Wireshark怎樣解密HTTPS流量�����,相信很多沒有經(jīng)驗(yàn)的人對此束手無策����,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法�����,通過這篇文章希望你能解決這個(gè)問題�。
主要從事網(wǎng)頁設(shè)計(jì)、PC網(wǎng)站建設(shè)(電腦版網(wǎng)站建設(shè))���、wap網(wǎng)站建設(shè)(手機(jī)版網(wǎng)站建設(shè))�����、成都響應(yīng)式網(wǎng)站建設(shè)公司��、程序開發(fā)��、微網(wǎng)站�����、微信小程序定制開發(fā)等�,憑借多年來在互聯(lián)網(wǎng)的打拼,我們在互聯(lián)網(wǎng)網(wǎng)站建設(shè)行業(yè)積累了豐富的成都做網(wǎng)站���、網(wǎng)站制作��、網(wǎng)絡(luò)營銷經(jīng)驗(yàn)�,集策劃����、開發(fā)�、設(shè)計(jì)、營銷�����、管理等多方位專業(yè)化運(yùn)作于一體���,具備承接不同規(guī)模與類型的建設(shè)項(xiàng)目的能力�����。
在審查可疑網(wǎng)絡(luò)活動(dòng)時(shí)����,經(jīng)常遇到加密流量。大多數(shù)網(wǎng)站使用HTTPS協(xié)議�����,各種類型的惡意軟件也使用HTTPS����,查看惡意軟件產(chǎn)生的數(shù)據(jù)對于了流量內(nèi)容非常有幫助。
如何利用Wireshark從pcap中解密HTTPS流量���。
可以使用基于文本的日志進(jìn)行解密方法�,日志中包含最初記錄pcap時(shí)捕獲的加密密鑰數(shù)據(jù)��。
HTTPS Web流量
HTTPS流量通常顯示一個(gè)域名�����。 例如��,在Web瀏覽器中查看https://www.wireshark.org����,在自定義的Wireshark列顯示中查看時(shí)�����,pcap將顯示www.wireshark.org作為此流量的服務(wù)器名稱����。但無法知道其他詳細(xì)信息�����,例如實(shí)際的URL或從服務(wù)器返回的數(shù)據(jù)��。
加密密鑰日志文件
加密密鑰日志是一個(gè)文本文件�。
最初記錄pcap時(shí)����,使用中間人(MitM)技術(shù)創(chuàng)建這些日志。 如果在記錄pcap時(shí)未創(chuàng)建任何此類文件�,則無法解密該pcap中的HTTPS通信。
示例分析
有密鑰日志文件的HTTPS流量
Github存儲庫中有一個(gè)受密碼保護(hù)的ZIP文件�,其中包含pcap及其密鑰日志文件。ZIP中包含的pcap通過密鑰日志解密后����,可以訪問惡意軟件樣本��。
從ZIP(密碼:infected)中提取pcap和密鑰日志文件:
Wireshark-tutorial-KeysLogFile.txt
Wireshark解密HTTPS-SSL-TLS-traffic.pcap教程
沒有密鑰日志文件的HTTPS流量
在Wireshark中打開解密的HTTPS-SSL-TLS-traffic.pcap Wireshark教程�,使用Web篩選器:
(http.request或tls.handshake.type eq 1)和?����。╯sdp)
此pcap來自Windows 10主機(jī)上的Dridex惡意軟件�����,所有Web流量(包括感染活動(dòng))都是HTTPS�����。 沒有密鑰日志文件�,看不到流量的任何詳細(xì)信息,只有IP地址���,TCP端口和域名:
加載密鑰日志文件
在Wireshark中打開解密的HTTPS-SSL-TLS-traffic.pcap Wireshark��,使用菜單路徑Edit –> Preferences來打開Preferences菜單:
在Preferences菜單的左側(cè)��,單擊Protocols:
如果使用的是Wireshark版本2.x�����,需要選擇SSL��。 如果使用的是Wireshark 3.x版���,需要選擇TLS���。選擇SSL或TLS后,可以看到(Pre)-Master-Secret日志文件名���。 單擊“瀏覽”�,然后選擇名為Wireshark-tutorial-KeysLogFile.txt的密鑰日志文件:
密鑰日志文件的HTTPS流量
單擊“確定”后�,Wireshark會在每條HTTPS行下列出解密的HTTP請求:
在此pcap中可以看到隱藏在HTTPS通信中對microsoft.com和skype.com域的HTTP請求,還發(fā)現(xiàn)由Dridex發(fā)起的以下流量:
foodsgoodforliver[.]com – GET /invest_20.dll
105711[.]com – POST /docs.php
對foodsgoodforliver[.]com的GET請求返回了Dridex的DLL文件�。 對105711[.]com的POST請求是來自受Dridex感染的Windows主機(jī)的命令和控制(C2)通信。
針對foodsgoodforliver[.]com的HTTP GET請求的HTTP流:
可以從pcap導(dǎo)出此惡意軟件��,使用菜單路徑文件–>導(dǎo)出對象–> HTTP從pcap導(dǎo)出該文件:
使用file命令確認(rèn)這是一個(gè)DLL文件�,然后使用shasum -a 256獲取文件的SHA256哈希:
該惡意軟件的SHA256哈希為:
31cf42b2a7c5c558f44cfc67684cc344c17d4946d3a1e0b2cecb8e*173cb2f
還可以檢查來自此Dridex感染的C2流量���,下圖顯示了其中一個(gè)HTTP流的示例:
看完上述內(nèi)容�����,你們掌握Wireshark怎樣解密HTTPS流量的方法了嗎���?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容����,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道��,感謝各位的閱讀����!
網(wǎng)頁標(biāo)題:Wireshark怎樣解密HTTPS流量
標(biāo)題鏈接:
http://weahome.cn/article/pegeep.html
重慶分公司
重慶分公司
