這裡介紹如何進行https資料報的解密,獲取資料報應用層的資訊,例如url、json、xml等等。
本步驟適合 能獲取伺服器證書的場景下的 ssl資料報全量解密。
需要說明的是,僅rsa演算法的ssl可以進行解碼,其它秘鑰交換演算法是不可解密的。
使用wireshark開啟https資料報,可以看到https的client hello ,server hello 等協商和秘鑰交換過程。僅支援rsa的秘鑰交換方式。
如果非443埠的流量資料,則需要自定解碼器,滑鼠右鍵- 「decode as」。設定對應的埠和協議。
如果是ssl協議,我們可以看到client hello 和server hello 的握手過程。
從server hello 包裡面,可以看到加密演算法。
滑鼠右鍵,選擇 協議引數選項,開啟tcp選項
找到ssl協議(或tls),設定rsa keys list ,設定日誌檔案路徑
rsa key lists,裡面,新增key(伺服器證書),支援pfx,或pem等等格式,按情況輸入證書密碼。點ok
wireshark 篩選HTTP流量
1 讓wireshark只顯示訪問某指定網域名稱 www.bt2bn.cn 的http請求資料報 http.host www.bt2bn.cn 2 讓wireshark只顯示訪問包含了指定字串的網域名稱 比如,包含bt2bn的網域名稱 的http請求資料報 http.host contains bt...
wireshark分析http協議
過濾關鍵字 1.協議過濾 比如tcp,只顯示tcp協議。http,只顯示http協議 2.ip 過濾 比如 ip.src 192.168.1.102 顯示源位址為192.168.1.102,ip.dst 192.168.1.102,目標位址為192.168.1.102 3.埠過濾 tcp.port ...
WireShark幀格式解析
先看一下我使用udp廣播時,wireshark捕獲的資料截圖 從圖上能看出來我udp傳送的資料是 liuyu love chenlan 以下幀格式解析來自網際網路 幀號 時間 源位址 目的位址 高層協議 包內資訊概況 no.time source destination protocol info ...