文章目录
问题: wireshark中怎么解析TLS, HTTPS数据包
回答: 俩种方法:
使用 (Pre)-Master-Secret 解析 TLS, HTTPS数据包
- 设置环境变量 : SSLKEYLOGFILE 值为一个可写文件
- 重启浏览器, wireshark
- 配置wireshark, 编辑(edit) -> 首选项(Preferences )->Protocols ->TLS->(Pre)-Master-Secret log filename 中指定环境变量中配置的文件
- 配置 抓取过滤(capture filter): tcp port 443 或者 host <要抓取的域名> 或者俩者组合配置都行, 443一般作为https默认端口, 具体值根据要抓取的服务端口而定。
- 配置显示过滤(display filter): tls
- 然后浏览器中打开要抓取的服务页面
- 抓取的tls, https数据包就解析好了
注意, wireshark 3.0之后的版本, tcp协议中 Reassemble out-of-order segments 需要勾选上, 默认是不勾选的。
有些时候会出现抓取不到的情况,清理下secret log文件, 这时重启浏览器和wireshark, 重新抓取可以解决, 如果有更好办法解决可以评论区留言分享下。
使用RSA私钥方式解析 TLS, HTTPS数据包
- 需要导出服务私钥
- 然后再wireshark 中添加私钥文件, 编辑(edit) -> 首选项(Preferences )->Protocols ->TLS->rsa key lists中添加私钥文件
- 然后就可以抓取数据包了。
