Wireshark to popularny analizator pakietów typu open source, który oferuje szeroki zakres wygodnych funkcji do analizy sieci, rozwiązywania problemów, edukacji i wielu innych. Osoby, które chcą korzystać z Wireshark po raz pierwszy oraz te, które mają już z nim doświadczenie, często zastanawiają się nad odczytywaniem ruchu HTTPS.
Jeśli jesteś jednym z nich, trafiłeś we właściwe miejsce. Tutaj wyjaśnimy, czym jest HTTPS i jak działa. Następnie omówimy, czy możesz odczytywać ruch HTTPS, dlaczego może to stanowić problem i co możesz z tym zrobić.
Co to jest HTTPS?
Hypertext Transfer Protocol Secure (HTTPS) reprezentuje bezpieczną wersję protokołu HTTP, która gwarantuje bezpieczny transfer danych i komunikację między przeglądarką internetową a stroną internetową.
jak wyłączyć tryb ograniczony
HTTPS zapewnia bezpieczeństwo i zapobiega podsłuchiwaniu, kradzieży tożsamości, atakom typu man-in-the-middle i innym zagrożeniom bezpieczeństwa. W dzisiejszych czasach każda strona internetowa, która prosi o podanie informacji lub utworzenie konta, zawiera HTTPS, aby Cię chronić.
HTTPS chroni przed zagrożeniami bezpieczeństwa i złośliwymi atakami, szyfrując całą wymianę między przeglądarką internetową a serwerem.
Ważne jest, aby wyjaśnić, że HTTPS nie jest oddzielony od HTTP. Jest to raczej wariant HTTP, który wykorzystuje specyficzne szyfrowanie, takie jak Secure Socket Layer (SSL) i Transport Layer Security (TLS) w celu zabezpieczenia komunikacji. Gdy przeglądarka internetowa i serwer WWW komunikują się za pośrednictwem protokołu HTTPS, angażują się w uzgadnianie SSL/TLS, tj. wymianę certyfikatów bezpieczeństwa.
Jak sprawdzić, czy komunikacja z witryną jest zabezpieczona za pomocą protokołu HTTPS? Wystarczy spojrzeć na pasek adresu. Jeśli widzisz „https” na początku adresu URL, Twoje połączenie jest bezpieczne.
Wireshark Jak odczytywać ruch HTTPS
Jedną z głównych cech HTTPS jest to, że jest szyfrowany. Chociaż jest to zaleta, gdy robisz zakupy online lub zostawiasz dane osobowe na stronie internetowej, może to być wadą, gdy śledzisz ruch w sieci i analizujesz swoją sieć.
Ponieważ HTTPS jest szyfrowany, nie ma możliwości odczytania go w Wireshark. Ale możesz wyświetlać pakiety SSL i TLS i odszyfrowywać je do HTTPS.
Wykonaj następujące kroki, aby odczytać pakiety SSL i TLS w Wireshark:
- Otwórz Wireshark i wybierz, co chcesz przechwycić w menu „Capture”.
- W okienku „Lista pakietów” skup się na kolumnie „Protokół” i poszukaj „SSL”.
- Znajdź interesujący Cię pakiet SSL lub TLS i otwórz go.
Jak odszyfrować SSL w Wireshark
Zalecanym sposobem odszyfrowania protokołu SSL jest użycie tajnego klucza wstępnego. Musisz wykonać te cztery kroki:
- Ustaw zmienną środowiskową.
- Uruchom przeglądarkę.
- Skonfiguruj swoje ustawienia w Wireshark.
- Przechwytywanie i odszyfrowywanie kluczy sesyjnych.
Przyjrzyjmy się każdemu krokowi bardziej szczegółowo.
Ustaw zmienną środowiskową
Zmienna środowiskowa to wartość określająca, w jaki sposób komputer obsługuje różne procesy. Jeśli chcesz odszyfrować SSL i TLS, musisz najpierw odpowiednio ustawić zmienną środowiskową. Sposób, w jaki to zrobisz, zależy od systemu operacyjnego.
Ustaw zmienną środowiskową w systemie Windows
Użytkownicy systemu Windows powinni wykonać następujące kroki, aby ustawić zmienną środowiskową:
- Uruchom menu Start.
- Otwórz „Panel sterowania”.
- Przejdź do „System i zabezpieczenia”.
- Wybierz „System”.
- Przewiń w dół i wybierz „Zaawansowane ustawienia systemu”.
- Sprawdź dwukrotnie, czy jesteś w sekcji „Zaawansowane” i naciśnij „Zmienne środowiskowe”.
- Naciśnij „Nowy” w „Zmiennych użytkownika”.
- Wpisz „SSLKEYLOGFILE” w polu „Nazwa zmiennej”.
- W sekcji „Wartość zmiennej” wpisz lub przejrzyj ścieżkę do pliku dziennika.
- Wciśnij OK.'
Ustaw zmienną środowiskową w systemie Mac lub Linux
Jeśli jesteś użytkownikiem systemu Linux lub Mac, musisz użyć nano, aby ustawić zmienną środowiskową.
Użytkownicy Linuksa powinni otworzyć terminal i wprowadzić to polecenie: „nano ~/ .bashrc”. Użytkownicy komputerów Mac powinni otworzyć Launchpad, nacisnąć „Inne” i uruchomić terminal. Następnie powinni wpisać to polecenie: „nano ~/ .bash_profile”.
Zarówno użytkownicy Linuksa, jak i Maca powinni następnie wykonać następujące kroki, aby kontynuować:
Sklep Google Play w ogniu tv stick
- Dodaj ten plik na końcu pliku: „export SSLKEYLOGFILE=~/.ssl-key.log”.
- Zapisz zmiany.
- Zamknij okno terminala i uruchom inne. Wpisz ten wiersz: „echo $ SSKEYLOGFILE”.
- Powinieneś teraz zobaczyć pełną ścieżkę do dziennika klucza wstępnego SSL. Skopiuj tę ścieżkę, aby zapisać ją na później, ponieważ będziesz musiał wprowadzić ją w Wireshark.
Uruchom swoją przeglądarkę
Drugim krokiem jest uruchomienie przeglądarki, aby upewnić się, że plik dziennika jest używany. Musisz otworzyć przeglądarkę i odwiedzić witrynę obsługującą protokół SSL.
Po odwiedzeniu takiej witryny sprawdź plik pod kątem danych. W systemie Windows należy użyć Notatnika, natomiast w systemach Mac i Linux należy użyć polecenia: „cat ~/ .ssl-log.key”.
Skonfiguruj Wiresharka
Po ustaleniu, że przeglądarka rejestruje klucze wstępne w żądanej lokalizacji, nadszedł czas na skonfigurowanie Wireshark. Po skonfigurowaniu Wireshark powinien móc używać kluczy do odszyfrowywania SSL.
Wykonaj poniższe czynności, aby to zrobić:
- Uruchom Wireshark i przejdź do „Edytuj”.
- Kliknij „Preferencje”.
- Rozwiń „Protokoły”.
- Przewiń w dół i wybierz „SSL”.
- Znajdź „(Pre)-Master Secret log filename” i wprowadź ścieżkę, którą ustawiłeś w pierwszym kroku.
- Wciśnij OK.'
Przechwytywanie i odszyfrowywanie kluczy sesji
Teraz, gdy wszystko już skonfigurowałeś, czas sprawdzić, czy Wireshark odszyfrowuje SSL. Oto, co musisz zrobić:
- Uruchom program Wireshark i rozpocznij niefiltrowaną sesję przechwytywania.
- Zminimalizuj okno programu Wireshark i otwórz przeglądarkę.
- Przejdź do dowolnej bezpiecznej witryny, aby uzyskać dane.
- Wróć do Wireshark i wybierz dowolną ramkę z zaszyfrowanymi danymi.
- Znajdź „Packet byte view” i spójrz na dane „Decrypted SSL”. HTML powinien być teraz widoczny.
Jakie wygodne funkcje oferuje Wireshark?
Jednym z powodów, dla których Wireshark jest wiodącym analizatorem pakietów sieciowych, jest to, że oferuje szeroki zakres wygodnych opcji, które poprawiają komfort użytkowania. Tutaj jest kilka z nich:
Kodowanie kolorami
Przeglądanie ogromnych ilości informacji może być czasochłonne i męczące. Wireshark stara się pomóc Ci rozróżnić różne typy pakietów za pomocą unikalnego systemu kodowania kolorami. Tutaj możesz zobaczyć domyślne kolory dla głównych typów pakietów:
- Jasnoniebieski – UDP
- Jasnofioletowy – TCP
- Jasnozielony – ruch HTTP
- Jasnożółty — ruch specyficzny dla systemu Windows (w tym bloki komunikatów serwera (SMB) i NetBIOS
- Ciemnożółty – Routing
- Ciemnoszary — ruch TCP SYN, ACK i FIN
- Czarny — Pakiety zawierające błąd
Możesz zobaczyć cały schemat kolorowania, przechodząc do „Widok” i wybierając „Zasady kolorowania”.
Wireshark pozwala dostosować własne reguły kolorowania zgodnie z własnymi preferencjami w tych samych ustawieniach. Jeśli nie chcesz żadnego kolorowania, przełącz przycisk przełączania obok „Koloruj listę pakietów”.
Metryki i statystyki
Wireshark oferuje różne opcje, aby dowiedzieć się więcej o przechwyceniu. Opcje te znajdują się w menu „Statystyki” w górnej części okna.
W zależności od tego, co Cię interesuje, możesz przeglądać statystyki dotyczące właściwości przechwytywanych plików, rozwiązanych adresów, długości pakietów, punktów końcowych i wielu innych.
Wiersz poleceń
Jeśli masz system, który nie ma graficznego interfejsu użytkownika (GUI), z przyjemnością dowiesz się, że Wireshark ma taki interfejs.
Tryb rozwiązły
Domyślnie Wireshark umożliwia przechwytywanie pakietów przychodzących i wychodzących z używanego komputera. Ale jeśli włączysz tryb rozwiązły, możesz przechwycić większość ruchu w całej sieci lokalnej (LAN).
jak sprawdzić duplikaty w arkuszach google
Często zadawane pytania
Czy mogę filtrować dane pakietowe w Wireshark?
Tak, Wireshark oferuje zaawansowane opcje filtrowania, które pozwalają wyświetlić odpowiednie informacje w ciągu kilku sekund.
Platforma ma dwa rodzaje filtrów: przechwytywanie i wyświetlanie. Filtry przechwytywania są używane podczas przechwytywania danych. Możesz je ustawić przed rozpoczęciem przechwytywania pakietów i nie możesz ich modyfikować w trakcie procesu. Filtry te stanowią łatwy sposób szybkiego wyszukiwania danych, które Cię interesują. Jeśli Wireshark przechwyci dane, które nie pasują do ustawionych filtrów, nie wyświetli ich.
Filtry wyświetlania są stosowane po procesie przechwytywania. W przeciwieństwie do filtrów przechwytywania, które odrzucają dane niespełniające ustalonych kryteriów, filtry wyświetlania po prostu ukrywają te dane na liście. Daje to wyraźniejszy widok przechwytywania i pozwala łatwo znaleźć to, czego szukasz.
Jeśli używasz wielu filtrów w Wireshark i masz problemy z ich zapamiętaniem, z przyjemnością dowiesz się, że Wireshark umożliwia zapisywanie filtrów. W ten sposób nie musisz się martwić, że zapomnisz poprawnej składni lub zastosujesz niewłaściwy filtr. Możesz zapisać swój filtr, naciskając ikonę zakładki obok pola Filtr.
Główna analiza sieci za pomocą Wireshark
Dzięki imponującym opcjom analizy pakietów, Wireshark pozwala uzyskać dogłębny wgląd w ruch przychodzący i wychodzący z Twojej sieci. Chociaż oferuje zaawansowane funkcje, Wireshark ma prosty, intuicyjny interfejs, więc nawet nowicjusze w świecie analizy pakietów szybko nauczą się podstaw. Odczytywanie ruchu HTTPS może nie być proste, ale jest możliwe, jeśli odszyfrujesz pakiety SSL.
Co najbardziej lubisz w Wireshark? Czy kiedykolwiek miałeś z tym problemy? Powiedz nam w sekcji komentarzy poniżej.