Wireshark 不显示 HTTP 查询

Wireshark 不显示 HTTP 查询

我正在尝试使用 Wireshark,但是当我将过滤器设置为httpWireshark 不显示任何数据。

可惜我只能看到TCP/DHCP/ARP协议,但不是http:

在此输入图像描述

我的 Wireshark 偏好设置:

在此输入图像描述

我用了Linux 薄荷 17

ifconfig:

wlp2s0    Link encap:Ethernet  HWaddr 44:03:2c:de:e9:3c  
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::affa:82b5:848f:52f3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:390931 errors:0 dropped:0 overruns:0 frame:0
          TX packets:268403 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:458918735 (458.9 MB)  TX bytes:39776473 (39.7 MB)

在Wireshark中,我wpl2s0也选择了。

答案1

正如评论中提到的,端口号 443 建议使用 HTTPS,因此 SSL/TLS 有效。但是,如果提供必要的密钥,Wireshark 可以解密 SSL/TLS。

所需的密钥取决于所使用的加密算法。如果所选算法使用 RSA 而不是 DH(即 OpenSSL 样式算法名称字符串包括RSA并且确实不是包括脱氢酶),然后如果您可以向 Wireshark 提供以下信息,则 Wireshark 可以解密流量私钥服务器的证书。

如果使用DH算法,每个会话都有一个单独的会话密钥。在这种情况下,您需要配置一个连接端点来记录所使用的 TLS 会话密钥,然后将记录的密钥传递给 Wireshark。对于 Firefox 或 Chrome 浏览器,只需SSLKEYLOGFILE=<full pathname to the log file>在启动浏览器之前添加环境变量即可记录会话密钥。

这里描述的过程有点复杂,但是有一个完整的Wireshark 文档中有关 SSL/TLS 捕获和解密的演练。

此外,信息安全.SE 还关于这个主题的一个很好的问题+答案在这里。这是该过程的另一个详细演练。

相关内容