Wireshark解密HTTPS流量的两种方法

网络 通信技术 数据安全
要解密HTTPS流量,需要得到加密密钥,加密密钥由主密钥、客户端随机数、服务器随机数生成。因此,通过Wireshark解密HTTPS,可以从两个地方下手,下面演示两种方法解密HTTPS流量。

原理

我们先回顾一下SSL/TLS的整个握手过程:

(1) Clienthello:发送客户端的功能和首选项给服务器,在连接建立后,当希望重协商、或者响应服务器的重协商请求时会发送。

(2) version:客户端支持的最佳协议版本

(3) Random:共32字节,28字节随机数,4字节额外信息,受客户端时钟影响(为了避免浏览器指纹采集,现在一般会对4字节时钟做扭曲)

(4) Session ID:32字节随机数,用于和服务器重建会话,为空表示新建会话

(5) cipher suit:客户端支持的所有密码套件,按优先级排列

(6) Compression:客户端支持的压缩算法,默认无压缩

(7) Extensions:由任意数量的扩展组成,携带额外数据

(8) ServerHello:

  • 选择客户端提供的参数反馈客户端
  • 服务器无需支持客户端支持的最佳版本,如果服务器不支持客户端版本,可以提供其他版本以期待客户端可以接受

(9) Certificate:

  • 用于携带服务器X.509证书链
  • 主证书必须第一个发送,中间证书按照正确的顺序跟在主证书之后
  • 服务器必须保证发送的证书和选择的算法套件一致
  • Certificate消息时可选的

(10) ServerKeyExchange:携带密钥交换的额外数据,取决于加密套件

(11) ServerHelloDone:服务器已将所有预计的握手消息发送完毕

(12) ClientkeyExchange:携带客户端为密钥交换提供的信息

(13) ChangeCipherSpec:发送端已取得用以连接参数的足够的信息

(14) Finish:握手完成,消息内容加密,双方可以交换验证,整个握手完整性所需的数据

(15) 算法:verrify_data = PRF(master_secret , finished_label,hash(handshake_message))

要解密HTTPS流量,需要得到加密密钥,加密密钥由主密钥、客户端随机数、服务器随机数生成。由上述握手过程可知,客户端随机数和服务器随机数在双方握手消息中传递,而主密钥(master_secret)则由预主密钥(pre_master_secret)结合两个随机数生成。预主密钥通过密码套件中的密钥交换算法进行交换(DH、RSA)。

因此,通过Wireshark解密HTTPS,可以从两个地方下手:

  • 密钥交换算法选择RSA,然后提取服务器的私钥,将私钥导入Wireshark,通过Wireshark解密密钥交换过程中传递的预主密钥,再结合之前的客户端和服务器随机数生成主密钥,进一步生成加密密钥,即可解密后续抓取到的加密报文。
  • 直接从客户端提取主密钥,结合客户端和服务器随机数生成加密密钥,实现对加密报文的解密。

下面演示两种方法解密HTTPS流量。

方法一

从服务器上导出带私钥的P12格式的证书,或者直接导出服务器的私钥。

捕获从TCP三次握手开始的完整报文:

Wireshark解密HTTPS流量的两种方法

可以看到此时的报文是被TLS加密的,无法看到具体的报文内容。

点击编辑——>首选项——>协议——>SSL(有的版本只有TLS),导入RSA key:

Wireshark解密HTTPS流量的两种方法

由于通过DH方法交换的密钥不会在中间传递,所以这种方法只能解密通过RSA交换的密钥。

导入服务器证书:

Wireshark解密HTTPS流量的两种方法

点击ok后,Wireshark会对捕获的报文进行解密:

Wireshark解密HTTPS流量的两种方法

报文被成功解密,可以直观的看到HTTP报文的请求和响应。

第二种

通过设置环境变量截取浏览器的master_secret,进而实现解密HTTPS的目的。

环境变量中新建用户变量SSLKEYLOGFILE=路径\sslkey.log文件,之后再wireshark中ssl配置中制定该文件位置即可。

Wireshark解密HTTPS流量的两种方法

点击编辑>首选项>protocol>ssl:

Wireshark解密HTTPS流量的两种方法

即可解密浏览器的访问流量:

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2010-08-04 17:41:52

挂载NFS

2011-03-30 17:04:24

MySQL添加用户

2010-11-24 14:36:25

修复mysql表

2009-09-25 14:04:09

Hibernate eHibernate h

2010-04-13 09:50:44

Oracle跟踪

2010-02-06 14:35:36

ibmdwRUP迭代

2009-08-05 13:34:18

C#日期相减

2010-09-09 19:53:50

2010-09-07 11:18:10

2010-11-12 11:44:37

SQL Server删

2020-09-16 18:27:36

Linux方法IP地址

2009-06-18 11:09:42

2010-09-13 13:05:03

sql server分

2010-11-10 13:22:41

SQL Server备

2010-11-09 13:09:58

SQL Server分

2009-11-06 09:48:40

WCF服务

2010-05-26 18:52:12

SVN库

2010-06-17 12:48:05

livecd 修复Gr

2010-07-26 15:42:34

Perl模块

2010-05-24 15:08:46

MySQL访问权限
点赞
收藏

51CTO技术栈公众号