Debian11环境:
https://img-blog.csdnimg.cn/direct/45daeaa79a714cbfa541e673388fbc57.png" width="1200" />
在linux环境下抓取访问某个https的网址时抓取的数据包都是加密的,导致无法跟踪到数据包流,现在尝试将抓取的https包进行解密。
1、解密https数据包需要设置SSLKEYLOGFILE变量,推荐写入配置文件中。
echo "export SSLKEYLOGFILE=~/ssl.key" >> ~/.bashrc
source ~/.bashrc2、使用tcpdump命令抓取https的数据包。
tcpdump -i eth0 host xxxxx -nn -w https.pacp将生成的ssl.key文件与https.pcap文件存到windows系统上(Debian上安装的wireshark无法设置.ssl.key文件,暂时还不知道原因)
3、打开wireshark,点击编辑->首选项,找到TLS,将ssl.key文件配置进去,这边主要通过ssl.key来解密https包。
https://img-blog.csdnimg.cn/direct/05206e7951554acaa6a6d8cda1b438b6.png" width="954" />
4、此时,再去规则中增加http筛选,就能看到解密的数据了。https://img-blog.csdnimg.cn/direct/a782b517188a4e33a7a4a2d5daa2b6da.png" width="1200" />
暂时先记录到这里。
