Kā lasīt HTTPS trafiku programmā Wireshark

Wireshark ir populārs atvērtā pirmkoda pakešu analizators, kas piedāvā plašu ērtu funkciju klāstu tīkla analīzei, problēmu novēršanai, izglītībai un daudz ko citu. Cilvēki, kuri vēlas izmantot Wireshark pirmo reizi, un tie, kuriem jau ir pieredze ar to, bieži vien brīnās par HTTPS trafika lasīšanu.

Ja esat viens no viņiem, jūs esat nonācis īstajā vietā. Šeit mēs paskaidrosim, kas ir HTTPS un kā tas darbojas. Pēc tam mēs apspriedīsim, vai varat lasīt HTTPS trafiku, kāpēc tā varētu būt problēma un ko varat darīt.

Kas ir HTTPS?

Hypertext Transfer Protocol Secure (HTTPS) ir droša HTTP versija, kas garantē drošu datu pārsūtīšanu un saziņu starp tīmekļa pārlūkprogrammu un vietni.

HTTPS nodrošina drošību un novērš noklausīšanos, identitātes zādzības, starpnieku uzbrukumus un citus drošības apdraudējumus. Mūsdienās jebkurā vietnē, kurā tiek prasīts ievadīt informāciju vai izveidot kontu, tiek izmantots HTTPS, lai jūs aizsargātu.

HTTPS pasargā no drošības apdraudējumiem un ļaunprātīgiem uzbrukumiem, šifrējot visu apmaiņu starp tīmekļa pārlūkprogrammu un serveri.

Ir svarīgi precizēt, ka HTTPS nav nošķirts no HTTP. Drīzāk tas ir HTTP variants, kas izmanto īpašu šifrēšanu, piemēram, Secure Socket Layer (SSL) un Transport Layer Security (TLS), lai nodrošinātu saziņu. Kad tīmekļa pārlūkprogramma un tīmekļa serveris sazinās, izmantojot HTTPS, tie iesaistās SSL/TLS rokasspiedienā, t.i., drošības sertifikātu apmaiņā.

Kā noteikt, vai jūsu saziņa ar vietni ir aizsargāta, izmantojot HTTPS? Vienkārši apskatiet adreses joslu. Ja URL sākumā redzat “https”, savienojums ir drošs.

Wireshark Kā lasīt HTTPS trafiku

Viena no galvenajām HTTPS iezīmēm ir tā, ka tas ir šifrēts. Lai gan tā ir priekšrocība, kad iepērkaties tiešsaistē vai atstājat personisku informāciju vietnē, tas var būt trūkums, kad veicat izsekošanu, lai pārraudzītu tīmekļa trafiku un analizētu savu tīklu.

Tā kā HTTPS ir šifrēts, Wireshark to nevar nolasīt. Bet jūs varat parādīt SSL un TLS paketes un atšifrēt tās uz HTTPS.

Veiciet šīs darbības, lai lasītu SSL un TLS paketes programmā Wireshark:

1. Atveriet Wireshark un izvēlnē “Tveršana” izvēlieties, ko vēlaties uzņemt.
   
2. Rūtī “Pakešu saraksts” koncentrējieties uz kolonnu “Protokols” un meklējiet “SSL”.
   
3. Atrodiet jūs interesējošo SSL vai TLS paketi un atveriet to.
   

Kā atšifrēt SSL programmā Wireshark

Ieteicamais veids, kā atšifrēt SSL, ir izmantot iepriekšēju galveno slepeno atslēgu. Jums būs jāveic šīs četras darbības:

• Iestatiet vides mainīgo.
• Palaidiet savu pārlūkprogrammu.
• Konfigurējiet iestatījumus programmā Wireshark.
• Uztveriet un atšifrējiet sesijas atslēgas.

Apskatīsim katru soli sīkāk.

Iestatiet vides mainīgo

Vides mainīgais ir vērtība, kas nosaka, kā dators apstrādā dažādus procesus. Ja vēlaties atšifrēt SSL un TLS, vispirms ir pareizi jāiestata vides mainīgais. Tas, kā jūs to darīsit, ir atkarīgs no jūsu operētājsistēmas.

Iestatiet vides mainīgo sistēmā Windows

Windows lietotājiem ir jāveic šādas darbības, lai iestatītu vides mainīgo:

1. Palaidiet izvēlni Sākt.
   
2. Atveriet 'Vadības panelis'.
   
3. Dodieties uz sadaļu 'Sistēma un drošība'.
   
4. Izvēlieties 'Sistēma'.
   
5. Ritiniet uz leju un atlasiet “Papildu sistēmas iestatījumi”.
   
6. Vēlreiz pārbaudiet, vai atrodaties sadaļā “Papildu”, un nospiediet “Vides mainīgie”.
   
7. Sadaļā “Lietotāja mainīgie” nospiediet “Jauns”.
   
8. Sadaļā “Mainīgā nosaukums” ierakstiet “SSLKEYLOGFILE”.
   
9. Sadaļā “Mainīgā vērtība” ievadiet vai pārlūkojiet ceļu uz žurnālfailu.
   
10. Nospiediet 'Labi'.
    

Iestatiet vides mainīgo operētājsistēmā Mac vai Linux

Ja esat Linux vai Mac lietotājs, jums būs jāizmanto nano, lai iestatītu vides mainīgo.

Linux lietotājiem ir jāatver terminālis un jāievada komanda: “nano ~/.bashrc”. Mac lietotājiem ir jāatver Launchpad, jānospiež “Cits” un jāpalaiž terminālis. Pēc tam viņiem jāievada šī komanda: 'nano ~/.bash_profile'.

Lai turpinātu, gan Linux, gan Mac lietotājiem jāveic šādas darbības:

kā rediģēt pazīmes

1. Pievienojiet šo failu faila beigās: “export SSLKEYLOGFILE=~/.ssl-key.log”.
2. Saglabājiet izmaiņas.
3. Aizveriet termināļa logu un palaidiet citu. Ievadiet šo rindiņu: “echo $SSKEYLOGFILE”.
4. Tagad jums vajadzētu redzēt pilnu ceļu uz SSL pirms galvenās atslēgas žurnālu. Kopējiet šo ceļu, lai to saglabātu vēlāk, jo tas būs jāievada programmā Wireshark.

Palaidiet savu pārlūkprogrammu

Otrais solis ir pārlūkprogrammas palaišana, lai nodrošinātu žurnālfaila izmantošanu. Jums ir jāatver pārlūkprogramma un jāapmeklē vietne ar iespējotu SSL.

Kad esat apmeklējis šādu vietni, pārbaudiet, vai failā nav datu. Operētājsistēmā Windows ir jāizmanto Notepad, savukārt operētājsistēmā Mac un Linux jāizmanto šī komanda: 'cat ~/.ssl-log.key'.

Konfigurējiet Wireshark

Kad esat pārliecinājies, ka pārlūkprogramma reģistrē pirmsgalvenās atslēgas vēlamajā vietā, ir pienācis laiks konfigurēt Wireshark. Pēc konfigurēšanas Wireshark vajadzētu būt iespējai izmantot atslēgas, lai atšifrētu SSL.

Lai to izdarītu, veiciet tālāk norādītās darbības.

1. Palaidiet programmu Wireshark un dodieties uz “Rediģēt”.
   
2. Noklikšķiniet uz 'Preferences'.
   
3. Izvērsiet “Protokoli”.
   
4. Ritiniet uz leju un atlasiet “SSL”.
5. Atrodiet “(Pre)-Master Secret žurnāla faila nosaukums” un ievadiet ceļu, ko iestatījāt pirmajā darbībā.
6. Nospiediet 'Labi'.

Uztveriet un atšifrējiet sesijas atslēgas

Tagad, kad esat visu konfigurējis, ir pienācis laiks pārbaudīt, vai Wireshark atšifrē SSL. Lūk, kas jums jādara:

1. Palaidiet programmu Wireshark un sāciet nefiltrētas uztveršanas sesiju.
   
2. Samaziniet Wireshark logu un atveriet pārlūkprogrammu.
   
3. Dodieties uz jebkuru drošu vietni, lai iegūtu datus.
   
4. Atgriezieties vietnē Wireshark un atlasiet jebkuru kadru ar šifrētiem datiem.
   
5. Atrodiet sadaļu 'Pakešu baitu skats' un skatiet 'Atšifrētie SSL' dati. HTML tagad ir jābūt redzamam.

Kādas ērtas funkcijas piedāvā Wireshark?

Viens no iemesliem, kāpēc Wireshark ir vadošais tīkla pakešu analizators, ir tas, ka tas piedāvā plašu ērtu iespēju klāstu, kas uzlabo jūsu lietotāja pieredzi. Šeit ir daži no tiem:

Krāsu kodēšana

Milzīga informācijas apjoma pārlūkošana var būt laikietilpīga un nogurdinoša. Wireshark mēģina palīdzēt jums atšķirt dažādus pakešu veidus, izmantojot unikālu krāsu kodēšanas sistēmu. Šeit varat redzēt galveno pakešu veidu noklusējuma krāsas:

• Gaiši zils – UDP
• Gaiši violets – TCP
• Gaiši zaļš — HTTP trafiks
• Gaiši dzeltens — operētājsistēmai Windows raksturīga trafika (tostarp servera ziņojumu bloki (SMB) un NetBIOS).
• Tumši dzeltens — maršrutēšana
• Tumši pelēks — TCP SYN, ACK un FIN satiksme
• Melns — paketes, kurās ir kļūda

Varat skatīt visu krāsu shēmu, atverot sadaļu “Skatīt” un atlasot “Krāsu kārtulas”.

Wireshark ļauj jums pielāgot savus krāsošanas noteikumus atbilstoši jūsu vēlmēm tajos pašos iestatījumos. Ja nevēlaties krāsot, pārslēdziet pārslēgšanas pogu blakus vienumam “Krāsot pakešu sarakstu”.

Metrika un statistika

Wireshark piedāvā dažādas iespējas, lai uzzinātu vairāk par uzņemšanu. Šīs opcijas atrodas izvēlnē “Statistika” loga augšdaļā.

Atkarībā no tā, kas jūs interesē, varat pārskatīt statistiku par tveršanas faila rekvizītiem, atrisinātajām adresēm, pakešu garumiem, galapunktiem un daudz ko citu.

Komandrinda

Ja jums ir sistēma, kurai nav grafiskā lietotāja interfeisa (GUI), jūs ar prieku uzzināsit, ka Wireshark to piedāvā.

Izlaidīgs režīms

Pēc noklusējuma Wireshark ļauj tvert paketes, kas tiek nosūtītas uz izmantoto datoru un no tā. Bet, ja iespējojat neķītro režīmu, varat uzņemt lielāko daļu trafika visā lokālajā tīklā (LAN).

FAQ

Vai es varu filtrēt pakešdatus programmā Wireshark?

Jā, Wireshark piedāvā uzlabotas filtrēšanas opcijas, kas ļauj parādīt atbilstošu informāciju dažu sekunžu laikā.

Platformai ir divu veidu filtri: uztveršanas un displeja. Tveršanas filtri tiek izmantoti datu tveršanas laikā. Jūs varat tos iestatīt pirms pakešu tveršanas sākšanas un nevar modificēt procesa laikā. Šie filtri ir vienkāršs veids, kā ātri meklēt jūs interesējošos datus. Ja Wireshark tver datus, kas neatbilst jūsu iestatītajiem filtriem, tas tos nerādīs.

Displeja filtri tiek lietoti pēc tveršanas procesa. Atšķirībā no uztveršanas filtriem, kas izmet datus, kas neatbilst iestatītajiem kritērijiem, displeja filtri vienkārši paslēpj šos datus no saraksta. Tas sniedz skaidrāku attēlu par uzņemšanu un ļauj viegli atrast to, ko meklējat.

Ja programmā Wireshark izmantojat daudzus filtrus un jums ir grūtības tos atcerēties, jūs priecāsities uzzināt, ka Wireshark ļauj saglabāt filtrus. Tādā veidā jums nav jāuztraucas par pareizās sintakses aizmiršanu vai nepareiza filtra lietošanu. Filtru var saglabāt, nospiežot grāmatzīmes ikonu blakus laukam Filtrs.

pievienojot lietotnes viņa viedajai TV

Galvenā tīkla analīze ar Wireshark

Pateicoties iespaidīgajām pakešu analīzes iespējām, Wireshark ļauj iegūt padziļinātu priekšstatu par trafiku, kas iet uz tīklu un no tā. Lai gan tas piedāvā uzlabotas funkcijas, Wireshark ir vienkāršs, intuitīvs interfeiss, tāpēc pat tie, kas ir jauni pakešu analīzes pasaulē, ātri iemācīsies. HTTPS trafika lasīšana var nebūt vienkārša, taču tas ir iespējams, ja atšifrējat SSL paketes.

Kas jums visvairāk patīk Wireshark? Vai jums kādreiz ir bijušas problēmas ar to? Pastāstiet mums komentāru sadaļā zemāk.