Wireshark教程:解密HTTPS流量

最新推荐文章于 2024-06-19 06:12:04 发布
最新推荐文章于 2024-06-19 06:12:04 发布
阅读量1.1w 收藏 15
点赞数 1
文章标签: wireshark https 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nuan444979/article/details/127103414
版权

目录

摘要

加密流量背后的故事

HTTPS Web流量

加密密钥日志文件

具有密钥日志文件的Pcap示例

没有密钥日志文件的HTTPS流量

加载密钥日志文件

加载密钥日志文件后的HTTPS流量

 C2流量

摘要

在检查可疑的网络活动时,我们经常会遇到加密的流量。这是为什么那?因为大多数网站使用超文本传输协议安全(HTTPS)协议。但与大多数网站一样,各种类型的恶意软件也使用HTTPS。当查看恶意软件活动的pcap时,了解感染后流量中包含的信息对我们非常有用。

本次Wireshark教程介绍了如何解密来自 PCAP中 的 HTTPS 流量。使用包含最初记录 pcap 时捕获的加密密钥数据,它是基于文本的日志文件。有了这个密钥日志文件,我们可以解密 pcap 中的 HTTPS 活动并查看其内容。

今天,我们将检查来自Dridex恶意软件感染的HTTPS活动。

注意:我们的此次教程确认您已经按照前面教程中提到的“Wireshark–更改列显示”中的描述定制了Wireshark-列显示。

警告:本教程使用的pcap包含基于Windows的恶意软件。如果使用Windows计算机,则有感染的风险。建议您尽可能在离线环境中操作,如虚拟机。或者在非Windows环境中操作,如kali。

加密流量背后的故事

在20世纪90年代中后期,网站使用的最常见协议是超文本传输协议(HTTP),它生成未加密的网络流量。然而,随着安全问题变得越来越令人担忧,网站开始转向HTTPS,现在我们很少从网页浏览中看到HTTP流量。

HTTPS本质上是一个包含HTTP流量的加密通信隧道。这些隧道首先使用安全套接字层(SSL)作为加密协议。如今,大多数HTTPS流量使用传输层安全性(TLS)。

HTTPS Web流量

HTTPS流量通常会显示域名。例如,查看https://www.wireshark.org在web浏览器中显示,pcap会显示www.wireshark.org。在自定义的Wireshark列显示中查看时,作为此流量的服务器名称。不幸的是,我们不知道其他细节,比如实际的URL或从服务器返回的数据。遵循来自pcap的传输控制协议(TCP)流不会显示此流量的内容,因为它是加密的。

最低0.47元/天 解锁文章
暖、风
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Wireshark 抓包理解 HTTPS 协议
qhh0205
05-26 9529
Wireshark 抓包理解 HTTPS 协议 HTTPS 简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer)协议是 HTTP 协议的安全版,在 HTTP 应用层和传输层加入了 SSL/TLS 层,确保数据传输的安全性,所以 HTTPS 协议并不是什么新的协议,仅仅是 HTTP 协议和安全协议的组合。 HTTPS 协议...
WiresharkHTTPS数据的解密
qq_42801460的博客
03-27 5618
除此之外,上面还有很多TLSv1.2的东东,比如:client_key_exchange、Session Ticket,这是最初提到过的TLS握手过程的第四步和第五步,并不是请求数据包的内容,因此看到其中像是没有解密的内容也不要奇怪哦。以windows系统+Chrome浏览器为例,首先要导出浏览器存储的密钥,通过计算机属性——高级系统设置——环境变量,新建一个变量名“SSLKEYLOGFILE”的变量,变量值是导出的密钥具体文件地址。如下图显示,这里不展开,有兴趣的童鞋可以继续自行深入了解。
HTTPSWireshark导入密钥文件后仍无法解密https报文
最新发布
Beast_Liu的博客
06-19 610
因此只会针对443端口的相关报文进行解密。在本地Windows系统上新增系统环境变量"SSLKEYLOGFILE",保存Chrome浏览器访问网站时使用的密钥;网站后,想通过Wireshark抓包https报文并解密。将1中的密钥导入配置到Wireshark中。Wireshark默认。
Wireshark抓包工具解析HTTPS
qq_30812953的博客
03-30 2043
Wireshark抓包工具解析HTTPS
抓包工具之wireshark安装和使用
月生的静心苑
10-19 1万+
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。Wireshark是世界上最重要和广泛使用的网络协议分析器。它让您可以在微观层面上看到网络上发生的事情,Wireshark具有丰富的功能集,其中包括以下内容:
HTTPS报文分析(Wireshark
抽象的螺旋
08-22 7646
https报文分析
HTTPS概念&wireshark分析
master-dragon的专栏
07-18 2324
第一,发送方在发送信息前,需先与接收方联系,同时利用公钥加密信息,信息在进行传输的过程当中一直是处于密文状态,包括接收方接收后也是加密的,确保了信息传输的单一性,若信息被窃取或截取,也必须利用接收方的私钥才可解读数据,而无法更改数据,这也有利保障信息的完整性和安全性。第二,数字证书的数据签名类似于加密过程,数据在实施加密后,只有接收方才可打开或更改数据信息,并加上自己的签名后再传输至发送方,而接收方的私钥具唯一性和私密性,这也保证了签名的真实性和可靠性,进而保障信息的安全性。私钥是不公开的,解密时使用。
【安全系列】wireshark解析https
叁滴水 的博客
08-22 5411
1.http痛点 ​ http协议使用极为广泛,但是存在不小的安全缺陷。主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付,网络交易等新兴应用中安全方面最需要关注的。 如以下场景: 当我们在进行一些敏感操作的时候,如果有中间人拦截了我们请求,那就会很轻易的得到和服务器直接交互的数据,并且很轻易的进行篡改。 ​ 以上,中间人在对请求进行拦截时,可以很轻易的获取用户A的账号密码;对用户B的转账金额或者转账人进行篡改。 ​ https针对http的数据不安全等问题做出了改善。主要解决在数
使用 wireshark 抓包,https,http2
猛犸象
03-13 1万+
首先下载安装 https://www.wireshark.org/download.html wireshark 的工作过程为: 1、设置要捕获哪个网卡上的流量 捕获 --> 选项 首先你得知道当前机器的IP,然后就很容易找到是哪个网卡了。 2、设置要捕获哪些内容 捕获 --> 捕获过滤器 这里我要捕获一个http请求,它是HTTP的80端口。 设置好这两步它就会开始捕获数据了。 3、设置显示过滤器 设置好捕获过滤器之后,捕获的内容可能依然很多,这个时候就需要设置一下要显示哪些内容了,也就是
Wireshark 教程
11-16
Wireshark教程中还会涉及如何导出捕获文件、如何保存和加载捕获配置,以及如何使用专家信息来识别可能的问题。专家信息是Wireshark对捕获数据进行智能分析后的结果,它会指出可能存在的网络问题或不寻常的行为。 ...
最新wireshark中文使用教程
03-20
5. 使用Wireshark插件:Wireshark有丰富的第三方插件,如VoIP分析、SSL解密等,增强其功能。 通过本教程的学习,你可以熟练掌握Wireshark的基本操作,了解其核心功能,并逐步提升在网络分析领域的技能。在实际工作...
Fiddler 和 Wireshark抓包教程合集.docx
09-26
4. 解码与解密:如果捕获到加密的HTTPS流量,可以尝试解密。 5. 深入学习:了解Wireshark的高级特性,如颜色编码、协议字段分析等。 ### 结合使用Fiddler和Wireshark 在某些场景下,结合使用Fiddler(侧重...
Wireshark和科来网络抓包软件教程.zip
03-28
**Wireshark教程知识点** 1. **Wireshark简介**:Wireshark是一个跨平台的网络捕包和分析工具,支持多种操作系统,如Windows、Linux和macOS。它能实时捕获网络流量,并提供深入的数据包解析信息。 2. **数据包捕获...
HibernateQuickStart_1:https
03-23
【标题】:“Hibernate QuickStart教程_1:HTTPS安全连接” 【描述】:本教程将带你深入理解Hibernate框架的快速入门,特别关注在HTTPS环境下使用Hibernate进行数据库操作的安全性。HTTPS是一种安全的通信协议,...
使用wiresharkHTTPS解密
热门推荐
weixin_43977912的博客
03-11 2万+
最近需要解析HTTPS流量,所以对wiresharkHTTPS解密进行了实测。 使用wireshark解密https的方法 方法一: 1、在wireshark的首选项中的protocols的tls选项里添加服务器私钥文件。p12文件需要填写密码。 2、从整个会话开始前开始抓包。 3、https数据包自动解密为http格式的包。 方法二: 1、使用chrome浏览器浏览页面,在系统环境变量中设置SSLKEYLOGFILE=C:\ssl_key\sslog.log(可变),将对应的文件同时添加到的首选项中
wireshark 怎么解密https流量
05-09
解密HTTPS流量,需要获取服务器的私钥。这通常需要在服务器端进行,因为私钥通常保存在服务器上。 如果您无法获得服务器的私钥,那么就无法解密HTTPS流量。 如果您有服务器的私钥,那么可以使用Wireshark解密HTTPS流量。以下是步骤: 1. 打开Wireshark并打开捕获的HTTPS数据包。 2. 在Wireshark的菜单栏中,选择“Edit” -> “Preferences”。 3. 在“Preferences”窗口中,展开“Protocols”并选择“SSL”。 4. 在“SSL”窗口中,单击“Edit”按钮。 5. 在“SSL协议解密设置”窗口中,单击“+”按钮以添加一个新的密钥。 6. 在“密钥日志文件”字段中,输入包含服务器私钥的文件的路径。 7. 在“密码”字段中,输入用于保护私钥的密码(如果有)。 8. 在“协议”字段中,选择适当的加密协议。 9. 在“密钥类型”字段中,选择“RSA”或“DSA”,具体取决于服务器使用的加密算法。 10. 在“密钥文件格式”字段中,选择“PEM”。 11. 单击“OK”按钮。 12. Wireshark现在应该可以解密HTTPS流量。要验证此操作是否成功,请确保捕获的数据包中的HTTPS流量显示为解密的明文。 请注意,这些步骤可能因Wireshark版本而异,具体取决于您使用的版本。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值