процессы. Если вы хотите расшифровать SSL и TLS, сначала необходимо правильно установить переменную среды. Как вы это сделаете, зависит от вашей операционной системы.
Установите переменную среды в Windows
Пользователи Windows должны выполнить следующие шаги, чтобы установить переменную среды:
- Запустите меню «Пуск».
- Откройте «Панель управления».
- Перейдите в «Система и безопасность».
- Выберите «Система».
- Прокрутите вниз и выберите «Дополнительные настройки системы».
- Еще раз проверьте, находитесь ли вы в разделе «Дополнительно», и нажмите «Переменные среды».
- Нажмите «Создать» в разделе «Пользовательские переменные».
- Введите «SSLKEYLOGFILE» в разделе «Имя переменной».
- В разделе «Значение переменной» введите или просмотрите путь к файлу журнала.
- Нажмите «ОК».
Установите переменную среды в Mac или Linux
Если вы пользователь Linux или Mac, вам нужно будет использовать nano для установки переменной среды.
Пользователи Linux должны открыть терминал и ввести следующую команду: «nano ~/.bashrc». Пользователи Mac должны открыть панель запуска, нажать «Другое» и запустить терминал. Затем им следует ввести следующую команду: «nano ~/.bash_profile».
Пользователи Linux и Mac должны выполнить следующие действия, чтобы продолжить:
- Добавьте этот файл в конец файла: «export SSLKEYLOGFILE=~/.ssl-key.log».
- Сохраните изменения.
- Закройте окно терминала и запустите другое. Введите эту строку: «echo $SSKEYLOGFILE».
- Теперь вы должны увидеть полный путь к журналу предварительного главного ключа SSL. Скопируйте этот путь, чтобы сохранить его на будущее, так как вам нужно будет ввести его в Wireshark.
Запустите свой браузер
Второй шаг — запуск браузера, чтобы убедиться, что файл журнала используется. Вам необходимо открыть браузер и посетить веб-сайт с поддержкой SSL.
После посещения такого веб-сайта проверьте файл на наличие данных. В Windows вам следует использовать Блокнот, а в Mac и Linux — эту команду: «cat ~/.ssl-log.key».
Настроить Wireshark
После того, как вы установили, что ваш браузер регистрирует предварительные главные ключи в нужном месте, пришло время настроить Wireshark. После настройки Wireshark сможет использовать ключи для расшифровки SSL.
Чтобы сделать это, выполните следующие действия:
- Запустите Wireshark и перейдите в «Редактировать».
- Нажмите «Настройки».
- Разверните «Протоколы».
- Прокрутите вниз и выберите «SSL».
- Найдите «Имя файла журнала секретного секрета (Pre)-Master» и введите путь, который вы установили на первом шаге.
- Нажмите «ОК».
Захват и расшифровка сеансовых ключей
Теперь, когда вы все настроили, пришло время проверить, расшифровывает ли Wireshark SSL. Вот что вам нужно сделать:
- Запустите Wireshark и начните сеанс нефильтрованного захвата.
- Сверните окно Wireshark и откройте браузер.
- Перейдите на любой защищенный веб-сайт, чтобы получить данные.
- Вернитесь в Wireshark и выберите любой кадр с зашифрованными данными.
- Найдите «Просмотр байтов пакета» и просмотрите данные «Расшифрованный SSL». HTML теперь должен быть виден.
Какие удобные функции предлагает Wireshark?
Одна из причин, по которой Wireshark является ведущим анализатором сетевых пакетов, заключается в том, что он предлагает широкий спектр удобных опций, которые улучшают ваш пользовательский опыт. Вот некоторые из них:
Цветовое кодирование
Просмотр огромных объемов информации может занять много времени и утомить. Wireshark пытается помочь вам различать различные типы пакетов с помощью уникальной системы цветового кодирования. Здесь вы можете увидеть цвета по умолчанию для основных типов пакетов:
- Голубой – UDP
- Светло-фиолетовый — TCP
- Светло-зеленый — HTTP-трафик.
- Светло-желтый — трафик, специфичный для Windows (включая блоки сообщений сервера (SMB) и NetBIOS).
- Темно-желтый – Маршрутизация
- Темно-серый — трафик TCP SYN, ACK и FIN.
- Черный — пакеты, содержащие ошибку.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
Вы можете просмотреть всю схему раскраски, перейдя в «Вид» и выбрав «Правила раскраски».
Wireshark позволяет вам в тех же настройках настроить собственные правила раскраски в соответствии с вашими предпочтениями. Если вам не нужна раскраска, переключите переключатель рядом с «Раскрасить список пакетов».
Метрики и статистика
Wireshark предлагает различные варианты получения дополнительной информации о захвате. Эти параметры расположены в меню «Статистика» в верхней части окна.
В зависимости от того, что вас интересует, вы можете просмотреть статистику по свойствам файла захвата, разрешенным адресам, длине пакетов, конечным точкам и многому другому.
Командная строка
Если у вас есть система, в которой нет графического пользовательского интерфейса (GUI), вы будете рады узнать, что Wireshark имеет его.
Беспорядочный режим
По умолчанию Wireshark позволяет перехватывать пакеты, входящие и исходящие от используемого вами компьютера. Но если вы включите беспорядочный режим, вы сможете перехватить большую часть трафика во всей локальной сети (LAN).
Часто задаваемые вопросы
Могу ли я фильтровать пакетные данные в Wireshark?
Да, Wireshark предлагает расширенные возможности фильтрации, которые позволяют отображать соответствующую информацию за несколько секунд.
Платформа имеет два типа фильтров: захват и отображение. Фильтры захвата используются при сборе данных. Вы можете установить их перед началом перехвата пакетов и не можете изменять их во время процесса. Эти фильтры представляют собой простой способ быстрого поиска интересующих вас данных. Если Wireshark захватывает данные, которые не соответствуют установленным вами фильтрам, они не будут отображаться.
Фильтры отображения применяются после процесса захвата. В отличие от фильтров захвата, которые отбрасывают данные, не соответствующие заданным критериям, фильтры отображения просто скрывают эти данные из списка. Это дает вам более четкое представление о захвате и позволяет легко найти то, что вы ищете.
Если вы используете много фильтров в Wireshark и вам сложно их запомнить, вы будете рады узнать, что Wireshark позволяет сохранять фильтры. Таким образом, вам не придется беспокоиться о том, что вы забудете правильный синтаксис или примените неправильный фильтр. Вы можете сохранить фильтр, нажав значок закладки рядом с полем «Фильтр».
Мастер сетевого анализа с помощью Wireshark
Благодаря впечатляющим возможностям анализа пакетов Wireshark позволяет вам получить подробное представление о входящем и исходящем трафике вашей сети. Несмотря на то, что Wireshark предлагает расширенные функции, он имеет простой, интуитивно понятный интерфейс, поэтому даже новички в мире анализа пакетов быстро освоят основы. Чтение трафика HTTPS может быть непростой задачей, но это возможно, если вы расшифровываете пакеты SSL.
Что вам больше всего нравится в Wireshark? Были ли у вас когда-нибудь с этим проблемы? Расскажите нам в разделе комментариев ниже.