Wireshark är en populär paketanalysator med öppen källkod som erbjuder ett brett utbud av bekväma funktioner för nätverksanalys, felsökning, utbildning och mycket mer. Människor som vill använda Wireshark för första gången och de som redan har erfarenhet av det undrar ofta över att läsa HTTPS-trafik.
Om du är en av dem har du kommit till rätt ställe. Här kommer vi att förklara vad HTTPS är och hur det fungerar. Sedan diskuterar vi om du kan läsa HTTPS-trafik, varför det kan vara ett problem och vad du kan göra åt det.
Vad är HTTPS?
Hypertext Transfer Protocol Secure (HTTPS) representerar en säker version av HTTP som garanterar säker dataöverföring och kommunikation mellan en webbläsare och en webbplats.
HTTPS säkerställer säkerhet och förhindrar avlyssning, identitetsstölder, man-in-the-midten-attacker och andra säkerhetshot. Nuförtiden har alla webbplatser som ber dig att ange din information eller skapa ett konto HTTPS för att skydda dig.
HTTPS skyddar mot säkerhetshot och skadliga attacker genom att kryptera alla utbyten mellan en webbläsare och en server.
Det är viktigt att klargöra att HTTPS inte är skild från HTTP. Det är snarare en HTTP-variant som använder specifik kryptering som Secure Socket Layer (SSL) och Transport Layer Security (TLS) för att säkra kommunikationen. När en webbläsare och en webbserver kommunicerar via HTTPS, engagerar de sig i ett SSL/TLS-handslag, dvs ett utbyte av säkerhetscertifikat.
Hur kan du se om din kommunikation till en webbplats är säkrad med HTTPS? Titta bara i adressfältet. Om du ser “https” i början av webbadressen är din anslutning säker.
Wireshark Hur man läser HTTPS-trafik
En av huvudfunktionerna i HTTPS är att den är krypterad. Även om detta är en fördel när du handlar online eller lämnar personlig information på en webbplats, kan det vara en nackdel när du spårar för att övervaka webbtrafik och analysera ditt nätverk.
Eftersom HTTPS är krypterad, finns det inget sätt att läsa det i Wireshark. Men du kan visa SSL- och TLS-paket och dekryptera dem till HTTPS.
Följ dessa steg för att läsa SSL- och TLS-paket i Wireshark:
- Öppna Wireshark och välj vad du vill fånga i “Capture”-menyn.
- I rutan “Packet List”, fokusera på kolumnen “Protokoll” och leta efter “SSL.”
- Hitta SSL- eller TLS-paketet du är intresserad av och öppna det.
Hur man dekrypterar SSL i Wireshark
Det rekommenderade sättet att dekryptera SSL är att använda en pre-master hemlig nyckel. Du måste slutföra dessa fyra steg:
- Ställ in en miljövariabel.
- Starta din webbläsare.
- Konfigurera dina inställningar i Wireshark.
- Fånga och dekryptera sessionsnycklar.
Låt oss gå igenom varje steg mer i detalj.
Ställ in en miljövariabel
En miljövariabel är ett värde som bestämmer hur din dator hanterar olika processer. Om du vill dekryptera SSL och TLS måste du först ställa in en miljövariabel korrekt. Hur du gör detta beror på ditt operativsystem.
Ställ in en miljövariabel i Windows
Windows-användare bör följa dessa steg för att ställa in en miljövariabel:
- Starta Start-menyn.
- Öppna “Kontrollpanelen.”
- Gå till “System och säkerhet.”
- Välj “System”.
- Rulla ned och välj “Avancerade systeminställningar”.
- Dubbelkolla om du är i avsnittet “Avancerat” och tryck på “Miljövariabler.”
- Tryck på “Ny” under “Användarvariabler.”
- Skriv “SSLKEYLOGFILE” under “Variabelnamn.”
- Ange eller bläddra i sökvägen till loggfilen under “Variabelvärde”.
- Tryck på “Ok”.
Ställ in en miljövariabel i Mac eller Linux
Om du är en Linux- eller Mac-användare måste du använda nano för att ställa in en miljövariabel.
Linux-användare bör öppna en terminal och ange detta kommando: “nano ~/ .bashrc”. Mac-användare bör öppna Launchpad, trycka på “Övrigt” och starta en terminal. Sedan ska de ange detta kommando: “nano ~/ .bash_profile”.
Både Linux- och Mac-användare bör sedan följa dessa steg för att fortsätta:
- Lägg till denna fil i slutet av filen: “export SSLKEYLOGFILE=~/.ssl-key.log”.
- Spara dina ändringar.
- Stäng terminalfönstret och starta ett nytt. Ange denna rad: “echo $SSKEYLOGFILE”.
- Du bör nu se hela sökvägen till din SSL pre-masternyckellogg. Kopiera den här sökvägen för att spara den till senare, eftersom du måste ange den i Wireshark.
Starta din webbläsare
Det andra steget är att starta din webbläsare för att säkerställa att loggfilen används. Du måste öppna din webbläsare och besöka en SSL-aktiverad webbplats.
När du har besökt en sådan webbplats, kontrollera din fil för data. I Windows bör du använda Notepad, medan du i Mac och Linux bör använda det här kommandot: “cat ~/ .ssl-log.key”.
Konfigurera Wireshark
När du har etablerat att din webbläsare loggar förhandsnycklar på önskad plats, är det dags att konfigurera Wireshark. Efter konfigurering bör Wireshark kunna använda nycklarna för att dekryptera SSL.
Följ stegen nedan för att göra det:
- Starta Wireshark och gå till “Redigera”.
- Klicka på “Inställningar”.
- Expandera “Protokoll”.
- Rulla ned och välj “SSL.”
- Hitta “(Pre)-Master Secret log filename” och ange sökvägen du ställde in i det första steget.
- Tryck på “Ok”.
Fånga och dekryptera sessionsnycklar
Nu när du har konfigurerat allt är det dags att kontrollera om Wireshark dekrypterar SSL. Här är vad du behöver göra:
- Starta Wireshark och starta en ofiltrerad fångstsession.
- Minimera Wireshark-fönstret och öppna din webbläsare.
- Gå till valfri säker webbplats för att få data.
- Gå tillbaka till Wireshark och välj valfri ram med krypterad data.
- Hitta “Packet byte view” och titta på “Decrypted SSL” data. HTML ska nu vara synligt.
Vilka praktiska funktioner erbjuder Wireshark?
En av anledningarna till att Wireshark är en ledande nätverkspaketanalysator är att den erbjuder ett brett utbud av bekväma alternativ som förbättrar din användarupplevelse. Här är några av dem:
Färgkodning
Att gå igenom stora mängder information kan vara tidskrävande och utmattande. Wireshark försöker hjälpa dig att särskilja olika pakettyper med ett unikt färgkodningssystem. Här kan du se standardfärgerna för stora pakettyper:
- Ljusblå – UDP
- Ljuslila – TCP
- Ljusgrön – HTTP-trafik
- Ljusgul – Windows-specifik trafik (inklusive Server Message Blocks (SMB) och NetBIOS
- Mörkgul – Routing
- Mörkgrå – TCP SYN-, ACK- och FIN-trafik
- Svart – Paket som innehåller ett fel
Du kan se hela färgschemat genom att gå till “Visa” och välja “Färgregler”.
Wireshark låter dig anpassa dina egna färgregler enligt dina preferenser i samma inställningar. Om du inte vill ha någon färg, byt växlingsknappen bredvid “Färglägg paketlista.”
Metrik och statistik
Wireshark erbjuder olika alternativ för att lära dig mer om din fångst. Dessa alternativ finns i menyn “Statistik” högst upp i fönstret.
Beroende på vad du är intresserad av kan du granska statistik om fångstfilegenskaper, lösta adresser, paketlängder, slutpunkter och många fler.
Kommandorad
Om du har ett system som inte har ett grafiskt användargränssnitt (GUI), kommer du gärna att veta att Wireshark har ett.
Promiskuöst läge
Som standard låter Wireshark dig fånga paket som går till och från datorn du använder. Men om du aktiverar det promiskuösa läget kan du fånga det mesta av trafiken på hela det lokala nätverket (LAN).
FAQ
Kan jag filtrera paketdata i Wireshark?
Ja, Wireshark erbjuder avancerade filtreringsalternativ som låter dig visa relevant information på några sekunder.
Plattformen har två typer av filter: fånga och visa. Insamlingsfilter används vid insamling av data. Du kan ställa in dem innan du startar en paketinsamling och kan inte ändra dem under processen. Dessa filter representerar ett enkelt sätt att snabbt söka efter den data du är intresserad av. Om Wireshark fångar in data som inte matchar dina inställda filter kommer den inte att visa dem.
Visningsfilter tillämpas efter fångstprocessen. Till skillnad från fångstfilter som kasserar data som inte matchar de angivna kriterierna, döljer visningsfilter helt enkelt dessa data från listan. Detta ger dig en tydligare bild av fångsten och gör att du enkelt kan hitta det du letar efter.
Om du använder många filter i Wireshark och har problem med att komma ihåg dem, kommer du att bli glad att veta att Wireshark låter dig spara dina filter. På så sätt behöver du inte oroa dig för att glömma rätt syntax eller använda fel filter. Du kan spara ditt filter genom att trycka på bokmärkesikonen bredvid fältet Filter.
Mästar nätverksanalys med Wireshark
Tack vare dess imponerande paketanalysalternativ låter Wireshark dig få en djupgående bild av trafiken som går till och från ditt nätverk. Även om det erbjuder avancerade funktioner har Wireshark ett enkelt, intuitivt gränssnitt, så även de som är nya inom paketanalysvärlden kommer snabbt att lära sig repen. Att läsa HTTPS-trafik kanske inte är enkelt, men det är möjligt om du dekrypterar SSL-paket.
Vad gillar du mest med Wireshark? Har du någonsin haft några problem med det? Berätta för oss i kommentarsfältet nedan.