HTTPS-forgalom olvasása a Wiresharkban

A Wireshark egy népszerű nyílt forráskódú csomagelemző, amely kényelmes funkciók széles skáláját kínálja hálózati elemzéshez, hibaelhárításhoz, oktatáshoz és még sok máshoz. Azok, akik először szeretnék használni a Wiresharkot, és azok, akik már rendelkeznek vele tapasztalattal, gyakran elgondolkodnak a HTTPS-forgalom olvasásakor.

Ha te is közéjük tartozol, akkor jó helyen jársz. Itt elmagyarázzuk, mi az a HTTPS, és hogyan működik. Ezután megvitatjuk, hogy tudja-e olvasni a HTTPS-forgalmat, miért lehet ez probléma, és mit tehet ellene.

Mi az a HTTPS?

A HTTPS (Hypertext Transfer Protocol Secure) a HTTP biztonságos változata, amely biztonságos adatátvitelt és kommunikációt garantál a webböngésző és a webhely között.

A HTTPS gondoskodik a biztonságról, és megakadályozza a lehallgatást, a személyazonosság-lopást, a köztes támadásokat és más biztonsági fenyegetéseket. Manapság minden olyan webhely, amely megkéri Önt az adatok megadására vagy fiók létrehozására, HTTPS-t használ az Ön védelme érdekében.

A HTTPS védelmet nyújt a biztonsági fenyegetésekkel és a rosszindulatú támadásokkal szemben azáltal, hogy titkosítja a webböngésző és a szerver közötti összes adatcserét.

Fontos tisztázni, hogy a HTTPS nem különül el a HTTP-től. Inkább egy HTTP-változat, amely speciális titkosítást használ, mint például a Secure Socket Layer (SSL) és a Transport Layer Security (TLS) a biztonságos kommunikáció érdekében. Amikor egy webböngésző és egy webszerver HTTPS-en keresztül kommunikál, SSL/TLS-kézfogásban, azaz biztonsági tanúsítványok cseréjében vesznek részt.

Hogyan állapíthatja meg, hogy a webhelyekkel folytatott kommunikációja HTTPS-sel védett? Egyszerűen nézze meg a címsort. Ha a „https” szöveget látja az URL elején, akkor a kapcsolat biztonságos.

Wireshark A HTTPS forgalom olvasása

A HTTPS egyik fő jellemzője, hogy titkosított. Bár ez előnyt jelent, ha online vásárol, vagy személyes adatokat hagy meg egy webhelyen, hátrányt jelenthet, ha nyomon követi a webes forgalmat és elemzi a hálózatát.

Mivel a HTTPS titkosított, a Wiresharkban nem lehet olvasni. De megjelenítheti az SSL- és TLS-csomagokat, és visszafejtheti őket HTTPS-re.

Kövesse az alábbi lépéseket az SSL- és TLS-csomagok Wiresharkban történő olvasásához:

1. Nyissa meg a Wiresharkot, és válassza ki, hogy mit szeretne rögzíteni a „Rögzítés” menüben.
   
2. A „Csomaglista” ablaktáblában fókuszáljon a „Protokoll” oszlopra, és keresse az „SSL” kifejezést.
   
3. Keresse meg az SSL- vagy TLS-csomagot, amely érdekli, és nyissa meg.
   

Az SSL visszafejtése a Wiresharkban

Az SSL visszafejtésének ajánlott módja egy titkos titkos kulcs használata. Ezt a négy lépést kell végrehajtania:

• Állítson be egy környezeti változót.
• Indítsa el a böngészőt.
• Konfigurálja a beállításokat a Wiresharkban.
• Munkamenetkulcsok rögzítése és visszafejtése.

Nézzük meg részletesebben az egyes lépéseket.

Állítson be egy környezeti változót

A környezeti változó egy olyan érték, amely meghatározza, hogy a számítógép hogyan kezeli a különböző folyamatokat. Ha vissza szeretné fejteni az SSL-t és a TLS-t, először megfelelően be kell állítania egy környezeti változót. Ennek módja az operációs rendszertől függ.

Állítson be egy környezeti változót a Windows rendszerben

A Windows-felhasználóknak az alábbi lépéseket kell követniük a környezeti változó beállításához:

1. Indítsa el a Start menüt.
   
2. Nyissa meg a „Vezérlőpultot”.
   
3. Lépjen a „Rendszer és biztonság” elemre.
   
4. Válassza a „Rendszer” lehetőséget.
   
5. Görgessen le, és válassza a „Speciális rendszerbeállítások” lehetőséget.
   
6. Ellenőrizze még egyszer, hogy a „Speciális” részben van-e, majd nyomja meg a „Környezeti változók” gombot.
   
7. Nyomja meg az „Új” gombot a „Felhasználói változók” alatt.
   
8. Írja be az „SSLKEYLOGFILE” kifejezést a „Változó neve” mezőbe.
   
9. A „Változó értéke” részben adja meg vagy tallózzon a naplófájl elérési útjában.
   
10. Nyomja meg az „OK” gombot.
    

Állítson be egy környezeti változót Mac vagy Linux rendszeren

Ha Ön Linux- vagy Mac-felhasználó, akkor a nano-t kell használnia egy környezeti változó beállításához.

A Linux felhasználóknak meg kell nyitniuk egy terminált, és be kell írniuk ezt a parancsot: „nano ~/ .bashrc”. A Mac felhasználóknak meg kell nyitniuk a Launchpadot, meg kell nyomniuk az „Egyéb” gombot, és el kell indítaniuk egy terminált. Ezután ezt a parancsot kell beírniuk: „nano ~/ .bash_profile”.

A Linux- és Mac-felhasználóknak is követniük kell az alábbi lépéseket a folytatáshoz:

1. Adja hozzá ezt a fájlt a fájl végéhez: „export SSLKEYLOGFILE=~/.ssl-key.log”.
2. Mentse el a változtatásokat.
3. Zárja be a terminál ablakát, és indítson egy másikat. Írja be ezt a sort: „echo $SSKEYLOGFILE”.
4. Most látnia kell az SSL előtti főkulcsnapló teljes elérési útját. Másolja ki ezt az elérési utat, hogy későbbre elmentse, mivel meg kell adnia a Wiresharkban.

Indítsa el a böngészőt

A második lépés a böngésző elindítása, hogy megbizonyosodjon a naplófájl használatáról. Nyissa meg a böngészőt, és keressen fel egy SSL-kompatibilis webhelyet.

Miután felkeresett egy ilyen webhelyet, ellenőrizze a fájlban található adatokat. Windows rendszerben a Jegyzettömböt kell használni, míg Mac és Linux alatt ezt a parancsot: „cat ~/ .ssl-log.key”.

Konfigurálja a Wiresharkot

Miután megállapította, hogy böngészője a kívánt helyen naplózza az elő-főkulcsokat, ideje konfigurálni a Wiresharkot. A konfigurálás után a Wiresharknak képesnek kell lennie a kulcsok használatával az SSL visszafejtésére.

Ehhez kövesse az alábbi lépéseket:

1. Indítsa el a Wiresharkot, és lépjen a „Szerkesztés” elemre.
   
2. Kattintson a „Beállítások” elemre.
   
3. Bontsa ki a „Protokollok” elemet.
   
4. Görgessen le, és válassza az „SSL” lehetőséget.
5. Keresse meg a „(Pre)-Master Secret log filename” elemet, és adja meg az első lépésben beállított elérési utat.
6. Nyomja meg az „OK” gombot.

Session Keys rögzítése és visszafejtése

Most, hogy mindent beállított, ideje ellenőrizni, hogy a Wireshark dekódolja-e az SSL-t. A következőket kell tennie:

1. Indítsa el a Wiresharkot, és indítson el egy szűretlen rögzítési munkamenetet.
   
2. Minimalizálja a Wireshark ablakot, és nyissa meg a böngészőt.
   
3. Látogasson el bármely biztonságos webhelyre az adatok beszerzéséhez.
   
4. Térjen vissza a Wiresharkhoz, és válasszon ki egy titkosított adatokat tartalmazó keretet.
   
5. Keresse meg a „Packet byte view” elemet, és nézze meg a „Decrypted SSL” adatokat. A HTML-nek most láthatónak kell lennie.

Milyen kényelmes szolgáltatásokat kínál a Wireshark?

Az egyik oka annak, hogy a Wireshark a vezető hálózati csomagelemző, hogy kényelmes lehetőségek széles skáláját kínálja, amelyek javítják a felhasználói élményt. Itt van néhány közülük:

Színkódolás

A hatalmas mennyiségű információ áttekintése időigényes és fárasztó lehet. A Wireshark egy egyedi színkódoló rendszerrel próbál segíteni a különböző csomagtípusok megkülönböztetésében. Itt láthatja a főbb csomagtípusok alapértelmezett színeit:

• Világoskék – UDP
• Világos lila – TCP
• Világoszöld – HTTP forgalom
• Világossárga – Windows-specifikus forgalom (beleértve a kiszolgálói üzenetblokkokat (SMB) és a NetBIOS-t).
• Sötétsárga – Útvonal
• Sötétszürke – TCP SYN, ACK és FIN forgalom
• Fekete – hibát tartalmazó csomagok

A teljes színsémát megtekintheti a „Nézet” menü „Színezési szabályok” elemének kiválasztásával.

A Wireshark lehetővé teszi saját színezési szabályainak testreszabását az Ön preferenciái szerint, ugyanazon beállítások mellett. Ha nem szeretne színezni, kapcsolja át a „Csomaglista színezése” melletti váltógombot.

Metrikák és statisztikák

A Wireshark különféle lehetőségeket kínál, hogy többet megtudjon a rögzítésről. Ezek az opciók az ablak tetején található „Statisztika” menüben találhatók.

Attól függően, hogy mi érdekli, áttekintheti a rögzítési fájl tulajdonságaira, a feloldott címekre, a csomagok hosszára, a végpontokra és még sok másra vonatkozó statisztikákat.

Parancs sor

Ha olyan rendszere van, amely nem rendelkezik grafikus felhasználói felülettel (GUI), akkor örömmel fogja tudni, hogy a Wireshark rendelkezik ilyennel.

Promiscuous mód

Alapértelmezés szerint a Wireshark lehetővé teszi a használt számítógépre érkező és onnan érkező csomagok rögzítését. De ha engedélyezi a promiszkuális módot, a forgalom nagy részét a teljes helyi hálózaton (LAN) rögzítheti.

GYIK

Szűrhetem a csomagadatokat a Wiresharkban?

Igen, a Wireshark fejlett szűrési lehetőségeket kínál, amelyek segítségével néhány másodperc alatt megjelenítheti a releváns információkat.

A platform kétféle szűrővel rendelkezik: rögzítés és megjelenítés. Az adatrögzítés során rögzítési szűrőket használnak. Beállíthatja őket a csomagrögzítés megkezdése előtt, és nem módosíthatja őket a folyamat során. Ezek a szűrők egyszerű módot kínálnak az Önt érdeklő adatok gyors keresésére. Ha a Wireshark olyan adatokat rögzít, amelyek nem egyeznek a beállított szűrőkkel, akkor nem jeleníti meg azokat.

A megjelenítési szűrők a rögzítési folyamat után kerülnek alkalmazásra. Ellentétben a rögzítési szűrőkkel, amelyek elvetik a beállított feltételeknek nem megfelelő adatokat, a megjelenítési szűrők egyszerűen elrejtik ezeket az adatokat a listából. Így tisztábban láthatja a felvételt, és könnyen megtalálhatja, amit keres.

Ha sok szűrőt használ a Wiresharkban, és nehezen emlékszik rájuk, örömmel fogja tudni, hogy a Wireshark segítségével mentheti a szűrőket. Így nem kell attól tartania, hogy elfelejti a helyes szintaxist vagy rossz szűrőt alkalmaz. A szűrőt a Szűrő mező melletti könyvjelző ikon megnyomásával mentheti.

Mester hálózati elemzés a Wireshark segítségével

Lenyűgöző csomagelemzési lehetőségeinek köszönhetően a Wireshark lehetővé teszi, hogy mélyreható képet kapjon a hálózatába érkező és onnan érkező forgalomról. Bár fejlett funkciókat kínál, a Wireshark egyszerű, intuitív kezelőfelülettel rendelkezik, így még a csomagelemzés világában kezdők is gyorsan megtanulják a kötelet. A HTTPS-forgalom leolvasása nem feltétlenül egyszerű, de lehetséges, ha visszafejti az SSL-csomagokat.

Mit szeretsz a legjobban a Wiresharkban? Volt már valami gondod vele? Mondja el nekünk az alábbi megjegyzések részben.