Wireshark ist ein beliebter Open-Source-Paketanalysator, der eine breite Palette praktischer Funktionen für Netzwerkanalyse, Fehlerbehebung, Schulung und vieles mehr bietet. Menschen, die Wireshark zum ersten Mal verwenden möchten, und diejenigen, die bereits Erfahrung damit haben, fragen sich oft, ob sie HTTPS-Verkehr mitlesen sollten.
Wenn Sie einer von ihnen sind, sind Sie bei uns genau richtig. Hier erklären wir, was HTTPS ist und wie es funktioniert. Dann besprechen wir, ob Sie HTTPS-Verkehr lesen können, warum das ein Problem sein könnte und was Sie dagegen tun können.
Was ist HTTPS?
Hypertext Transfer Protocol Secure (HTTPS) stellt eine sichere Version von HTTP dar, die eine sichere Datenübertragung und Kommunikation zwischen einem Webbrowser und einer Website garantiert.
HTTPS gewährleistet Sicherheit und verhindert Abhören, Identitätsdiebstahl, Man-in-the-Middle-Angriffe und andere Sicherheitsbedrohungen. Heutzutage verfügt jede Website, die Sie auffordert, Ihre Informationen einzugeben oder ein Konto zu erstellen, über HTTPS, um Sie zu schützen.
HTTPS schützt vor Sicherheitsbedrohungen und böswilligen Angriffen, indem der gesamte Austausch zwischen einem Webbrowser und einem Server verschlüsselt wird.
Es ist wichtig klarzustellen, dass HTTPS nicht von HTTP getrennt ist. Vielmehr handelt es sich um eine HTTP-Variante, die spezifische Verschlüsselungen wie Secure Socket Layer (SSL) und Transport Layer Security (TLS) verwendet, um die Kommunikation zu sichern. Wenn ein Webbrowser und ein Webserver über HTTPS kommunizieren, führen sie einen SSL/TLS-Handshake durch, d. h. einen Austausch von Sicherheitszertifikaten.
Wie können Sie feststellen, ob Ihre Kommunikation mit einer Website mit HTTPS gesichert ist? Schauen Sie einfach in die Adressleiste. Wenn Sie „https“ am Anfang der URL sehen, ist Ihre Verbindung sicher.
Wireshark, wie man HTTPS-Verkehr liest
Eines der Hauptmerkmale von HTTPS ist, dass es verschlüsselt ist. Während dies ein Vorteil ist, wenn Sie online einkaufen oder persönliche Informationen auf einer Website hinterlassen, kann es ein Nachteil sein, wenn Sie verfolgen, um den Webverkehr zu überwachen und Ihr Netzwerk zu analysieren.
Da HTTPS verschlüsselt ist, gibt es keine Möglichkeit, es in Wireshark zu lesen. Aber Sie können SSL- und TLS-Pakete anzeigen und zu HTTPS entschlüsseln.
Befolgen Sie diese Schritte, um SSL- und TLS-Pakete in Wireshark zu lesen:
- Öffnen Sie Wireshark und wählen Sie im Menü „Capture“ aus, was Sie erfassen möchten.
- Konzentrieren Sie sich im Bereich „Paketliste“ auf die Spalte „Protokoll“ und suchen Sie nach „SSL“.
- Suchen Sie das gewünschte SSL- oder TLS-Paket und öffnen Sie es.
So entschlüsseln Sie SSL in Wireshark
Die empfohlene Methode zum Entschlüsseln von SSL ist die Verwendung eines geheimen Pre-Master-Schlüssels. Sie müssen diese vier Schritte ausführen:
- Legen Sie eine Umgebungsvariable fest.
- Starten Sie Ihren Browser.
- Konfigurieren Sie Ihre Einstellungen in Wireshark.
- Sitzungsschlüssel erfassen und entschlüsseln.
Gehen wir jeden Schritt genauer durch.
Legen Sie eine Umgebungsvariable fest
Eine Umgebungsvariable ist ein Wert, der festlegt, wie Ihr Computer verschiedene Prozesse handhabt. Wenn Sie SSL und TLS entschlüsseln möchten, müssen Sie zunächst eine Umgebungsvariable richtig festlegen. Wie Sie dies tun, hängt von Ihrem Betriebssystem ab.
Legen Sie eine Umgebungsvariable in Windows fest
Windows-Benutzer sollten diese Schritte ausführen, um eine Umgebungsvariable festzulegen:
- Starten Sie das Startmenü.
- Öffnen Sie die „Systemsteuerung“.
- Gehen Sie zu „System und Sicherheit“.
- Wählen Sie „System“.
- Scrollen Sie nach unten und wählen Sie „Erweiterte Systemeinstellungen“.
- Überprüfen Sie noch einmal, ob Sie sich im Abschnitt „Erweitert“ befinden, und drücken Sie auf „Umgebungsvariablen“.
- Drücken Sie unter „Benutzervariablen“ auf „Neu“.
- Geben Sie „SSLKEYLOGFILE“ unter „Variablenname“ ein.
- Geben Sie unter „Variablenwert“ den Pfad zur Protokolldatei ein oder durchsuchen Sie ihn.
- Drücke OK.'
Legen Sie eine Umgebungsvariable in Mac oder Linux fest
Wenn Sie ein Linux- oder Mac-Benutzer sind, müssen Sie nano verwenden, um eine Umgebungsvariable festzulegen.
Linux-Benutzer sollten ein Terminal öffnen und diesen Befehl eingeben: „nano ~/ .bashrc“. Mac-Benutzer sollten Launchpad öffnen, „Andere“ drücken und ein Terminal starten. Dann sollten sie diesen Befehl eingeben: „nano ~/ .bash_profile“.
Sowohl Linux- als auch Mac-Benutzer sollten dann diesen Schritten folgen, um fortzufahren:
- Fügen Sie diese Datei am Ende der Datei hinzu: „export SSLKEYLOGFILE=~/.ssl-key.log“.
- Speichern Sie Ihre Änderungen.
- Schließen Sie das Terminalfenster und starten Sie ein anderes. Geben Sie diese Zeile ein: „echo $SSKEYLOGFILE“.
- Sie sollten jetzt den vollständigen Pfad zu Ihrem SSL-Pre-Master-Key-Protokoll sehen. Kopieren Sie diesen Pfad, um ihn für später zu speichern, da Sie ihn in Wireshark eingeben müssen.
Starten Sie Ihren Browser
Der zweite Schritt besteht darin, Ihren Browser zu starten, um sicherzustellen, dass die Protokolldatei verwendet wird. Sie müssen Ihren Browser öffnen und eine SSL-fähige Website besuchen.
Nachdem Sie eine solche Website besucht haben, überprüfen Sie Ihre Datei auf Daten. Unter Windows sollten Sie Notepad verwenden, während Sie unter Mac und Linux diesen Befehl verwenden sollten: „cat ~/ .ssl-log.key“.
Konfigurieren Sie Wireshark
Nachdem Sie festgestellt haben, dass Ihr Browser Pre-Master-Schlüssel am gewünschten Ort protokolliert, ist es an der Zeit, Wireshark zu konfigurieren. Nach der Konfiguration sollte Wireshark in der Lage sein, die Schlüssel zum Entschlüsseln von SSL zu verwenden.
Führen Sie dazu die folgenden Schritte aus:
- Starten Sie Wireshark und gehen Sie zu „Bearbeiten“.
- Klicken Sie auf „Einstellungen“.
- Erweitern Sie 'Protokolle'.
- Scrollen Sie nach unten und wählen Sie „SSL“.
- Suchen Sie nach „(Pre)-Master Secret log filename“ und geben Sie den Pfad ein, den Sie im ersten Schritt eingerichtet haben.
- Drücke OK.'
Sitzungsschlüssel erfassen und entschlüsseln
Nachdem Sie nun alles konfiguriert haben, ist es an der Zeit zu prüfen, ob Wireshark SSL entschlüsselt. Folgendes müssen Sie tun:
- Starten Sie Wireshark und starten Sie eine ungefilterte Erfassungssitzung.
- Minimieren Sie das Wireshark-Fenster und öffnen Sie Ihren Browser.
- Rufen Sie eine beliebige sichere Website auf, um Daten abzurufen.
- Kehren Sie zu Wireshark zurück und wählen Sie einen Frame mit verschlüsselten Daten aus.
- Suchen Sie nach „Packet Byte View“ und sehen Sie sich die „Decrypted SSL“-Daten an. HTML sollte jetzt sichtbar sein.
Welche praktischen Funktionen bietet Wireshark?
Einer der Gründe, warum Wireshark ein führender Netzwerk-Paketanalysator ist, ist, dass er eine breite Palette praktischer Optionen bietet, die Ihre Benutzererfahrung verbessern. Hier sind einige davon:
Farbcodierung
Unmengen an Informationen durchzugehen kann zeitraubend und anstrengend sein. Wireshark versucht Ihnen dabei zu helfen, verschiedene Pakettypen mit einem einzigartigen Farbcodierungssystem zu unterscheiden. Hier sehen Sie die Standardfarben für die wichtigsten Pakettypen:
- Hellblau – UDP
- Hellviolett – TCP
- Hellgrün – HTTP-Datenverkehr
- Hellgelb – Windows-spezifischer Datenverkehr (einschließlich Server Message Blocks (SMB) und NetBIOS
- Dunkelgelb – Routing
- Dunkelgrau – TCP SYN-, ACK- und FIN-Datenverkehr
- Schwarz – Pakete mit einem Fehler
Sie können das gesamte Farbschema anzeigen, indem Sie auf „Ansicht“ gehen und „Farbregeln“ auswählen.
Mit Wireshark können Sie in den gleichen Einstellungen Ihre eigenen Farbregeln nach Ihren Wünschen anpassen. Wenn Sie keine Färbung wünschen, schalten Sie den Umschaltknopf neben „Paketliste einfärben“ um.
Metriken und Statistiken
Wireshark bietet verschiedene Optionen, um mehr über Ihre Erfassung zu erfahren. Diese Optionen befinden sich im Menü „Statistiken“ oben im Fenster.
wie man Audio über Discord abspielt
Je nachdem, woran Sie interessiert sind, können Sie Statistiken zu Capture-Dateieigenschaften, aufgelösten Adressen, Paketlängen, Endpunkten und vielem mehr einsehen.
Befehlszeile
Wenn Sie ein System haben, das keine grafische Benutzeroberfläche (GUI) hat, werden Sie froh sein, dass Wireshark über eine verfügt.
Promiskuitiver Modus
Standardmäßig können Sie mit Wireshark Pakete erfassen, die von und zu dem von Ihnen verwendeten Computer gehen. Wenn Sie jedoch den Promiscuous-Modus aktivieren, können Sie den größten Teil des Datenverkehrs im gesamten lokalen Netzwerk (LAN) erfassen.
FAQ
Kann ich Paketdaten in Wireshark filtern?
Ja, Wireshark bietet erweiterte Filteroptionen, mit denen Sie relevante Informationen in wenigen Sekunden anzeigen können.
Die Plattform verfügt über zwei Arten von Filtern: Erfassung und Anzeige. Erfassungsfilter werden beim Erfassen von Daten verwendet. Sie können sie vor dem Start einer Paketerfassung festlegen und während des Vorgangs nicht ändern. Diese Filter stellen eine einfache Möglichkeit dar, schnell nach den Daten zu suchen, an denen Sie interessiert sind. Wenn Wireshark Daten erfasst, die nicht mit Ihren festgelegten Filtern übereinstimmen, werden sie nicht angezeigt.
Anzeigefilter werden nach dem Erfassungsprozess angewendet. Im Gegensatz zu Erfassungsfiltern, die Daten verwerfen, die nicht den festgelegten Kriterien entsprechen, verbergen Anzeigefilter diese Daten einfach aus der Liste. Dadurch erhalten Sie eine klarere Ansicht der Aufnahme und können leicht finden, wonach Sie suchen.
Wenn Sie viele Filter in Wireshark verwenden und sich diese nicht merken können, werden Sie froh sein zu wissen, dass Sie Ihre Filter in Wireshark speichern können. Auf diese Weise müssen Sie sich keine Sorgen machen, die richtige Syntax zu vergessen oder den falschen Filter anzuwenden. Sie können Ihren Filter speichern, indem Sie auf das Lesezeichen-Symbol neben dem Filterfeld klicken.
Meistern Sie die Netzwerkanalyse mit Wireshark
Dank seiner beeindruckenden Paketanalyseoptionen ermöglicht Wireshark Ihnen einen detaillierten Überblick über den Datenverkehr zu und von Ihrem Netzwerk. Obwohl es erweiterte Funktionen bietet, verfügt Wireshark über eine einfache, intuitive Benutzeroberfläche, sodass sich selbst diejenigen, die neu in der Welt der Paketanalyse sind, schnell zurechtfinden. Das Lesen von HTTPS-Verkehr ist möglicherweise nicht einfach, aber es ist möglich, wenn Sie SSL-Pakete entschlüsseln.
Was gefällt Ihnen an Wireshark am besten? Hatten Sie jemals Probleme damit? Sagen Sie es uns im Kommentarbereich unten.