wireshark解析https
这里介绍如何进行https数据包的解密,获取数据包应用层的信息,例如url、json、xml等等。
本步骤适合 能获取服务器证书的场景下的 ssl数据包全量解密。
需要说明的是,仅RSA算法的ssl可以进行解码,其它秘钥交换算法是不可解密的。
确定秘钥交换类型
使用wireshark打开https数据包,可以看到https的client hello ,server hello 等协商和秘钥交换过程。仅支持RSA的秘钥交换方式。
如果非443端口的流量数据,则需要自定解码器,鼠标右键- “decode As”。设置对应的端口和协议。
如果是ssl协议,我们可以看到client hello 和server hello 的握手过程。
从server hello 包里面,可以看到加密算法。
配置解密的证书
鼠标右键,选择 协议参数选项,打开TCP选项
找到SSL协议(或TLS),设置RSA keys list ,设置日志文件路径
RSA key lists,里面,添加key(服务器证书),支持pfx,或pem等等格式,按情况输入证书密码。点OK