Wireshark ialah penganalisis paket sumber terbuka popular yang menawarkan pelbagai ciri mudah untuk analisis rangkaian, penyelesaian masalah, pendidikan dan banyak lagi. Orang yang ingin menggunakan Wireshark buat kali pertama dan mereka yang sudah mempunyai pengalaman dengannya sering tertanya-tanya tentang membaca trafik HTTPS.
Jika anda salah seorang daripada mereka, anda telah datang ke tempat yang betul. Di sini, kami akan menerangkan apa itu HTTPS dan cara ia berfungsi. Kemudian, kami akan membincangkan sama ada anda boleh membaca trafik HTTPS, mengapa itu mungkin menjadi isu dan perkara yang boleh anda lakukan mengenainya.
Apakah HTTPS?
Hypertext Transfer Protocol Secure (HTTPS) mewakili versi HTTP selamat yang menjamin pemindahan data dan komunikasi yang selamat antara pelayar web dan tapak web.
HTTPS memastikan keselamatan dan menghalang penyadapan, kecurian identiti, serangan orang tengah dan ancaman keselamatan lain. Hari ini, mana-mana tapak web yang meminta anda memasukkan maklumat anda atau membuat akaun mempunyai HTTPS untuk melindungi anda.
HTTPS melindungi daripada ancaman keselamatan dan serangan berniat jahat dengan menyulitkan semua pertukaran antara pelayar web dan pelayan.
Adalah penting untuk menjelaskan bahawa HTTPS tidak berasingan daripada HTTP. Sebaliknya, ia adalah varian HTTP yang menggunakan penyulitan khusus seperti Lapisan Soket Selamat (SSL) dan Keselamatan Lapisan Pengangkutan (TLS) untuk menjamin komunikasi. Apabila pelayar web dan pelayan web berkomunikasi melalui HTTPS, mereka terlibat dalam jabat tangan SSL/TLS, iaitu pertukaran sijil keselamatan.
Bagaimanakah anda boleh mengetahui sama ada komunikasi anda ke tapak web dijamin dengan HTTPS? Lihat sahaja bar alamat. Jika anda melihat “https” pada permulaan URL, sambungan anda selamat.
Wireshark Cara Membaca Trafik HTTPS
Salah satu ciri utama HTTPS ialah ia disulitkan. Walaupun ini merupakan kelebihan apabila anda membeli-belah dalam talian atau meninggalkan maklumat peribadi di tapak web, ia boleh menjadi kelemahan apabila anda menjejak untuk memantau trafik web dan menganalisis rangkaian anda.
Memandangkan HTTPS disulitkan, tiada cara untuk membacanya dalam Wireshark. Tetapi anda boleh memaparkan paket SSL dan TLS dan menyahsulitnya kepada HTTPS.
Ikuti langkah ini untuk membaca paket SSL dan TLS dalam Wireshark:
- Buka Wireshark dan pilih perkara yang anda ingin tangkap dalam menu “Tangkap”.
- Dalam anak tetingkap “Senarai Paket”, fokus pada lajur “Protokol” dan cari “SSL.”
- Cari paket SSL atau TLS yang anda minati dan bukanya.
Bagaimana untuk menyahsulit SSL dalam Wireshark
Cara yang disyorkan untuk menyahsulit SSL adalah dengan menggunakan kunci rahsia pra-induk. Anda perlu melengkapkan empat langkah ini:
- Tetapkan pembolehubah persekitaran.
- Lancarkan penyemak imbas anda.
- Konfigurasikan tetapan anda dalam Wireshark.
- Tangkap dan nyahsulit kekunci sesi.
Mari kita pergi ke setiap langkah dengan lebih terperinci.
Tetapkan Pembolehubah Persekitaran
Pembolehubah persekitaran ialah nilai yang menentukan cara komputer anda mengendalikan proses yang berbeza. Jika anda ingin menyahsulit SSL dan TLS, anda perlu menetapkan pembolehubah persekitaran dengan betul. Bagaimana anda akan melakukan ini bergantung pada sistem pengendalian anda.
Tetapkan Pembolehubah Persekitaran dalam Windows
Pengguna Windows harus mengikuti langkah ini untuk menetapkan pembolehubah persekitaran:
- Lancarkan menu Mula.
- Buka “Panel Kawalan.”
- Pergi ke “Sistem dan Keselamatan.”
- Pilih “Sistem.”
- Tatal ke bawah dan pilih “Tetapan sistem lanjutan.”
- Semak semula jika anda berada dalam bahagian “Lanjutan” dan tekan “Pembolehubah Persekitaran”.
- Tekan “Baharu” di bawah “Pembolehubah pengguna.”
- Taip “SSLKEYLOGFILE” di bawah “Nama pembolehubah.”
- Di bawah “Nilai boleh ubah”, masukkan atau semak imbas laluan ke fail log.
- Tekan “Ok.”
Tetapkan Pembolehubah Persekitaran dalam Mac atau Linux
Jika anda pengguna Linux atau Mac, anda perlu menggunakan nano untuk menetapkan pembolehubah persekitaran.
Pengguna Linux harus membuka terminal dan masukkan arahan ini: “nano ~/ .bashrc”. Pengguna Mac harus membuka Launchpad, tekan “Lain,” dan melancarkan terminal. Kemudian, mereka harus memasukkan arahan ini: “nano ~/ .bash_profile”.
Kedua-dua pengguna Linux dan Mac hendaklah mengikuti langkah-langkah ini untuk meneruskan:
- Tambahkan fail ini pada penghujung fail: “eksport SSLKEYLOGFILE=~/.ssl-key.log”.
- Simpan perubahan anda.
- Tutup tetingkap terminal dan lancarkan satu lagi. Masukkan baris ini: “echo $SSKEYLOGFILE”.
- Anda kini sepatutnya melihat laluan penuh ke log kunci pra-induk SSL anda. Salin laluan ini untuk menyimpannya untuk kemudian, kerana anda perlu memasukkannya dalam Wireshark.
Lancarkan Penyemak Imbas Anda
Langkah kedua ialah melancarkan penyemak imbas anda untuk memastikan fail log digunakan. Anda perlu membuka penyemak imbas anda dan melawati tapak web yang didayakan SSL.
Selepas anda melawati tapak web sedemikian, semak fail anda untuk mendapatkan data. Dalam Windows, anda harus menggunakan Notepad, manakala dalam Mac dan Linux, anda harus menggunakan arahan ini: “cat ~/ .ssl-log.key”.
Konfigurasikan Wireshark
Selepas anda memastikan penyemak imbas anda sedang mengelog kunci pra-induk di lokasi yang dikehendaki, tiba masanya untuk mengkonfigurasi Wireshark. Selepas mengkonfigurasi, Wireshark sepatutnya boleh menggunakan kekunci untuk menyahsulit SSL.
Ikuti langkah di bawah untuk melakukannya:
- Lancarkan Wireshark dan pergi ke “Edit.”
- Klik pada “Keutamaan.”
- Kembangkan “Protokol.”
- Tatal ke bawah dan pilih “SSL.”
- Cari “nama fail log Rahsia Pra (Pra)-Master” dan masukkan laluan yang anda sediakan pada langkah pertama.
- Tekan “Ok.”
Tangkap dan Nyahsulit Kekunci Sesi
Memandangkan anda telah mengkonfigurasi segala-galanya, tiba masanya untuk menyemak sama ada Wireshark menyahsulit SSL. Inilah yang perlu anda lakukan:
- Lancarkan Wireshark dan mulakan sesi tangkapan yang tidak ditapis.
- Minimumkan tetingkap Wireshark dan buka penyemak imbas anda.
- Pergi ke mana-mana tapak web selamat untuk mendapatkan data.
- Kembali ke Wireshark dan pilih mana-mana bingkai dengan data yang disulitkan.
- Cari “Paparan bait paket” dan lihat data “SSL yang Dinyahsulit”. HTML kini sepatutnya kelihatan.
Apakah Ciri Mudah Yang Ditawarkan oleh Wireshark?
Salah satu sebab Wireshark ialah penganalisis paket rangkaian terkemuka ialah ia menawarkan pelbagai pilihan mudah yang meningkatkan pengalaman pengguna anda. Berikut adalah sebahagian daripada mereka:
Pengekodan Warna
Menerusi sejumlah besar maklumat boleh memakan masa dan meletihkan. Wireshark cuba membantu anda membezakan jenis paket yang berbeza dengan sistem pengekodan warna yang unik. Di sini, anda boleh melihat warna lalai untuk jenis paket utama:
- Biru muda – UDP
- Ungu muda – TCP
- Hijau muda – Trafik HTTP
- Kuning muda – Trafik khusus Windows (termasuk Blok Mesej Pelayan (SMB) dan NetBIOS
- Kuning gelap – Penghalaan
- Kelabu gelap – trafik TCP SYN, ACK dan FIN
- Hitam – Paket yang mengandungi ralat
Anda boleh melihat keseluruhan skema pewarnaan dengan pergi ke “Lihat” dan memilih “Peraturan Mewarna.”
Wireshark membolehkan anda menyesuaikan peraturan pewarnaan anda sendiri mengikut keutamaan anda dalam tetapan yang sama. Jika anda tidak mahu sebarang pewarnaan, tukar butang togol di sebelah “Warnakan Senarai Paket”.
Metrik dan Statistik
Wireshark menawarkan pelbagai pilihan untuk mengetahui lebih lanjut tentang tangkapan anda. Pilihan ini terletak dalam menu “Statistik” di bahagian atas tetingkap.
Bergantung pada perkara yang anda minati, anda boleh menyemak statistik tentang sifat fail tangkapan, alamat yang diselesaikan, panjang paket, titik akhir dan banyak lagi.
Barisan Perintah
Jika anda mempunyai sistem yang tidak mempunyai antara muka pengguna grafik (GUI), anda akan gembira mengetahui ciri Wireshark satu.
Mod promiscuous
Secara lalai, Wireshark membolehkan anda menangkap paket yang pergi ke dan dari komputer yang anda gunakan. Tetapi, jika anda mendayakan mod promiscuous, anda boleh menangkap kebanyakan trafik pada keseluruhan rangkaian kawasan setempat (LAN).
Soalan Lazim
Bolehkah saya menapis data paket dalam Wireshark?
Ya, Wireshark menawarkan pilihan penapisan lanjutan yang membolehkan anda memaparkan maklumat yang berkaitan dalam beberapa saat.
Platform ini mempunyai dua jenis penapis: tangkapan dan paparan. Penapis tangkapan digunakan semasa menangkap data. Anda boleh menetapkannya sebelum memulakan tangkapan paket dan tidak boleh mengubah suainya semasa proses. Penapis ini mewakili cara mudah untuk mencari data yang anda minati dengan cepat. Jika Wireshark menangkap data yang tidak sepadan dengan penapis yang ditetapkan anda, ia tidak akan memaparkannya.
Penapis paparan digunakan selepas proses tangkapan. Tidak seperti penapis tangkapan yang membuang data yang tidak sepadan dengan kriteria yang ditetapkan, penapis paparan hanya menyembunyikan data ini daripada senarai. Ini memberi anda pandangan yang lebih jelas tentang tangkapan dan membolehkan anda mencari dengan mudah apa yang anda cari.
Jika anda menggunakan banyak penapis dalam Wireshark dan menghadapi masalah mengingatinya, anda akan gembira mengetahui bahawa Wireshark membolehkan anda menyimpan penapis anda. Dengan cara itu, anda tidak perlu risau tentang melupakan sintaks yang betul atau menggunakan penapis yang salah. Anda boleh menyimpan penapis anda dengan menekan ikon penanda halaman di sebelah medan Penapis.
Analisis Rangkaian Induk Dengan Wireshark
Terima kasih kepada pilihan analisis paket yang mengagumkan, Wireshark membolehkan anda mendapatkan pandangan mendalam tentang trafik yang pergi ke dan dari rangkaian anda. Walaupun ia menawarkan ciri lanjutan, Wireshark menampilkan antara muka yang mudah dan intuitif, jadi mereka yang baru dalam dunia analisis paket akan mempelajari talinya dengan cepat. Membaca trafik HTTPS mungkin tidak mudah, tetapi boleh dilakukan jika anda menyahsulit paket SSL.
Apakah yang paling anda sukai tentang Wireshark? Adakah anda pernah mengalami sebarang masalah dengannya? Beritahu kami di bahagian komen di bawah.