wireshark查看https通讯

前言

---

https在原有的http基础上增加了了一个TLS/SSL层，https的通讯过程是加密的，如果想用wireshark仔细分析TLS/SSL层，需要借助服务器证书公私钥或者用浏览器截取密钥；
接下来，记录一下用火狐浏览器+wireshark的方式配置https解析环境；

正文

---

1. 工具准备

• wireshark(3.6.6)
• firefox浏览器(2022)\
• win10系统

2. 配置

1. 配置系统环境变量，即firefox浏览器通信中的ssl key 存放文件的位置

• 变量名：SSLKEYLOGFILE
• 变量值：你准备的目录\ssklog.log
  为了方便管理，我在火狐浏览器的程序所在目录新建了一个ssklog文件夹，配置好环境变量后，浏览器访问https时会自动把通讯密钥放在这个文件夹中的ssklog.log中

ssklog.log内容大致如下：

2. 配置wireshark
   打开wireshark->编辑->首选项->Procols->TLS
   (老版本的可能是SSL，新版本的SSL和TLS都用TLS了)

(也是TLS这个页面，上面的RSA keys list可以配置服务端的公钥证书和私钥的.pfx文件，不过我配的不太好用，后来就没有使用这种配置)

3. 使用wireshark抓包(以https://www.baidu.com为例)

• 打开火狐浏览器
• 监听你使用的上网的网卡(wifi或网线或其它)
• ping www.baidu.com 发现www.baicu.com的ip为 182.61.200.6
• 在wireshark上方筛选框中配置删选条件，删选和百度通讯的报文：

ip.dst_host==182.61.200.7||ip.src_host==182.61.200.7

• 使用火狐浏览器访问https://www.baidu.com