A Wireshark egy népszerű nyílt forráskódú csomagelemző, amely kényelmes funkciók széles skáláját kínálja hálózati elemzéshez, hibaelhárításhoz, oktatáshoz és még sok máshoz. Azok, akik először szeretnék használni a Wiresharkot, és azok, akik már rendelkeznek vele tapasztalattal, gyakran elgondolkodnak a HTTPS-forgalom olvasásakor.
Ha te is közéjük tartozol, akkor jó helyen jársz. Itt elmagyarázzuk, mi az a HTTPS, és hogyan működik. Ezután megvitatjuk, hogy tudja-e olvasni a HTTPS-forgalmat, miért lehet ez probléma, és mit tehet ellene.
Mi az a HTTPS?
A HTTPS (Hypertext Transfer Protocol Secure) a HTTP biztonságos változata, amely biztonságos adatátvitelt és kommunikációt garantál a webböngésző és a webhely között.
A HTTPS gondoskodik a biztonságról, és megakadályozza a lehallgatást, a személyazonosság-lopást, a köztes támadásokat és más biztonsági fenyegetéseket. Manapság minden olyan webhely, amely megkéri Önt az adatok megadására vagy fiók létrehozására, HTTPS-t használ az Ön védelme érdekében.
A HTTPS védelmet nyújt a biztonsági fenyegetésekkel és a rosszindulatú támadásokkal szemben azáltal, hogy titkosítja a webböngésző és a szerver közötti összes adatcserét.
Fontos tisztázni, hogy a HTTPS nem különül el a HTTP-től. Inkább egy HTTP-változat, amely speciális titkosítást használ, mint például a Secure Socket Layer (SSL) és a Transport Layer Security (TLS) a biztonságos kommunikáció érdekében. Amikor egy webböngésző és egy webszerver HTTPS-en keresztül kommunikál, SSL/TLS-kézfogásban, azaz biztonsági tanúsítványok cseréjében vesznek részt.
Hogyan állapíthatja meg, hogy a webhelyekkel folytatott kommunikációja HTTPS-sel védett? Egyszerűen nézze meg a címsort. Ha a „https” szöveget látja az URL elején, akkor a kapcsolat biztonságos.
Wireshark A HTTPS forgalom olvasása
A HTTPS egyik fő jellemzője, hogy titkosított. Bár ez előnyt jelent, ha online vásárol, vagy személyes adatokat hagy meg egy webhelyen, hátrányt jelenthet, ha nyomon követi a webes forgalmat és elemzi a hálózatát.
Mivel a HTTPS titkosított, a Wiresharkban nem lehet olvasni. De megjelenítheti az SSL- és TLS-csomagokat, és visszafejtheti őket HTTPS-re.
Kövesse az alábbi lépéseket az SSL- és TLS-csomagok Wiresharkban történő olvasásához:
- Nyissa meg a Wiresharkot, és válassza ki, hogy mit szeretne rögzíteni a „Rögzítés” menüben.
- A „Csomaglista” ablaktáblában fókuszáljon a „Protokoll” oszlopra, és keresse az „SSL” kifejezést.
- Keresse meg az SSL- vagy TLS-csomagot, amely érdekli, és nyissa meg.
Az SSL visszafejtése a Wiresharkban
Az SSL visszafejtésének ajánlott módja egy titkos titkos kulcs használata. Ezt a négy lépést kell végrehajtania:
- Állítson be egy környezeti változót.
- Indítsa el a böngészőt.
- Konfigurálja a beállításokat a Wiresharkban.
- Munkamenetkulcsok rögzítése és visszafejtése.
Nézzük meg részletesebben az egyes lépéseket.
Állítson be egy környezeti változót
A környezeti változó egy olyan érték, amely meghatározza, hogy a számítógép hogyan kezeli a különböző folyamatokat. Ha vissza szeretné fejteni az SSL-t és a TLS-t, először megfelelően be kell állítania egy környezeti változót. Ennek módja az operációs rendszertől függ.
Állítson be egy környezeti változót a Windows rendszerben
A Windows-felhasználóknak az alábbi lépéseket kell követniük a környezeti változó beállításához:
- Indítsa el a Start menüt.
- Nyissa meg a „Vezérlőpultot”.
- Lépjen a „Rendszer és biztonság” elemre.
- Válassza a „Rendszer” lehetőséget.
- Görgessen le, és válassza a „Speciális rendszerbeállítások” lehetőséget.
- Ellenőrizze még egyszer, hogy a „Speciális” részben van-e, majd nyomja meg a „Környezeti változók” gombot.
- Nyomja meg az „Új” gombot a „Felhasználói változók” alatt.
- Írja be az „SSLKEYLOGFILE” kifejezést a „Változó neve” mezőbe.
- A „Változó értéke” részben adja meg vagy tallózzon a naplófájl elérési útjában.
- Nyomja meg az „OK” gombot.
Állítson be egy környezeti változót Mac vagy Linux rendszeren
Ha Ön Linux- vagy Mac-felhasználó, akkor a nano-t kell használnia egy környezeti változó beállításához.
A Linux felhasználóknak meg kell nyitniuk egy terminált, és be kell írniuk ezt a parancsot: „nano ~/ .bashrc”. A Mac felhasználóknak meg kell nyitniuk a Launchpadot, meg kell nyomniuk az „Egyéb” gombot, és el kell indítaniuk egy terminált. Ezután ezt a parancsot kell beírniuk: „nano ~/ .bash_profile”.
A Linux- és Mac-felhasználóknak is követniük kell az alábbi lépéseket a folytatáshoz:
- Adja hozzá ezt a fájlt a fájl végéhez: „export SSLKEYLOGFILE=~/.ssl-key.log”.
- Mentse el a változtatásokat.
- Zárja be a terminál ablakát, és indítson egy másikat. Írja be ezt a sort: „echo $SSKEYLOGFILE”.
- Most látnia kell az SSL előtti főkulcsnapló teljes elérési útját. Másolja ki ezt az elérési utat, hogy későbbre elmentse, mivel meg kell adnia a Wiresharkban.
Indítsa el a böngészőt
A második lépés a böngésző elindítása, hogy megbizonyosodjon a naplófájl használatáról. Nyissa meg a böngészőt, és keressen fel egy SSL-kompatibilis webhelyet.
Miután felkeresett egy ilyen webhelyet, ellenőrizze a fájlban található adatokat. Windows rendszerben a Jegyzettömböt kell használni, míg Mac és Linux alatt ezt a parancsot: „cat ~/ .ssl-log.key”.
Konfigurálja a Wiresharkot
Miután megállapította, hogy böngészője a kívánt helyen naplózza az elő-főkulcsokat, ideje konfigurálni a Wiresharkot. A konfigurálás után a Wiresharknak képesnek kell lennie a kulcsok használatával az SSL visszafejtésére.
Ehhez kövesse az alábbi lépéseket:
- Indítsa el a Wiresharkot, és lépjen a „Szerkesztés” elemre.
- Kattintson a „Beállítások” elemre.
- Bontsa ki a „Protokollok” elemet.
- Görgessen le, és válassza az „SSL” lehetőséget.
- Keresse meg a „(Pre)-Master Secret log filename” elemet, és adja meg az első lépésben beállított elérési utat.
- Nyomja meg az „OK” gombot.
Session Keys rögzítése és visszafejtése
Most, hogy mindent beállított, ideje ellenőrizni, hogy a Wireshark dekódolja-e az SSL-t. A következőket kell tennie:
- Indítsa el a Wiresharkot, és indítson el egy szűretlen rögzítési munkamenetet.
- Minimalizálja a Wireshark ablakot, és nyissa meg a böngészőt.
- Látogasson el bármely biztonságos webhelyre az adatok beszerzéséhez.
- Térjen vissza a Wiresharkhoz, és válasszon ki egy titkosított adatokat tartalmazó keretet.
- Keresse meg a „Packet byte view” elemet, és nézze meg a „Decrypted SSL” adatokat. A HTML-nek most láthatónak kell lennie.
Milyen kényelmes szolgáltatásokat kínál a Wireshark?
Az egyik oka annak, hogy a Wireshark a vezető hálózati csomagelemző, hogy kényelmes lehetőségek széles skáláját kínálja, amelyek javítják a felhasználói élményt. Itt van néhány közülük:
Színkódolás
A hatalmas mennyiségű információ áttekintése időigényes és fárasztó lehet. A Wireshark egy egyedi színkódoló rendszerrel próbál segíteni a különböző csomagtípusok megkülönböztetésében. Itt láthatja a főbb csomagtípusok alapértelmezett színeit:
- Világoskék – UDP
- Világos lila – TCP
- Világoszöld – HTTP forgalom
- Világossárga – Windows-specifikus forgalom (beleértve a kiszolgálói üzenetblokkokat (SMB) és a NetBIOS-t).
- Sötétsárga – Útvonal
- Sötétszürke – TCP SYN, ACK és FIN forgalom
- Fekete – hibát tartalmazó csomagok
A teljes színsémát megtekintheti a „Nézet” menü „Színezési szabályok” elemének kiválasztásával.
A Wireshark lehetővé teszi saját színezési szabályainak testreszabását az Ön preferenciái szerint, ugyanazon beállítások mellett. Ha nem szeretne színezni, kapcsolja át a „Csomaglista színezése” melletti váltógombot.
Metrikák és statisztikák
A Wireshark különféle lehetőségeket kínál, hogy többet megtudjon a rögzítésről. Ezek az opciók az ablak tetején található „Statisztika” menüben találhatók.
Attól függően, hogy mi érdekli, áttekintheti a rögzítési fájl tulajdonságaira, a feloldott címekre, a csomagok hosszára, a végpontokra és még sok másra vonatkozó statisztikákat.
Parancs sor
Ha olyan rendszere van, amely nem rendelkezik grafikus felhasználói felülettel (GUI), akkor örömmel fogja tudni, hogy a Wireshark rendelkezik ilyennel.
Promiscuous mód
Alapértelmezés szerint a Wireshark lehetővé teszi a használt számítógépre érkező és onnan érkező csomagok rögzítését. De ha engedélyezi a promiszkuális módot, a forgalom nagy részét a teljes helyi hálózaton (LAN) rögzítheti.
GYIK
Szűrhetem a csomagadatokat a Wiresharkban?
Igen, a Wireshark fejlett szűrési lehetőségeket kínál, amelyek segítségével néhány másodperc alatt megjelenítheti a releváns információkat.
A platform kétféle szűrővel rendelkezik: rögzítés és megjelenítés. Az adatrögzítés során rögzítési szűrőket használnak. Beállíthatja őket a csomagrögzítés megkezdése előtt, és nem módosíthatja őket a folyamat során. Ezek a szűrők egyszerű módot kínálnak az Önt érdeklő adatok gyors keresésére. Ha a Wireshark olyan adatokat rögzít, amelyek nem egyeznek a beállított szűrőkkel, akkor nem jeleníti meg azokat.
A megjelenítési szűrők a rögzítési folyamat után kerülnek alkalmazásra. Ellentétben a rögzítési szűrőkkel, amelyek elvetik a beállított feltételeknek nem megfelelő adatokat, a megjelenítési szűrők egyszerűen elrejtik ezeket az adatokat a listából. Így tisztábban láthatja a felvételt, és könnyen megtalálhatja, amit keres.
Ha sok szűrőt használ a Wiresharkban, és nehezen emlékszik rájuk, örömmel fogja tudni, hogy a Wireshark segítségével mentheti a szűrőket. Így nem kell attól tartania, hogy elfelejti a helyes szintaxist vagy rossz szűrőt alkalmaz. A szűrőt a Szűrő mező melletti könyvjelző ikon megnyomásával mentheti.
Mester hálózati elemzés a Wireshark segítségével
Lenyűgöző csomagelemzési lehetőségeinek köszönhetően a Wireshark lehetővé teszi, hogy mélyreható képet kapjon a hálózatába érkező és onnan érkező forgalomról. Bár fejlett funkciókat kínál, a Wireshark egyszerű, intuitív kezelőfelülettel rendelkezik, így még a csomagelemzés világában kezdők is gyorsan megtanulják a kötelet. A HTTPS-forgalom leolvasása nem feltétlenül egyszerű, de lehetséges, ha visszafejti az SSL-csomagokat.
Mit szeretsz a legjobban a Wiresharkban? Volt már valami gondod vele? Mondja el nekünk az alábbi megjegyzések részben.
