53 votes

Comment puis-je filtrer le HTTPS lors de la surveillance du trafic avec Wireshark ?

Je veux observer le protocole HTTPs. Comment puis-je utiliser un filtre Wireshark pour le faire?

0 votes

Pour ceux qui veulent voir les données déchiffrées sans accès au serveur, allez en intermédiaire : stackoverflow.com/questions/2136599/…

48voto

cloudsurfin Points 529

Tcp.port==443 dans la fenêtre de filtre (mac)

0 votes

Si vous allez poster une réponse, elle devrait vraiment être fondamentalement différente des autres réponses sur la page. Dire la même chose que deux autres réponses n'est pas particulièrement utile.

11 votes

Il est fondamentalement différent. Il a ajouté le préfixe tcp, ce qui m'a vraiment aidé, après avoir essayé les réponses précédentes sans succès.

0 votes

Vous voulez dire appliquer cela dans le filtre d'affichage. Cette petite fenêtre d'entrée est appelée le filtre d'affichage dans Wireshark.

38voto

SmallClanger Points 8832

Comme le dit 3molo. Si vous interceptez le trafic, alors port 443 est le filtre dont vous avez besoin. Si vous avez la clé privée du site, vous pouvez également décrypter ce SSL. (nécessite une version/construction de Wireshark activée pour SSL.)

Consultez http://wiki.wireshark.org/TLS

MODIFICATION

Cette réponse génère beaucoup de trafic, donc j'ajoute une deuxième option qui ne nécessite pas l'accès à la clé privée du serveur (décryptage RSA est également déconseillé)

  1. Définissez une variable d'environnement : SSLKEYLOGFILE sur un chemin de fichier à l'intérieur de votre répertoire personnel*. (par exemple ~/ssl-log.txt)
  2. Ouvrez un navigateur et visitez un site TLS. Vérifiez que le fichier spécifié est créé.
  3. Lancez Wireshark. Ouvrez Préférences -> Protocoles -> TLS
  4. Dans le Journal (Pré)-Master-Secret, parcourez le nouveau fichier.

Maintenant, capturez une session comme d'habitude et vous devriez rapidement voir si votre trafic de session est décrypté en direct.

C'est plus sûr car vous ne conservez pas une copie de la clé privée pour le serveur, mais cela fonctionne naturellement uniquement sur un système où vous pouvez définir les variables d'environnement avant de capturer.

*Les clés de session sont également privées. Quelqu'un d'autre pourrait également les utiliser pour décrypter les mêmes données de session, donc assurez-vous qu'elles se trouvent dans un emplacement que vous seul pouvez lire.

4 votes

Il y a une différence entre le filtrage et la surveillance. WireShark est un outil de surveillance. Le filtrage devrait être effectué avec un pare-feu ou similaire.

12 votes

@TXwik Vous filtrez ce que vous surveillez avec WireShark ...

1 votes

La question pourrait être plus claire ;)

9voto

Parallel Points 1

Vous pouvez utiliser le filtre "tls" :

entrer la description de l'image ici

TLS signifie Transport Layer Security, qui est le successeur du protocole SSL. Si vous essayez d'inspecter une demande HTTPS, ce filtre est peut-être ce que vous recherchez.

1 votes

Clairement beaucoup mieux que d'écouter le port 443, car le 443 est juste le port par défaut pour https, et on est libre d'utiliser d'autres ports (par exemple pour le trafic interne)

2 votes

ssl est également un nom de filtre valide. (tls n'est pas dans version 2.6.10 (Git v2.6.10 empaqueté en tant que 2.6.10-1~ubuntu16.04.0) ) - tls a apparemment remplacé ssl ce qui est juste à mon avis.

0 votes

ssl fonctionne pour moi. Cependant, tls ne fonctionne pas. J'utilise ver2.6.10 sur utuntu18.04

8voto

3molo Points 4320

"port 443" dans les filtres de capture. Voir http://wiki.wireshark.org/CaptureFilters

Cependant, ce seront des données cryptées.

6voto

Ogglas Points 334

Filtrer tcp.port==443 puis utiliser le (Pre)-Master-Secret obtenu à partir d'un navigateur web pour décrypter le trafic.

Quelques liens utiles :

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

"Depuis la révision SVN 36876, il est également possible de décrypter le trafic lorsque vous ne possédez pas la clé du serveur mais avez accès au pre-master secret... En bref, il devrait être possible de sauvegarder le pre-master secret dans un fichier avec une version actuelle de Firefox, Chromium ou Chrome en définissant une variable d'environnement (SSLKEYLOGFILE=). Les versions actuelles de QT (tant 4 que 5) permettent d'exporter également le pre-master secret, mais vers le chemin fixe /tmp/qt-ssl-keys et elles nécessitent une option de compilation : Pour les programmes Java, les pre-master secrets peuvent être extraits à partir du journal de débogage SSL, ou sortis directement dans le format requis par Wireshark via cet agent." (jSSLKeyLog)

0 votes

De toute façon de le faire sur un iPhone monté sur un mac? Je peux inspecter le trafic http mais pas https

0 votes

Je voudrais utiliser un proxy pour cela @chovy. Est-ce une option ? Essayez BURP et ce lien: support.portswigger.net/customer/portal/articles/…

0 votes

Y a-t-il quelque chose comme burp mais en open source?

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X