Kategorie Netzwerktechnik - Forum Tools
Wireshark und SSL / HTTPS?
geschrieben am 24.04.2008 um 23:18 von epsilionflow
Hallo,
kann mir jemand sagen, ob man wireshark irgendwie so einstellen kann, dass man HTTPS Traffic ansehen kann?
Ich hab jetzt schon ein paar Stunden recherchiert, aber nicht richtiges gefunden.
Das vielversprechendste war das hier:
http://wiki.wireshark.org/SSL
Dort steht, dass ich eine RSA keys list brauche.
Wärend der Recherche, was RSA keys sein sollen, bin ich dann auf diesen Thread gestoßen:
http://www.mail-archive.com/wireshark-users@wireshark.org/msg00319.html
So wie ich das verstanden habe, kann ich also nur HTTPS-Pakete ansehen, von denen ich diesen RSA key habe. Oder hab ich das falsch verstanden? (mein englisch ist ziemlich schlecht ;) ).
Das kann doch gar nicht sein?! Wieso sollte es nicht möglich sein sich solche Pakete anzusehen? Wenn ich eine Website von einem beliebigem Server per HTTPS aufrufe kann ich die Inhalte doch auch ansehen ohne dass ich den RSA key habe.
Kann mir hier jemand weiterhelfen?
geschrieben am 25.04.2008 um 08:10 von bewa
Re: Wireshark und SSL / HTTPS?
kann mir jemand sagen, ob man wireshark irgendwie so einstellen kann, dass man HTTPS Traffic ansehen kann?
Erstmal pauschal formuliert: Ja, man kann. Du meinst vermutlich die Entschlüsselung der Payload, also des Datenverkehrs, nicht "nur" das Begutachten des SSL-/TLS-Verkehrs.
Das vielversprechendste war das hier:
http://wiki.wireshark.org/SSL
Da steht doch eigentlich alles nötige drin.
Dort steht, dass ich eine RSA keys list brauche.
Richtig. Und es steht drin, wie man sie anlegt. Windows-Beispiel:
127.0.0.1,443,http,c:\path\to\snakeoil2.key
Einzutragen in den Preferences von SSL. Wenn die Option nicht vorhanden ist, muss man Wireshark eventuell mit GnuTLS-Support neu bauen, siehe Bemerkung Wireshark-Wiki.
So wie ich das verstanden habe, kann ich also nur HTTPS-Pakete ansehen, von denen ich diesen RSA key habe. Oder hab ich das falsch verstanden? (mein englisch ist ziemlich schlecht ;) ).
Richtig. Andernfalls macht HTTPS ja auch keinen Sinn. :-)
Wenn ich eine Website von einem beliebigem Server per HTTPS aufrufe kann ich die Inhalte doch auch ansehen ohne dass ich den RSA key habe.
Da übernimmt ja auch dein Browser die Ver- und Entschlüsselung für dich. Und der hat dann auch den RSA-Key, oder holt ihn sich.
geschrieben am 25.04.2008 um 13:25 von epsilionflow
Re: Wireshark und SSL / HTTPS?
Erstmal Danke für deine Antwort, bewa.
Erstmal pauschal formuliert: Ja, man kann. Du meinst vermutlich die Entschlüsselung der Payload, also des Datenverkehrs, nicht "nur" das Begutachten des SSL-/TLS-Verkehrs.
Ja, genau. Ich möchte mir ansehen, was für einen HTTP request ich versende, wenn ich mich z.B. über HTTPS einlogge.
Da steht doch eigentlich alles nötige drin.
Nicht wirklich ;)
Einzutragen in den Preferences von SSL. Wenn die Option nicht vorhanden ist, muss man Wireshark eventuell mit GnuTLS-Support neu bauen, siehe Bemerkung Wireshark-Wiki.
Also kompiliert ist wireshark bei mir richtig (die Option für die RSA key list ist vorhanden).
So wie ich das verstanden habe, kann ich also nur HTTPS-Pakete ansehen, von denen ich diesen RSA key habe. Oder hab ich das falsch verstanden? (mein englisch ist ziemlich schlecht ;) ).
Richtig. Andernfalls macht HTTPS ja auch keinen Sinn. :-)
Das war etwas ungünstig formuliert ;) Ich meinte, ich kann mir die Pakete nur ansehen, wenn der Server mein eigener ist oder (z. B.) wenn ich den Besitzer kenne und er mir den RSA key freundlicherweise gibt.
So steht es auf jeden Fall unter http://www.mail-archive.com/wireshark-users@wireshark.org/msg00321.html
Da übernimmt ja auch dein Browser die Ver- und Entschlüsselung für dich. Und der hat dann auch den RSA-Key, oder holt ihn sich.
Und woher holt der sich den Key? Gibt es so eine Art DNS für RSA-Keys?
geschrieben am 27.04.2008 um 11:04 von bewa
Re: Wireshark und SSL / HTTPS?
Das war etwas ungünstig formuliert ;) Ich meinte, ich kann mir die Pakete nur ansehen, wenn der Server mein eigener ist oder (z. B.) wenn ich den Besitzer kenne und er mir den RSA key freundlicherweise gibt.
Richtig. Andernfalls würde es ja reichen, deinen Datenverkehr auf dem Client mitzuschneiden und dann zu entschlüsseln.
Da übernimmt ja auch dein Browser die Ver- und Entschlüsselung für dich. Und der hat dann auch den RSA-Key, oder holt ihn sich.
Und woher holt der sich den Key? Gibt es so eine Art DNS für RSA-Keys?[/quote]
Sorry, das war sehr missverständlich ausgedrückt und so formuliert Blödsinn. Das kommt davon, wenn man gleichzeitig antwortet und noch drei andere Sachen macht... :-(
Er hat nicht "den Key", sondern holt sich das pre-master-secret und evtl. noch das Zertifikat vom Server, siehe z.B. http://de.wikipedia.org/wiki/Transport_Layer_Security#SSL_Handshake_Protocol
geschrieben am 09.05.2008 um 14:50 von bewa
Re: Wireshark und SSL / HTTPS?
kann mir jemand sagen, ob man wireshark irgendwie so einstellen kann, dass man HTTPS Traffic ansehen kann?
Klappts inzwischen?
Im Zweifelsfall sonst einfach mal nach einer brauchbaren Anleitung genau Schritt für Schritt durchhangeln - z.B. die hier:
http://www.novell.com/coolsolutions/appnote/19321.html
[ Dieses Thema im Live-Forum aufrufen ]
| 
