您当前的位置:首页 > 电脑百科 > 软件技术 > 软件技术

Wireshark教程:解密HTTPS流量

时间:2022-06-29 16:54:29  来源:  作者:合天网安实验室
Wireshark教程:解密HTTPS流量

 

#概述

本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。

在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大多数网站使用安全超文本传输​协议(HTTPS)协议。和网站一样,各种类型的恶意软件也使用HTTPS。在检查恶意软件活动中的PCAP时,了解感染后流量中包含的内容非常重要。

该Wireshark教程讲解如何使用https日志文件从Wireshark中的pcap解密HTTPS流量。该日志包含https加密密钥数据。使用此密钥日志文件,我们可以从pcap中解密HTTPS活动并查看其内容。

本教程以检查Dridex恶意软件感染的HTTPS活动作为例子。

注意:该教程已假设你已经会自定义Wireshark显示方式了,如果不会可以参考教程:
https://unit42.paloalt.NETworks.com/unit42-customizing-wireshark-changing-column-display/

本教程使用的pcap和密钥日志文件下载:
https://Github.com/pan-unit42/wireshark-tutorial-decrypting-HTTPS-traffic

警告:本教程使用的pcap包含基于windows的恶意软件。如果使用Windows计算机,则存在感染的风险。我们建议您尽可能在非Windows环境(例如BSD,linuxmacOS)中查看此pcap。

#加密流量背景

在1990年代中期至后期,网站使用的最常见协议是超文本传输​​协议(HTTP),该协议生成未加密的Web流量。但是,随着安全性日益受到关注,网站开始切换到HTTPS,现在我们很少看到来自Web浏览的HTTP流量。

HTTPS本质上是一个包含HTTP流量的加密通信隧道。这些隧道首先使用安全套接字层(SSL)作为加密协议。如今,大多数HTTPS流量都使用传输层安全(TLS)。

#HTTPS Web流量

HTTPS流量通常会显示一个域名。例如,当在Web浏览器中查看https://www.wireshark.org时,在自定义的Wireshark列显示中查看时,pcap将显示www.wireshark.org作为此流量的服务器名称。不幸的是,我们不知道其他详细信息,例如实际的URL或从服务器返回的数据。从传输控制协议(TCP)流看不会显示此流量的内容,因为它是经过加密的。

Wireshark教程:解密HTTPS流量

 


Wireshark教程:解密HTTPS流量

 

#加密密钥日志文件

加密密钥日志是一个文本文件。如图所示。

Wireshark教程:解密HTTPS流量

 

这些日志是在最初记录PCAP时使用中间人(MITM)技术创建的。如果在记录pcap时没有创建这样的文件,则无法解密该pcap中的HTTPS流量。

#具有密钥日志文件的PCAP示例

这个Github存储库提供了一个受密码保护的ZIP存档,其中包含pcap及其密钥日志文件。转到Github页面,单击ZIP存档条目,然后下载它,如下图所示。值得注意的是,此ZIP存档中包含的pcap在使用密钥日志解密时提供了对基于Windows的恶意软件示例的访问。一如既往,我们建议您谨慎行事,并在非Windows环境中遵循本教程中的步骤。

Wireshark教程:解密HTTPS流量

 


Wireshark教程:解密HTTPS流量

 

使用"infected"作为密码从ZIP存档中提取pcap和密钥日志文件。这将提供两个文件,如图所示:

Wireshark教程:解密HTTPS流量

 

#没有密钥日志文件的HTTPS流量

在Wireshark中打开
Wireshark-tutorial-on-decrypting-HTTPS-SSL-TLS-traffic.pcap。按照上一教程中关于Wireshark过滤器的说明,使用基本的网络过滤。针对Wireshark 3.x的基本过滤是:

(http.request or tls.handshake.type eq 1) and !(ssdp)

此pcap来自Windows 10主机上的Dridex恶意软件感染。所有Web流量(包括感染活动)都是HTTPS。如果没有密钥日志文件,我们将无法看到流量的任何详细信息,只能看到IP地址、TCP端口和域名,如图所示。

Wireshark教程:解密HTTPS流量

 

#加载密钥日志文件

在Wireshark中打开
Wireshark-tutorial-on-decrypting-HTTPS-SSL-TLS-traffic.pcap。然后使用菜单Edit-->Preferences调出Preferences菜单,如图所示。

Wireshark教程:解密HTTPS流量

 

在Preferences菜单的左侧,单击Protocol,如图所示。

Wireshark教程:解密HTTPS流量

 

如果您使用的是Wireshark版本2.x,向下滚动直到找到SSL并将其选中。如果您使用的是Wireshark 3.x版,请向下滚动至TLS并选择它。选择SSL或TLS后,您应该会看到一行(Pre)-Master-Secret log filename。单击“Browse”按钮并选择名为
Wireshark-Tutorial-KeysLogFile.txt的密钥日志文件,如图所示。

Wireshark教程:解密HTTPS流量

 


Wireshark教程:解密HTTPS流量

 


Wireshark教程:解密HTTPS流量

 

#具有密钥日志文件的HTTPS流量

单击“OK”之后,在使用基本过滤时,Wireshark列显示将在每行HTTPS下列出解密的HTTP请求,如图所示。

Wireshark教程:解密HTTPS流量

 

在此pcap中,我们现在看到对先前隐藏在HTTPS流量中的microsoft.com和sky pe.com域的HTTP请求。我们还发现了由Dridex感染造成的以下流量:

foodsgoodforliver[.]com - GET /invest_20.dll

105711[.]com - POST /docs.php

对foodsgood forliver[.]com的GET请求返回了Dridex的DLL文件。对105711[.]COM的POST请求是来自感染Dridex的Windows主机与命令和控制(C2)的通信。

我们可以通过跟踪HTTP流来查看流量。右键单击该行以将其选中,然后左键单击以调出跟随HTTP流的菜单。下图显示了对foodsgood forliver[.]com的HTTP GET请求的HTTP流。

Wireshark教程:解密HTTPS流量

 


Wireshark教程:解密HTTPS流量

 

由于我们有此流量的密钥日志文件,因此现在可以从pcap中导出此恶意软件。使用菜单path File-->Export Objects-->HTTP从pcap中导出此文件,如图所示。

Wireshark教程:解密HTTPS流量

 

如果您在BSD,Linux或macOS环境中,请打开一个终端窗口,然后使用file命令确认这是一个DLL文件。然后使用shasum -a 256获取文件的SHA256哈希,如下图所示。

Wireshark教程:解密HTTPS流量

 

此恶意软件的SHA256哈希为:

31cf42b2a7c5c558f44cfc67684cc344c17d4946d3a1e0b2cecb8eb58173cb2f

如果在线搜索此散列,则应至少从两个公开可用的在线沙箱环境中找到结果。

最后,我们可以查看此Dridex感染的C2流量。使用基本网络过滤,然后沿着其中一个POST请求的HTTP流到达105711[.]com。如下图显示了其中一个HTTP流的示例。

Wireshark教程:解密HTTPS流量

 

#结论

本教程讲解了如何使用密钥日志文本文件通过Wireshark解密pcap中的HTTPS流量。如果在最初记录pcap时没有创建密钥日志文件,将无法在Wireshark中解密来自该pcap的HTTPS流量。

有关Wireshark的更多帮助,请参阅我们之前的教程:

  • Customizing Wireshark – Changing Your Column Display
  • Using Wireshark – Display Filter Expressions
  • Using Wireshark: Identifying Hosts and Users
  • Using Wireshark: Exporting Objects from a Pcap
  • Wireshark Tutorial: Examining Trickbot Infections
  • Wireshark Tutorial: Examining Ursnif Infections
  • Wireshark Tutorial: Examining Qakbot Infections

#说明

本文由合天网安实验室编译,转载请注明来源。

原文地址:
https://unit42.paloaltonetworks.com/wireshark-tutorial-decrypting-https-traffic/



Tags:Wireshark   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Wireshark抓包分析TCP协议:三次握手和四次挥手
前言 面试中我们经常会被问到TCP协议的三次握手和四次挥手的过程,为什么总喜欢问这个问题呢? 其实我们平时使用的很多协议都是应用层协议,比如HTTP协议,https协议,DNS协议,FTP协议...【详细内容】
2023-11-01  Search: Wireshark  点击:(242)  评论:(0)  加入收藏
身为网络工程师,别再只会用Wireshark了
Wireshark是非常流行的网卡抓包软件,具有强大的抓包功能。它可以截取各种网络数据包,并显示数据包详细信息。这也就意味着,它可以查看所有网络的流量发生过什么。它适用的系统...【详细内容】
2022-10-21  Search: Wireshark  点击:(377)  评论:(0)  加入收藏
这年头谁还不会抓包,WireShark 抓包及常用协议分析送给你
WireShark 简介和抓包原理及过程WireShark 简介Wireshark 是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshar...【详细内容】
2022-07-27  Search: Wireshark  点击:(751)  评论:(0)  加入收藏
Wireshark教程:解密HTTPS流量
#概述本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大...【详细内容】
2022-06-29  Search: Wireshark  点击:(671)  评论:(0)  加入收藏
wireshark网络抓包详解
一、简介Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。...【详细内容】
2022-06-06  Search: Wireshark  点击:(795)  评论:(0)  加入收藏
Wireshark抓取Android数据包
用Wireshark来抓取Android应用中的数据包。有服务和客户端的源码。WiresharkWireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细...【详细内容】
2022-05-16  Search: Wireshark  点击:(580)  评论:(0)  加入收藏
渗透测试抓包工具-wireshark
wireshark功能介绍1.抓包嗅探协议分析2.安全专家必备的技能3.抓包引擎Libpcap9----LinuxWinpcap10-----Windows4.解码能力 wireshark基本使用方法1.启动软件2.选择抓包网卡3...【详细内容】
2022-04-19  Search: Wireshark  点击:(585)  评论:(0)  加入收藏
Wireshark工作使用小结
基本概念wireshark是个开源的好用软件,用来分析数据包。数据包:通常就是四层信息 物理层数据帧,数据链路层以太帧头部。网络层IP包头部。传输层TCP包头部。最后就是应用层信息...【详细内容】
2022-04-11  Search: Wireshark  点击:(503)  评论:(0)  加入收藏
wireshark数据包分析工具
wireshark数据包分析工具。非常流行的网络封包分析软件,功能屈指可数。wireshark是开源软件,可以放心使用。使用范围也是非常广的;只要是网络方面的都会用到这款工具。来看下界...【详细内容】
2022-03-04  Search: Wireshark  点击:(456)  评论:(0)  加入收藏
wireshark 如何抓包https
由于https 使用了 TLS/SSL 加密条件,我们无法直接在wireshark的中读取到数据内容,我们先看一下正常的http包的内容。可以直接读取到http的header 和body。 但如果是https 则不...【详细内容】
2021-12-01  Search: Wireshark  点击:(569)  评论:(0)  加入收藏
▌简易百科推荐
如何在Windows 10中查看电脑的名称?这里提供详细步骤
你想在有多台计算机组成的网络上查找你的计算机吗?一种方法是找到你的电脑名称,然后在网络上匹配该名称。下面是如何在Windows 10中使用图形和命令行方法查看你的计算机名称。...【详细内容】
2024-04-10  驾驭信息纵横科技    Tags:Windows 10   点击:(6)  评论:(0)  加入收藏
移动版 Outlook 解锁新技能,可验证登录 OneDrive 等微软服务
IT之家 4 月 9 日消息,微软公司近日发布新闻稿,宣布用户可以使用 Outlook 手机应用,轻松登录 Teams、OneDrive、Microsoft 365 以及 Windows 等微软账号服务。移动端 Outlook...【详细内容】
2024-04-09    IT之家  Tags:Outlook   点击:(7)  评论:(0)  加入收藏
Win10/Win11和 macOS用户反馈:谷歌云服务“捆绑”系统 DNS 设置
IT之家 4 月 6 日消息,谷歌公司承认旗下的 Google One 订阅服务中存在问题,在 Windows 10、Windows 11 以及 macOS 系统上会更改系统 DNS 设置,变更为 8.8.8.8 地址。Google On...【详细内容】
2024-04-08    IT之家  Tags:Win10   点击:(11)  评论:(0)  加入收藏
电脑卡顿怎么重装系统,快看这篇
电脑卡顿时,重装系统确实是一种可能的解决方案。以下是重装系统的详细步骤:备份重要数据:首先,你需要将电脑中的重要文件和数据备份到外部存储设备(如U盘、移动硬盘或云存储)中,以...【详细内容】
2024-04-04  科技数码前锋    Tags:重装系统   点击:(4)  评论:(0)  加入收藏
如何检查电脑的最近历史记录?这里提供详细步骤
如果你怀疑有人在使用你的计算机,并且你想查看他们在做什么,下面是如何查看是否有访问内容的痕迹。如何检查我的计算机的最近历史记录要检查计算机的最近历史记录,应该从web浏...【详细内容】
2024-03-30  驾驭信息纵横科技    Tags:历史记录   点击:(6)  评论:(0)  加入收藏
关于Windows中AppData的相关知识,看这篇文章就可以了
如果AppData文件夹占用了你电脑上的太多空间,则需要清理AppData文件夹。下面是一些帮助你在Windows计算机上进行AppData清理的方法。什么是AppData文件夹AppData文件夹是保存...【详细内容】
2024-03-30  驾驭信息纵横科技    Tags:AppData   点击:(10)  评论:(0)  加入收藏
微软 Edge 浏览器将迎来“内存限制器”功能,用户可自主控制 Edge 内存占用
IT之家 3 月 28 日消息,微软即将为其 Edge 浏览器带来一项实用新功能,据悉该公司正在测试一项内置的内存限制器,这项功能可以让用户限制 Edge 所占用的内存,防止浏览器超出内存...【详细内容】
2024-03-29    IT之家  Tags:Edge   点击:(21)  评论:(0)  加入收藏
一寸照片的大小如何压缩?四个实测效果很好的方法
一寸照片作为生活中常见的尺寸之一,常用于各类证件照与证明文件的制作。然而,受限于其较为狭小的尺寸,上传及打印过程中很容易出现尺寸超限的情况。所以,这个时候就需要对其体积...【详细内容】
2024-03-18  宠物小阿涛    Tags:压缩   点击:(20)  评论:(0)  加入收藏
手机投屏到电脑/电视的方法
方法一:Win10自带的投影功能1、将手机和电脑连接同一个无线网络。2、选择【开始】>【设置】>【系统】>【投影到此电脑】3、将默认的始终关闭的选项更改为所有位置都可用。4、...【详细内容】
2024-03-18    老吴讲I  Tags:投屏   点击:(22)  评论:(0)  加入收藏
微软商店怎么卸载应用 一分钟快速看懂!
微软商店怎么卸载应用 一分钟快速看懂!微软公司(Microsoft Corporation)是一家全球领先的科技企业,总部位于美国华盛顿州的雷德蒙德。成立于1975年,由比尔·盖茨和保罗&mid...【详细内容】
2024-02-27  婷婷说体育    Tags:微软商店   点击:(42)  评论:(0)  加入收藏
站内最新
站内热门
站内头条