如何使用wireshark查看ssl内容

1,要查看ssl的内容,需要得到server的server rsa key

2, 打开wireshark, 找到如下路径, Edit -> Preferences -> protocols -> SSL

然后点击 RSA Keys List: Edit,

在新的RSA编辑界面创建一个新的RSA key

其中

IP address 是服务器的IP

Port 一般是443

protocol 一般填写http

key file 可以选择自己服务器上的rsa key。 这个RSA Key需要是一个解密了的 PKCS#8 PEM 格式的(RSA) key

password 一般不填写,如果key file需要一个密码,可以在这里填写。


3,由于wireshark低版本(低于或者是1.10)不支持session ticket, 所以如果服务器配置的ssl是TLSv1,同时在mac的safari上面访问,需要session ticket。 这是就要升级wireshark版本到1.12以上。

如果是ubuntu 14.04, 可以通过如下命令升级

sudo apt-add-repository 'deb http://ppa.launchpad.net/wireshark-dev/stable/ubuntu trusty main'
sudo apt-get update<pre name="code" class="plain"><span style="font-family: Arial, Helvetica, sans-serif;">sudo apt-get upgrade</span>
sudo apt-get upgrade wiresharksudo apt-get install wireshark

这就可以在wireshark解密https,查看http的内容了。

4,注意点

1, 有时候Diffie-Hellman 的CipherSuite不能解密,所以可以尝试如下的CipherSuite。

SSLCipherSuite RC4-SHA


2, 有时候session cache会有影响,可以在mods-available/ssl.conf修改SSLSessionCache如下

SSLSessionCache none
#SSLSessionCacheTimeout  300

3,restart the apache using

sudo service apache2 restart


展开阅读全文

没有更多推荐了,返回首页