Wireshark教程:解密HTTPS流量

最新推荐文章于 2024-06-19 06:12:04 发布
最新推荐文章于 2024-06-19 06:12:04 发布
阅读量1.1w 收藏 15
点赞数 1
文章标签: wireshark https 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nuan444979/article/details/127103414
版权

目录

摘要

加密流量背后的故事

HTTPS Web流量

加密密钥日志文件

具有密钥日志文件的Pcap示例

没有密钥日志文件的HTTPS流量

加载密钥日志文件

加载密钥日志文件后的HTTPS流量

 C2流量

摘要

在检查可疑的网络活动时,我们经常会遇到加密的流量。这是为什么那?因为大多数网站使用超文本传输协议安全(HTTPS)协议。但与大多数网站一样,各种类型的恶意软件也使用HTTPS。当查看恶意软件活动的pcap时,了解感染后流量中包含的信息对我们非常有用。

本次Wireshark教程介绍了如何解密来自 PCAP中 的 HTTPS 流量。使用包含最初记录 pcap 时捕获的加密密钥数据,它是基于文本的日志文件。有了这个密钥日志文件,我们可以解密 pcap 中的 HTTPS 活动并查看其内容。

今天,我们将检查来自Dridex恶意软件感染的HTTPS活动。

注意:我们的此次教程确认您已经按照前面教程中提到的“Wireshark–更改列显示”中的描述定制了Wireshark-列显示。

警告:本教程使用的pcap包含基于Windows的恶意软件。如果使用Windows计算机,则有感染的风险。建议您尽可能在离线环境中操作,如虚拟机。或者在非Windows环境中操作,如kali。

加密流量背后的故事

在20世纪90年代中后期,网站使用的最常见协议是超文本传输协议(HTTP),它生成未加密的网络流量。然而,随着安全问题变得越来越令人担忧,网站开始转向HTTPS,现在我们很少从网页浏览中看到HTTP流量。

HTTPS本质上是一个包含HTTP流量的加密通信隧道。这些隧道首先使用安全套接字层(SSL)作为加密协议。如今,大多数HTTPS流量使用传输层安全性(TLS)。

HTTPS Web流量

HTTPS流量通常会显示域名。例如,查看https://www.wireshark.org在web浏览器中显示,pcap会显示www.wireshark.org。在自定义的Wireshark列显示中查看时,作为此流量的服务器名称。不幸的是,我们不知道其他细节,比如实际的URL或从服务器返回的数据。遵循来自pcap的传输控制协议(TCP)流不会显示此流量的内容,因为它是加密的。

最低0.47元/天 解锁文章
暖、风
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Wireshark 抓包理解 HTTPS 协议
qhh0205
05-26 9522
Wireshark 抓包理解 HTTPS 协议 HTTPS 简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer)协议是 HTTP 协议的安全版,在 HTTP 应用层和传输层加入了 SSL/TLS 层,确保数据传输的安全性,所以 HTTPS 协议并不是什么新的协议,仅仅是 HTTP 协议和安全协议的组合。 HTTPS 协议...
WiresharkHTTPS数据的解密
qq_42801460的博客
03-27 5604
除此之外,上面还有很多TLSv1.2的东东,比如:client_key_exchange、Session Ticket,这是最初提到过的TLS握手过程的第四步和第五步,并不是请求数据包的内容,因此看到其中像是没有解密的内容也不要奇怪哦。以windows系统+Chrome浏览器为例,首先要导出浏览器存储的密钥,通过计算机属性——高级系统设置——环境变量,新建一个变量名“SSLKEYLOGFILE”的变量,变量值是导出的密钥具体文件地址。如下图显示,这里不展开,有兴趣的童鞋可以继续自行深入了解。
Wireshark抓包工具解析HTTPS
qq_30812953的博客
03-30 2040
Wireshark抓包工具解析HTTPS
HTTPSWireshark导入密钥文件后仍无法解密https报文
最新发布
Beast_Liu的博客
06-19 598
因此只会针对443端口的相关报文进行解密。在本地Windows系统上新增系统环境变量"SSLKEYLOGFILE",保存Chrome浏览器访问网站时使用的密钥;网站后,想通过Wireshark抓包https报文并解密。将1中的密钥导入配置到Wireshark中。Wireshark默认。
【安全系列】wireshark解析https
叁滴水 的博客
08-22 5407
1.http痛点 ​ http协议使用极为广泛,但是存在不小的安全缺陷。主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付,网络交易等新兴应用中安全方面最需要关注的。 如以下场景: 当我们在进行一些敏感操作的时候,如果有中间人拦截了我们请求,那就会很轻易的得到和服务器直接交互的数据,并且很轻易的进行篡改。 ​ 以上,中间人在对请求进行拦截时,可以很轻易的获取用户A的账号密码;对用户B的转账金额或者转账人进行篡改。 ​ https针对http的数据不安全等问题做出了改善。主要解决在数
使用wireshark分析https
Make
12-22 1397
从上文中分析了http的抓包使用wireshark分析http,接下来想继续分析https于是搭建了https的环境。现在开始使用wireshark抓包软件分析httpshttps交互的大致步骤 密码学算法 要了解https首先要稍微了解算法学的知识,在这里主要是RSA算法和DES算法,作为工科,我觉得不需要十分了解算法内部的实现,只需要了解用法即可。下面就谈谈我对这两种算法的大致理解。 RSA算法 通过RSA可以得到两个秘钥,一个是A,一个是B,两个可以互补 使用秘钥A加密的密文,只有
使用wireshark抓取https明文包
ai_admin的博客
06-09 3577
2. 关于`SSLKEYLOGFILE`环境变量的补充,这是一个通用的环境变量,大多数网络库的实现都使用到了这一环境变量进行ssl调试。1. 新建环境变量,name为`SSLKEYLOGFILE`,value为指定的某一调试文件路径,如`D:\sslkey.log`3. 因为使用的是环境变量,以上方法跨平台通用(已经测试linux(包括国产的信创系统)/mac/windows)。1. 关于安全的问题,需要设置环境变量并且重启进程,因此除非攻击者已经攻陷了终端,一般情况下都是有保障的。
Wireshark 教程
11-16
Wireshark教程中还会涉及如何导出捕获文件、如何保存和加载捕获配置,以及如何使用专家信息来识别可能的问题。专家信息是Wireshark对捕获数据进行智能分析后的结果,它会指出可能存在的网络问题或不寻常的行为。 ...
最新wireshark中文使用教程
03-20
5. 使用Wireshark插件:Wireshark有丰富的第三方插件,如VoIP分析、SSL解密等,增强其功能。 通过本教程的学习,你可以熟练掌握Wireshark的基本操作,了解其核心功能,并逐步提升在网络分析领域的技能。在实际工作...
Fiddler 和 Wireshark抓包教程合集.docx
09-26
4. 解码与解密:如果捕获到加密的HTTPS流量,可以尝试解密。 5. 深入学习:了解Wireshark的高级特性,如颜色编码、协议字段分析等。 ### 结合使用Fiddler和Wireshark 在某些场景下,结合使用Fiddler(侧重...
Wireshark和科来网络抓包软件教程.zip
03-28
**Wireshark教程知识点** 1. **Wireshark简介**:Wireshark是一个跨平台的网络捕包和分析工具,支持多种操作系统,如Windows、Linux和macOS。它能实时捕获网络流量,并提供深入的数据包解析信息。 2. **数据包捕获...
HibernateQuickStart_1:https
03-23
【标题】:“Hibernate QuickStart教程_1:HTTPS安全连接” 【描述】:本教程将带你深入理解Hibernate框架的快速入门,特别关注在HTTPS环境下使用Hibernate进行数据库操作的安全性。HTTPS是一种安全的通信协议,...
Wireshark基础使用,SSL解密及http抓包入门教程
米不开朗基罗的博客
11-18 7472
Wireshark VS Fiddler/Charles(一)下载与安装(二)抓取https解密(三)报文传输各层简要介绍 Wireshark VS Fiddler/Charles Wireshark功能很多、作用效果很底层,并且可以监听指定的网卡上流过的所有流量,支持的协议如下: ARP 协议:地址解析协议,即ARP(Address Resolution Protocol),是根据 IP地址 获取 物理地址 的一个 TCP/IP协议 ICMP 协议:控制 报文 协议。 它是 TCP/I
通过Wireshark分析HTTPS握手过程与协议概述
萧海的博客
10-28 1527
TLS是一种密码学协议,用于保证两者之间的会话安全。整个SSL/TLS协议内容太多,本文只从握手,加密,套件等方面对TLS 1.2进行简要总结。 协议详细内容,可以参见: RFC:http://tools.ietf.org/html/rfc5246CLOUDFLARE:https:...
为什么Wireshark无法解密HTTPS数据
weixin_34132768的博客
06-29 1418
导读 由于需要定位一个问题,在服务器上tcpdump抓取https数据包,然后下载到本地打开wireshark分析。然后我们下载域名私钥配置到wireshark,发现数据包居然无法解密。是wireshark配置密钥的方法不对?但谷歌了好多文章都是说这样配置的。由于对HTTPS认识不够深,一时不知道如何入手解决。没办法,只能先了解tls这个协议了,于是查看了TLS1.2的RFC文档,终...
抓包工具之wireshark安装和使用
热门推荐
月生的静心苑
10-19 1万+
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。Wireshark是世界上最重要和广泛使用的网络协议分析器。它让您可以在微观层面上看到网络上发生的事情,Wireshark具有丰富的功能集,其中包括以下内容:
wireshark 怎么解密https流量
05-09
解密HTTPS流量,需要获取服务器的私钥。这通常需要在服务器端进行,因为私钥通常保存在服务器上。 如果您无法获得服务器的私钥,那么就无法解密HTTPS流量。 如果您有服务器的私钥,那么可以使用Wireshark解密HTTPS流量。以下是步骤: 1. 打开Wireshark并打开捕获的HTTPS数据包。 2. 在Wireshark的菜单栏中,选择“Edit” -> “Preferences”。 3. 在“Preferences”窗口中,展开“Protocols”并选择“SSL”。 4. 在“SSL”窗口中,单击“Edit”按钮。 5. 在“SSL协议解密设置”窗口中,单击“+”按钮以添加一个新的密钥。 6. 在“密钥日志文件”字段中,输入包含服务器私钥的文件的路径。 7. 在“密码”字段中,输入用于保护私钥的密码(如果有)。 8. 在“协议”字段中,选择适当的加密协议。 9. 在“密钥类型”字段中,选择“RSA”或“DSA”,具体取决于服务器使用的加密算法。 10. 在“密钥文件格式”字段中,选择“PEM”。 11. 单击“OK”按钮。 12. Wireshark现在应该可以解密HTTPS流量。要验证此操作是否成功,请确保捕获的数据包中的HTTPS流量显示为解密的明文。 请注意,这些步骤可能因Wireshark版本而异,具体取决于您使用的版本。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值