使用 Wireshark 监控流量时如何过滤 https？

Ami*_*eza 42 network-monitoring wireshark network-traffic

我想观察HTTPS协议。我如何使用 Wireshark 过滤器来做到这一点？

过滤器窗口中的 tcp.port==443 (mac)

它有本质的不同。他添加了 tcp 前缀，这对我很有帮助，在尝试了以前的答案但没有运气。 (9认同)

正如 3molo 所说。如果您正在拦截流量，那么port 443您需要的是过滤器。如果您拥有该站点的私钥，您还可以解密该 SSL 。（需要启用 SSL 的 Wireshark 版本/构建版本。）

见http://wiki.wireshark.org/SSL

@TXwik 您可以使用 WireShark 过滤您正在监控的内容.... (8认同)
过滤和监控是有区别的。WireShark 是一个监控工具。必须使用防火墙或类似设备进行过滤。 (3认同)

捕获过滤器中的“端口 443”。请参阅http://wiki.wireshark.org/CaptureFilters

它将是加密的数据。

过滤tcp.port==443然后使用从 Web 浏览器获得的 (Pre)-Master-Secret 来解密流量。

一些有用的链接：

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

“自 SVN 修订版 36876 起，当您没有服务器密钥但可以访问 pre-master 机密时，也可以解密流量......简而言之，应该可以将 pre-master 机密记录到文件中通过设置环境变量 (SSLKEYLOGFILE=) 使用当前版本的 Firefox、Chromium 或 Chrome。当前版本的 QT（4 和 5）也允许导出 pre-master 机密，但到固定路径 /tmp/qt -ssl-keys 并且它们需要编译时选项：对于 Java 程序，可以从 SSL 调试日志中提取预主机密，或者通过此代理直接以 Wireshark 要求的格式输出。” (jSSLKeyLog)

您可以使用“tls”过滤器：

TLS 代表传输层安全性，它是 SSL 协议的继承者。如果您尝试检查 HTTPS 请求，则此过滤器可能就是您要查找的内容。

`ssl` 也是一个有效的过滤器名称。（*tls* 不在 *version 2.6.10 中（Git v2.6.10 打包为 2.6.10-1~ubuntu16.04.0）* ） - `tls` 显然已经取代了 `ssl`，我认为这是正确的。 (2认同)

归档时间：	14 年，10 月前
查看次数：	215245 次
最近记录：	6 年，11 月前

Nagios 服务器最佳实践？ 10

在服务器上运行的 Wireshark 看到许多具有不同诉求的“ARP who has” 9

为什么WireShark认为这个帧是重组PDU的TCP段 9

检测弱加密和过时的协议 5

Linux 上的 SSL 数据包检查 4

如何查看进入我的网络服务器 (Apache) 的流量中的主机名？ 4

为什么原始 PREROUTING 0 的 iptables 字节数？ 4

没有看到 Wireshark 和 Windows 的所有流量 2

为什么 Wireshark 无法识别此 HTTP 响应？ 2

如何在 Linux 中监控每个用户的网络使用情况？ 1

如何确定bash变量是否为空？ 870

如何在一台机器上与多个用户共享 Git 存储库？ 231

如何在不删除图像本身的情况下删除 Docker 中的图像标签？ 213

Windows Server 重启/关闭历史记录 100

SSH 允许一个用户使用密码，仅允许使用公钥 69

在 iptables 中打开一系列端口的正确方法是什么 68

根据推荐的用法，网站应该位于 /var/ 还是 /usr/ 中？ 67

虚拟机是否比底层物理机慢？ 57

如何防止“ps”报告自己的进程？ 56

试图在 Route53 中创建 2 个记录集类型=TXT 53