Wireshark对QUIC包的抓包和解密

最新推荐文章于 2024-07-03 17:13:48 发布
最新推荐文章于 2024-07-03 17:13:48 发布
阅读量1.1w 收藏 29
点赞数 2
文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37177958/article/details/120476794
版权

参考资料:通过Wireshark 解密展示 https和quic数据明文_MemoryOY的博客-CSDN博客https://blog.csdn.net/MemoryOY/article/details/114673853

简介

由于QUIC是基于TLS1.3构建的,所以在用wireshark对quic进行抓包时,经常会出现只能看到部分quic包数据的情况,为了更好的了解和研究quic,我们需要对包进行解密。

未解密quic包:

 解密quic包:

经过两图对比,我们能发现不进行解密只能看到很少一部分quic数据。话不多说,开始教程。 

操作说明

环境:Ubuntu18.04,火狐(network.http.http3.enabled为true)

1、打开一个命令行,开启抓包,port是服务器的端口号,/home/capture/quic.pcap是抓包文件存放的地址

tcpdump -ni any port 8443 -w /home/capture/quic.pcap

2、另起一个命令行,设置linux环境变量,输出的是密钥记录日志文件,sslkeylog.log。

export SSLKEYLOGFILE=/home/capture/sslkeylog.log

        原理:当你配置了”SSLKEYLOGFILE“这个环境变量,这意味着你想知道每次https会话的key记录,浏览器将会在每次https会话结束后,将会话数据解密的key记录到keylog文件中,Wireshark通过访问keylog文件使用里面的key就可以解密自己捕获到的https会话数据流。

3、使用火狐浏览器,访问使用quic的服务器(https://127.0.0.1:8443是我自己配置的quic服务器地址)

firefox https://127.0.0.1:8443

        这里有一个关键点就是,浏览器产生的解密密码是不一样的,每一次抓包,每一个会话或者每一个流(这里不确定,知道的大神可以私信告诉我,谢谢!)的密码好像都是随机生成的,不是一成不变的。所以每次想抓到解密的quic包都得严格按照上述步骤流程去做。sslkeylog.log 截图如下:

4、停止抓包,用wireshark打开本次抓到的包

         然后打开wireshark 软件设置: [编辑]-[首选项]-[协议]-[TLS]-[(Pre)-Master-Secret log filename] 选中sslkeylog.log ,如下

5、得到解密后的quic包(同一个文件的图,选中的都是21号包,可以和上图比较)

         完成。

晏晓山
关注
QUIC分析、调试和可视化 工具
FeelTouch Labs
06-04 889
对于每个连接,Fuzi_q 确定一个加密点,例如“初始消息已被处理”,或“握手已确认”,或“连接正在关闭”。它不是监控单个连接的流量内容或元数据的工具,而且由于大多数连接都是加密的,因此在互联网上这是不可能的。该工具查看传输协议(例如 QUIC Spin Bit)的特性,并尝试获取有关单个连接的往返时间或聚合或平均值的信息。QUIC Tracker 是 IETF-QUIC 的测试套件。但是,如果向 Wireshark 提供解密的跟踪,则如果在“设置”中启用了“强制解密”选项,它将正确解析 GQUIC
通过Wireshark 解密展示 https和quic数据明文
MemoryOY的博客
03-11 5062
Wireshark 解密https 或者 quic wireshark 可以观察http方式的各种信息,方便分析问题,对于https或者quic 加密处理的如何展示明文? 解密https tcpdump 抓包 # tcpdump -ni any port 443 -w https.pcap linux 设置环境变量SSLKEYLOGFILE,访问支持https 的网站 # export SSLKEYLOGFILE=~/sslkeylog.log # curl -v https://www.
wireshark抓取Chrome浏览器quic协议的明文
最新发布
zhangmiaoping23的专栏
07-03 505
3.配置wireshark,编辑->首选项->Protocls->TLS:(Pre)-Master-Secret log filename,填入D:\sslkeylogfile.log。wireshark版本:Version 4.2.5 (v4.2.5-0-g4aa814ac25a1).1.chromium浏览器启用quic: chrome://flags/#enable-quic。4.有代理的话,关掉HTTP代理,重启浏览器,进行抓包
[仍在撰写]QUIC ECHO抓包实践
derlinst的博客
06-08 367
QUIC Wireshark Handshake Echo
TCP抓包工具和QUIC协议 Day9
akashcai的博客
04-11 1000
QUIC 的 每个 Stream 都有各自的滑动窗口,不同 Stream 互相独立,队头的 Stream A 被阻塞后,不妨碍 StreamB、C的读取。QUIC 是基于 UDP 传输的,而 UDP 没有流量控制,因此 QUIC 实现了自己的流量控制机制,QUIC 的滑动窗口滑动的条件跟 TCP 有一点差别,但是同一个 Stream 的数据也是要保证顺序的,不然无法实现可靠传输,因此同一个 Stream 的数据丢失了,也会造成窗口无法滑动。但是因为 QUIC 处于应用层,所以就可以。
使用Wireshark进行QUIC抓包
sjtu_ysw的博客
05-07 7598
这里写自定义目录标题使用Wireshark进行QUIC抓包开启quiche的SSL密钥记录Wireshark中设置TLS密钥位置 使用Wireshark进行QUIC抓包 现在的wireshark已经添加了对quic协议的支持,我用的是windows平台,用的iQUIC实现是quiche,记录一下wireshark对其的抓包解密过程 开启quiche的SSL密钥记录 由于QUIC用的是DH加密,保...
【网络技术】【Kali Linux】Wireshark嗅探(十四)QUIC(快速UDP互联网连接)协议报文捕获及分析
weixin_43031313的博客
05-24 1062
QUIC(读作“quick”)是一个通用的传输层网络协议,最初由Google的Jim Roskind设计。该协议于2012年实现并部署,2013年随着实验范围的扩大而公开发布,并向IETF描述。虽然长期处于互联网草案阶段,但从Chrome浏览器至Google服务器的连接中超过一半的连接都使用了QUIC。Microsoft Edge、Firefox都已支持此协议;Safari实现了QUIC,但默认情况下没有启用。QUIC于RFC9000中被正式标准化。QUIC最初是“快速UDP互联网连接”(QuickU。
使用QUIC
网易数帆社区博客
08-16 2656
QUIC是Google新开发的一个基于UDP的协议,它提供了像TCP一样的传输可靠性保证,可以实现数据传输的0-RTT延迟,灵活的设计使我们可以对它的拥塞控制及流量控制做更多的定制,它还提供了传输的安全性保障,以及像HTTP/2一样的应用数据二进制分帧传输。而QUIC协议最最吸引人的特性有两点,一是对队首阻塞问题的解决更为彻底。基于TCP的HTTP/2,尽管从逻辑上来说,不同的流之间相互独立,不会...
通过抓包quic定义的结构
chenquangobeijing的专栏
05-19 1031
RFC9000有完整的标准。 由Header Packet+Frame组成。 一 Header Packet分Long Header Packet、Short Header Packet。 重要是DCID和SCID,服务器和客户端的标识。长度--2字节,Packet Number--1字节--变长。 Long Header Packet括以下4种,Packet Type如下: Short Header Packet括1-RTT。 二 Frame Type帧类型 ..
TLS握手过程及wireshark抓包分析
weixin_46775266的博客
08-05 3455
TLS握手过程及wireshark抓包分析 1.TLS的发展 1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。 1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。 1996年,SSL 3.0版问世,得到大规模应用。 1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。 2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2
wireshark3.0.0——1.zip
09-18
在文件处理方面,Wireshark 3.0.0 改进了对各种网络日志和捕文件的支持,括Pcap NG格式,这是一种更为高效的数据存储格式,能容纳更丰富的元数据和多链路捕。此外,该版本可能还优化了导入和导出功能,使得...
wireshark解密不通过浏览器的https报文
SunnyDay的专栏
02-10 5769
ServerKeyExchange handshake消息首先,要解密不通过浏览器的https报文,如果HTTPS server发送的TLS/SSL报文中不含ServerKeyExchange消息。如果有ServerKeyExchange消息,那么你是不能解密这个报文的。在TLS/SSL协议中,ServerKeyExchange消息被于cipher suite为DHE或者DH相关的cipher s
短视频dy(某音)高版本最新最全4种抓包方案,第1种让你秒破QUIC协议,破解抓包难题,看我这一篇就够了!
热门推荐
m0_37802824的博客
08-14 1万+
一般大多数网站、APP最常用的是http、https协议,而某两款最火的短视频dy(某音)、ks(某手)最新版使用的是quic协议(见附录1),导致fiddler和charles无法直接抓到(某音app 13.5版本以下可以直接抓到). 而我给大家带来的几种方案都是亲测可行的,主要思路是禁用或者绕过quic相关的so加载,迫使它走https协议。某音的相关so文件是libsscronet.so.........
某音抓包降级quic协议
爬虫工程师的日常笔记
03-30 1316
通过hook方式解决某音无法抓包的问题
使用GOOGLE的QUIC
好记性不如写博客!
08-07 1万+
QUIC是Google新开发的一个基于UDP的协议,它提供了像TCP一样的传输可靠性保证,可以实现数据传输的0-RTT延迟,灵活的设计使我们可以对它的拥塞控制及流量控制做更多的定制,它还提供了传输的安全性保障,以及像HTTP/2一样的应用数据二进制分帧传输。 而QUIC协议最最吸引人的特性有两点,一是对队首阻塞问题的解决更为彻底。基于TCP的HTTP/2,尽管从逻辑上来说,不同的流之间相互独立,
如何解密QUIC协议
村中少年的专栏
11-21 3960
如何解密QUIC协议
wireshark抓包简单分析及wifi的WPA2认证握手报文(实验三)
b312738566的博客
10-17 2964
1、安装Windows 操作系统的计算机2、VMware虚拟机3、树莓派、Kali虚拟机1、实验2中UDP客户端发命令修改展板内容相关内容复习2、wireshark的使用方法1、已知有实验2编写的程序可以通过UDP连接从远程主机上连接到树莓派上的UDP服务器,从而通过输入的文字修改文本《显示内容.txt》的内容,进而影响前台展板的显示内容。使用《网络调试助手(NetAssist)》工具发送新的文字内容,从而篡改前端展板的显示内容。
QUIC协议(握手过程)简要介绍
lrylx的博客
11-02 1621
QUIC协议(握手流程)从密码学方面的简要介绍
使用wireshark对百度抓包
05-05
以下是如何使用 Wireshark 对百度进行抓包的步骤: 1. 下载并安装 Wireshark。 2. 打开 Wireshark 并选择网络接口。 3. 点击“开始捕获”按钮来开始抓包。 4. 打开浏览器并进入百度网站。 5. 在浏览器中执行您想要抓取的操作,例如搜索一个关键字。 6. 返回 Wireshark 窗口并停止捕获。 7. 在过滤器中输入“http.host contains baidu.com”,然后点击“应用”按钮。 8. 查看捕获的数据并分析它们。 请注意,您需要获得适当的授权才能对其他人的流量进行抓包。同时,抓包可能会违反某些地区或组织的法律规定,请在进行抓包前仔细研究相关法律法规。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值