Как да четем HTTPS трафик в Wireshark

Wireshark е популярен анализатор на пакети с отворен код, който предлага широк набор от удобни функции за мрежов анализ, отстраняване на неизправности, образование и много други. Хората, които искат да използват Wireshark за първи път и тези, които вече имат опит с него, често се чудят дали да четат HTTPS трафик.

Ако сте един от тях, значи сте попаднали на правилното място. Тук ще обясним какво е HTTPS и как работи. След това ще обсъдим дали можете да четете HTTPS трафик, защо това може да е проблем и какво можете да направите по въпроса.

Какво е HTTPS?

Hypertext Transfer Protocol Secure (HTTPS) представлява защитена версия на HTTP, която гарантира безопасен трансфер на данни и комуникация между уеб браузър и уебсайт.

HTTPS гарантира сигурност и предотвратява подслушване, кражби на самоличност, атаки тип човек по средата и други заплахи за сигурността. В наши дни всеки уебсайт, който ви моли да въведете вашата информация или да създадете акаунт, разполага с HTTPS, за да ви защити.

HTTPS защитава от заплахи за сигурността и злонамерени атаки, като криптира всички обмени между уеб браузър и сървър.

Важно е да се изясни, че HTTPS не е отделен от HTTP. По-скоро това е HTTP вариант, който използва специфично криптиране като Secure Socket Layer (SSL) и Transport Layer Security (TLS) за защита на комуникацията. Когато уеб браузър и уеб сървър комуникират чрез HTTPS, те участват в SSL/TLS ръкостискане, т.е. обмен на сертификати за сигурност.

Как можете да разберете дали комуникацията ви с уебсайт е защитена с HTTPS? Просто погледнете адресната лента. Ако виждате „https“ в началото на URL адреса, връзката ви е защитена.

Wireshark Как да четем HTTPS трафик

Една от основните характеристики на HTTPS е, че е криптиран. Въпреки че това е предимство, когато пазарувате онлайн или оставяте лична информация на уебсайт, може да е недостатък, когато проследявате, за да наблюдавате уеб трафика и да анализирате мрежата си.

Тъй като HTTPS е криптиран, няма начин да го прочетете в Wireshark. Но можете да показвате SSL и TLS пакети и да ги дешифрирате към HTTPS.

Следвайте тези стъпки, за да прочетете SSL и TLS пакети в Wireshark:

1. Отворете Wireshark и изберете какво искате да заснемете в менюто „Capture“.
   
2. В панела „Списък с пакети“ фокусирайте се върху колоната „Протокол“ и потърсете „SSL“.
   
3. Намерете SSL или TLS пакета, който ви интересува, и го отворете.
   

Как да дешифрирате SSL в Wireshark

Препоръчителният начин за декриптиране на SSL е използването на предварително главен таен ключ. Ще трябва да изпълните тези четири стъпки:

• Задайте променлива на средата.
• Стартирайте браузъра си.
• Конфигурирайте вашите настройки в Wireshark.
• Улавяне и дешифриране на сесийни ключове.

Нека разгледаме всяка стъпка по-подробно.

Задайте променлива на средата

Променливата на средата е стойност, която определя как вашият компютър обработва различни процеси. Ако искате да дешифрирате SSL и TLS, първо трябва правилно да зададете променлива на средата. Как ще направите това зависи от вашата операционна система.

Задайте променлива на средата в Windows

Потребителите на Windows трябва да следват следните стъпки, за да зададат променлива на средата:

1. Стартирайте менюто 'Старт'.
   
2. Отворете „Контролен панел“.
   
3. Отидете на „Система и сигурност“.
   
4. Изберете „Система“.
   
5. Превъртете надолу и изберете „Разширени системни настройки“.
   
6. Проверете отново дали сте в секцията „Разширени“ и натиснете „Променливи на средата“.
   
7. Натиснете „Ново“ под „Потребителски променливи“.
   
8. Въведете „SSLKEYLOGFILE“ под „Име на променлива“.
   
9. Под „Стойност на променливата“ въведете или прегледайте пътя до регистрационния файл.
   
10. Натиснете 'ОК'.
    

Задайте променлива на средата в Mac или Linux

Ако сте потребител на Linux или Mac, ще трябва да използвате nano, за да зададете променлива на средата.

Потребителите на Linux трябва да отворят терминал и да въведат тази команда: „nano ~/ .bashrc“. Потребителите на Mac трябва да отворят Launchpad, да натиснат „Други“ и да стартират терминал. След това те трябва да въведат тази команда: „nano ~/ .bash_profile“.

След това потребителите на Linux и Mac трябва да изпълнят следните стъпки, за да продължат:

facebook има тъмна тема

1. Добавете този файл в края на файла: „export SSLKEYLOGFILE=~/.ssl-key.log“.
2. Запазете промените си.
3. Затворете прозореца на терминала и стартирайте друг. Въведете този ред: „echo $SSKEYLOGFILE“.
4. Сега трябва да видите пълния път до регистрационния файл на SSL пред-главния ключ. Копирайте този път, за да го запазите за по-късно, тъй като ще трябва да го въведете в Wireshark.

Стартирайте своя браузър

Втората стъпка е да стартирате браузъра си, за да се уверите, че регистрационният файл се използва. Трябва да отворите браузъра си и да посетите уебсайт с активиран SSL.

След като сте посетили такъв уебсайт, проверете файла си за данни. В Windows трябва да използвате Notepad, докато в Mac и Linux трябва да използвате тази команда: „cat ~/ .ssl-log.key“.

Конфигурирайте Wireshark

След като сте установили, че вашият браузър регистрира предварителни главни ключове на желаното място, е време да конфигурирате Wireshark. След конфигурирането Wireshark трябва да може да използва ключовете за дешифриране на SSL.

Следвайте стъпките по-долу, за да го направите:

1. Стартирайте Wireshark и отидете на „Редактиране“.
   
2. Кликнете върху „Предпочитания“.
   
3. Разгънете „Протоколи“.
   
4. Превъртете надолу и изберете „SSL“.
5. Намерете „(Pre)-Master Secret log filename“ и въведете пътя, който сте задали в първата стъпка.
6. Натиснете 'ОК'.

Улавяне и декриптиране на сесийни ключове

Сега, след като сте конфигурирали всичко, е време да проверите дали Wireshark дешифрира SSL. Ето какво трябва да направите:

1. Стартирайте Wireshark и започнете нефилтрирана сесия за заснемане.
   
2. Минимизирайте прозореца на Wireshark и отворете браузъра си.
   
3. Отидете на всеки защитен уебсайт, за да получите данни.
   
4. Върнете се в Wireshark и изберете произволен кадър с криптирани данни.
   
5. Намерете „Изглед на пакетен байт“ и погледнете данните „Декриптиран SSL“. HTML вече трябва да е видим.

Какви удобни функции предлага Wireshark?

Една от причините Wireshark да е водещ мрежов анализатор на пакети е, че предлага широка гама от удобни опции, които подобряват вашето потребителско изживяване. Ето някои от тях:

Цветно кодиране

Преглеждането на огромно количество информация може да отнеме много време и да бъде изтощително. Wireshark се опитва да ви помогне да разграничите различните типове пакети с уникална система за цветно кодиране. Тук можете да видите цветовете по подразбиране за основните типове пакети:

• Светло синьо – UDP
• Светло лилаво – TCP
• Светло зелено – HTTP трафик
• Светло жълто – специфичен за Windows трафик (включително сървърни блокове за съобщения (SMB) и NetBIOS
• Тъмно жълто – Маршрут
• Тъмно сиво – TCP SYN, ACK и FIN трафик
• Черно – Пакети, съдържащи грешка

Можете да видите цялата схема за оцветяване, като отидете на „Преглед“ и изберете „Правила за оцветяване“.

Wireshark ви позволява да персонализирате вашите собствени правила за оцветяване според вашите предпочитания в същите настройки. Ако не искате оцветяване, превключете бутона за превключване до „Оцветяване на списъка с пакети“.

Метрики и статистики

Wireshark предлага различни опции, за да научите повече за вашето заснемане. Тези опции се намират в менюто „Статистика“ в горната част на прозореца.

В зависимост от това, което ви интересува, можете да прегледате статистически данни за свойствата на файла за заснемане, разрешени адреси, дължини на пакети, крайни точки и много други.

Командна линия

Ако имате система, която няма графичен потребителски интерфейс (GUI), ще се радвате да научите, че Wireshark разполага с такъв.

Безразборен режим

По подразбиране Wireshark ви позволява да улавяте пакети, отиващи към и от компютъра, който използвате. Но ако активирате безразборния режим, можете да уловите по-голямата част от трафика в цялата локална мрежа (LAN).

как да се обърнете към пощата за обща доставка

ЧЗВ

Мога ли да филтрирам пакетни данни в Wireshark?

Да, Wireshark предлага разширени опции за филтриране, които ви позволяват да показвате подходяща информация за няколко секунди.

Платформата разполага с два вида филтри: заснемане и показване. Филтрите за улавяне се използват при прихващане на данни. Можете да ги зададете, преди да започнете прихващане на пакети и не можете да ги променяте по време на процеса. Тези филтри представляват лесен начин за бързо търсене на данните, които ви интересуват. Ако Wireshark улови данни, които не отговарят на вашите зададени филтри, той няма да ги покаже.

Филтрите за показване се прилагат след процеса на заснемане. За разлика от филтрите за улавяне, които отхвърлят данни, които не отговарят на зададените критерии, филтрите за показване просто скриват тези данни от списъка. Това ви дава по-ясна представа за заснемането и ви позволява лесно да намерите това, което търсите.

Ако използвате много филтри в Wireshark и имате проблеми със запомнянето им, ще се радвате да знаете, че Wireshark ви позволява да запазвате филтрите си. По този начин не е нужно да се притеснявате, че ще забравите правилния синтаксис или ще приложите грешен филтър. Можете да запазите вашия филтър, като натиснете иконата на отметка до полето Филтър.

Овладейте мрежовия анализ с Wireshark

Благодарение на своите впечатляващи опции за анализ на пакети, Wireshark ви позволява да получите задълбочен поглед върху трафика, който отива към и от вашата мрежа. Въпреки че предлага разширени функции, Wireshark разполага с прост, интуитивен интерфейс, така че дори тези, които са нови в света на анализа на пакети, бързо ще научат въжетата. Четенето на HTTPS трафик може да не е лесно, но е възможно, ако дешифрирате SSL пакети.

Какво ви харесва най-много в Wireshark? Имали ли сте някога проблеми с него? Кажете ни в секцията за коментари по-долу.