Wireshark er en populær åpen kildekode-pakkeanalysator som tilbyr et bredt spekter av praktiske funksjoner for nettverksanalyse, feilsøking, utdanning og mye mer. Folk som ønsker å bruke Wireshark for første gang og de som allerede har erfaring med det lurer ofte på å lese HTTPS-trafikk.
Hvis du er en av dem, har du kommet til rett sted. Her vil vi forklare hva HTTPS er og hvordan det fungerer. Deretter vil vi diskutere om du kan lese HTTPS-trafikk, hvorfor det kan være et problem, og hva du kan gjøre med det.
Hva er HTTPS?
Hypertext Transfer Protocol Secure (HTTPS) representerer en sikker versjon av HTTP som garanterer sikker dataoverføring og kommunikasjon mellom en nettleser og en nettside.
HTTPS sikrer sikkerhet og forhindrer avlytting, identitetstyveri, man-in-the-midten-angrep og andre sikkerhetstrusler. I disse dager har ethvert nettsted som ber deg om å skrive inn informasjonen din eller opprette en konto HTTPS for å beskytte deg.
HTTPS beskytter mot sikkerhetstrusler og ondsinnede angrep ved å kryptere alle utvekslinger mellom en nettleser og en server.
Det er viktig å presisere at HTTPS ikke er atskilt fra HTTP. Snarere er det en HTTP-variant som bruker spesifikk kryptering som Secure Socket Layer (SSL) og Transport Layer Security (TLS) for å sikre kommunikasjon. Når en nettleser og en nettserver kommuniserer gjennom HTTPS, engasjerer de seg i et SSL/TLS-håndtrykk, det vil si en utveksling av sikkerhetssertifikater.
Hvordan kan du se om kommunikasjonen din til et nettsted er sikret med HTTPS? Bare se på adressefeltet. Hvis du ser 'https' i begynnelsen av nettadressen, er tilkoblingen din sikker.
Wireshark Slik leser du HTTPS-trafikk
En av hovedtrekkene til HTTPS er at den er kryptert. Selv om dette er en fordel når du handler på nettet eller legger igjen personlig informasjon på et nettsted, kan det være en ulempe når du sporer for å overvåke nettrafikk og analysere nettverket ditt.
Siden HTTPS er kryptert, er det ingen måte å lese det i Wireshark. Men du kan vise SSL- og TLS-pakker og dekryptere dem til HTTPS.
Følg disse trinnene for å lese SSL- og TLS-pakker i Wireshark:
- Åpne Wireshark og velg hva du vil fange i 'Capture'-menyen.
- I 'Pakkeliste'-ruten fokuserer du på 'Protokoll'-kolonnen og ser etter 'SSL.'
- Finn SSL- eller TLS-pakken du er interessert i, og åpne den.
Hvordan dekryptere SSL i Wireshark
Den anbefalte måten å dekryptere SSL på er å bruke en hemmelig hovednøkkel. Du må fullføre disse fire trinnene:
- Angi en miljøvariabel.
- Start nettleseren din.
- Konfigurer innstillingene dine i Wireshark.
- Fang opp og dekrypter øktnøkler.
La oss gå over hvert trinn mer detaljert.
Angi en miljøvariabel
En miljøvariabel er en verdi som bestemmer hvordan datamaskinen håndterer ulike prosesser. Hvis du vil dekryptere SSL og TLS, må du først angi en miljøvariabel på riktig måte. Hvordan du gjør dette avhenger av operativsystemet ditt.
Angi en miljøvariabel i Windows
Windows-brukere bør følge disse trinnene for å angi en miljøvariabel:
hvordan lage eksponenter i Google Docs
- Start Start-menyen.
- Åpne 'Kontrollpanel'.
- Gå til 'System og sikkerhet.'
- Velg 'System.'
- Rull ned og velg 'Avanserte systeminnstillinger.'
- Dobbeltsjekk om du er i 'Avansert'-delen og trykk på 'Miljøvariabler.'
- Trykk 'Ny' under 'Brukervariabler.'
- Skriv 'SSLKEYLOGFILE' under 'Variabelnavn.'
- Under «Variabelverdi» skriver du inn eller bla gjennom banen til loggfilen.
- Trykk 'Ok.'
Angi en miljøvariabel i Mac eller Linux
Hvis du er en Linux- eller Mac-bruker, må du bruke nano for å angi en miljøvariabel.
Linux-brukere bør åpne en terminal og skrive inn denne kommandoen: 'nano ~/ .bashrc'. Mac-brukere bør åpne Launchpad, trykke på 'Annet' og starte en terminal. Deretter bør de skrive inn denne kommandoen: 'nano ~/ .bash_profile'.
Både Linux- og Mac-brukere bør deretter følge disse trinnene for å fortsette:
- Legg til denne filen på slutten av filen: 'eksport SSLKEYLOGFILE=~/.ssl-key.log'.
- Lagre endringene dine.
- Lukk terminalvinduet og start et nytt. Skriv inn denne linjen: 'echo $SSKEYLOGFILE'.
- Du skal nå se hele banen til SSL-pre-masternøkkelloggen. Kopier denne banen for å lagre den til senere, da du må angi den i Wireshark.
Start nettleseren din
Det andre trinnet er å starte nettleseren for å sikre at loggfilen blir brukt. Du må åpne nettleseren din og besøke et SSL-aktivert nettsted.
Etter at du har besøkt et slikt nettsted, sjekk filen din for data. I Windows bør du bruke Notisblokk, mens i Mac og Linux bør du bruke denne kommandoen: 'cat ~/ .ssl-log.key'.
Konfigurer Wireshark
Etter at du har etablert at nettleseren logger pre-master-nøkler på ønsket sted, er det på tide å konfigurere Wireshark. Etter konfigurering skal Wireshark kunne bruke nøklene til å dekryptere SSL.
Følg trinnene nedenfor for å gjøre det:
- Start Wireshark og gå til 'Rediger.'
- Klikk på 'Preferences'.
- Utvid «Protokoller».
- Rull ned og velg 'SSL.'
- Finn '(Pre)-Master Secret log filename' og skriv inn banen du satte opp i det første trinnet.
- Trykk 'Ok.'
Ta opp og dekrypter øktnøkler
Nå som du har konfigurert alt, er det på tide å sjekke om Wireshark dekrypterer SSL. Her er hva du må gjøre:
- Start Wireshark og start en ufiltrert fangstøkt.
- Minimer Wireshark-vinduet og åpne nettleseren din.
- Gå til et sikkert nettsted for å få data.
- Gå tilbake til Wireshark og velg en hvilken som helst ramme med krypterte data.
- Finn 'Packet byte view' og se på 'Decrypted SSL' data. HTML skal nå være synlig.
Hvilke praktiske funksjoner tilbyr Wireshark?
En av grunnene til at Wireshark er en ledende nettverkspakkeanalysator er at den tilbyr et bredt spekter av praktiske alternativer som forbedrer brukeropplevelsen din. Her er noen av dem:
Fargekoding
Å gå gjennom store mengder informasjon kan være tidkrevende og utmattende. Wireshark prøver å hjelpe deg å skille forskjellige pakketyper med et unikt fargekodingssystem. Her kan du se standardfargene for hovedpakketyper:
- Lyseblå – UDP
- Lys lilla – TCP
- Lysegrønn – HTTP-trafikk
- Lys gul – Windows-spesifikk trafikk (inkludert Server Message Blocks (SMB) og NetBIOS
- Mørk gul – Ruting
- Mørkegrå – TCP SYN-, ACK- og FIN-trafikk
- Svart – Pakker som inneholder en feil
Du kan se hele fargeskjemaet ved å gå til 'View' og velge 'Coloring Rules.'
Wireshark lar deg tilpasse dine egne fargeregler i henhold til dine preferanser i de samme innstillingene. Hvis du ikke vil ha noen fargelegging, bytter du veksleknappen ved siden av 'Farglegg pakkeliste.'
Beregninger og statistikk
Wireshark tilbyr ulike alternativer for å lære mer om fangsten din. Disse alternativene er plassert i 'Statistikk'-menyen øverst i vinduet.
Avhengig av hva du er interessert i, kan du se gjennom statistikk over fangstfilegenskaper, løste adresser, pakkelengder, endepunkter og mange flere.
Kommandolinje
Hvis du har et system som ikke har et grafisk brukergrensesnitt (GUI), vil du gjerne vite at Wireshark har et.
Promiskuøs modus
Som standard lar Wireshark deg fange opp pakker som går til og fra datamaskinen du bruker. Men hvis du aktiverer den promiskuøse modusen, kan du fange opp mesteparten av trafikken på hele lokalnettverket (LAN).
FAQ
Kan jeg filtrere pakkedata i Wireshark?
Ja, Wireshark tilbyr avanserte filtreringsalternativer som lar deg vise relevant informasjon på noen få sekunder.
Plattformen har to typer filtre: fangst og visning. Fangefiltre brukes under fangst av data. Du kan angi dem før du starter en pakkefangst og kan ikke endre dem under prosessen. Disse filtrene representerer en enkel måte å raskt søke etter dataene du er interessert i. Hvis Wireshark fanger opp data som ikke samsvarer med dine angitte filtre, vil den ikke vise dem.
hvordan legge ut live-bilde på instagram
Visningsfiltre brukes etter fangstprosessen. I motsetning til fangstfiltre som forkaster data som ikke samsvarer med de angitte kriteriene, skjuler visningsfiltre ganske enkelt disse dataene fra listen. Dette gir deg en klarere oversikt over fangsten og lar deg enkelt finne det du leter etter.
Hvis du bruker mange filtre i Wireshark og har problemer med å huske dem, vil du gjerne vite at Wireshark lar deg lagre filtrene dine. På den måten trenger du ikke å bekymre deg for å glemme riktig syntaks eller bruke feil filter. Du kan lagre filteret ditt ved å trykke på bokmerkeikonet ved siden av Filter-feltet.
Mestre nettverksanalyse med Wireshark
Takket være sine imponerende pakkeanalysealternativer lar Wireshark deg få en grundig oversikt over trafikken som går til og fra nettverket ditt. Selv om den tilbyr avanserte funksjoner, har Wireshark et enkelt, intuitivt grensesnitt, så selv de som er nye i pakkeanalyseverdenen vil raskt lære seg tauene. Å lese HTTPS-trafikk er kanskje ikke enkelt, men det er mulig hvis du dekrypterer SSL-pakker.
Hva liker du best med Wireshark? Har du noen gang hatt problemer med det? Fortell oss i kommentarfeltet nedenfor.