wireshark解析https数据包

时间:2024-03-27 22:03:57

这里介绍如何进行https数据包的解密,获取数据包应用层的信息,例如url、json、xml等等。
本步骤适合 能获取服务器证书的场景下的 ssl数据包全量解密。
需要说明的是,仅RSA算法的ssl可以进行解码,其它秘钥交换算法是不可解密的。

确定秘钥交换类型

使用wireshark打开https数据包,可以看到https的client hello ,server hello 等协商和秘钥交换过程。仅支持RSA的秘钥交换方式。
如果非443端口的流量数据,则需要自定解码器,鼠标右键- “decode As”。设置对应的端口和协议。
wireshark解析https数据包
如果是ssl协议,我们可以看到client hello 和server hello 的握手过程。
wireshark解析https数据包
从server hello 包里面,可以看到加密算法。
wireshark解析https数据包

配置解密的证书

鼠标右键,选择 协议参数选项,打开TCP选项
wireshark解析https数据包
找到SSL协议(或TLS),设置RSA keys list ,设置日志文件路径
wireshark解析https数据包
RSA key lists,里面,添加key(服务器证书),支持pfx,或pem等等格式,按情况输入证书密码。点OK
wireshark解析https数据包

正常情况下,可以看到http层的明文。