首页 > 其他分享 >wireshark抓不到TLS1.3数据包中证书的解决方案

wireshark抓不到TLS1.3数据包中证书的解决方案

时间:2024-09-27 16:12:19浏览次数:10  
标签:文件 浏览器 log TLS1.3 数据包 抓包 wireshark

近日工作中遇到需要分析使用TLS1.3协议进行通信的数据包的情况,但使用wireshark进行分析发现不能抓到服务端证书,感到诧异遂设法解决

这篇博客给出解决方案,和简单的原理分析

解决方案:

第一步:在任意合适路径新建一文件,命名为“ssl.log”

我这里新建了一个记事本文件,不需要对文件进行任何编辑,直接重命名修改文件名以及拓展名。

第二步:修改计算机环境变量,将刚刚创建的“ssl.log”作为环境变量“SSLKEYLOGFILE”的值

按照数字顺序进行操作,在变量值部分需要输入你第一步创建的文件的路径

第三步:修改wireshark配置

打开wireshark,在顶部导航栏选中“编辑”->“首选项”->左侧“protocol”展开下拉找到“TLS”(由于版本原因,找不到“TLS”的可以找“SSL”)

在红框位置选中第一步所创建的文件的路径,点击确定即可。

至此,如果没有操作出错,重启wireshark后再次去抓包便可以解析TLS1.3协议中先前未能解密的部分了

(仅测试两款浏览器,Chorme浏览器可正常分析,Edge暂时不可)

原理分析:

在TLS1.3中,ChangeCipherSpec之后的消息都进行了加密,Wireshark没有主动存储HTTPS 连接产生随机数密钥等信息,所以缺乏对消息进行解密的能力,证书等部分信息只显示为ApplicationData,其内部其实是加密传输的数据。

包括chrome浏览器在内的一些浏览器会在系统中名为 SSLKEYLOGFILE 的环境变量已经设置的情况下,将每个 HTTPS 连接产生的客户端或服务端的随机数、preMasterSecret、MasterSecret 全部获取到并保存在这个环境变量指定的文件中,通过第二步设置让wireshark可以读取到这些参数,报文内加密的证书等信息就自然可以解密出来了

综上所述,今后再有针对TLS1.3进行抓包的情况,建议使用提前进行上述配置的电脑配合chrome浏览器进行抓包;如果情况不允许使用自带电脑时,应在测试电脑配置该log文件并设置为环境变量,使用chrome浏览器进行抓包后连同log文件和抓包文件一同拷贝留存,分析时将log文件导入wireshark进行分析。

 

参考链接:

TLS1.3 抓包分析_tls1.3抓包分析-CSDN博客

https -

标签:文件,浏览器,log,TLS1.3,数据包,抓包,wireshark
From: https://www.cnblogs.com/Draina/p/18435981

相关文章

  • (图文并茂,权威最详细)Wireshark抓包分析 TCP三次握手/四次挥手详解
    本文结合wireshark抓包,对TCP协议的三次握手和四次挥手进行详细的讲解。大家要认真看完,这可能是全网讲得最详细的文章了。01TCP/IP协议族TCP/IP是一个协议族,通常分不同层次进行开发,每个层次负责不同的通信功能。包含以下四个层次:1.链路层,也称作数据链路层或者网络接口层,......
  • 计算机网络实验2——利用Wireshark对上网操作抓包并进行相关协议分析(实验部分)
    五、实验过程1.安装并启动Wireshark。选择菜单栏上捕获->选项,勾选WLAN网卡。点击Start,进行抓包 Wireshark处于抓包状态中 2.打开浏览器,在地址栏中输入教师指定的web服务器地址。(http://202.113.78.39)为了确保连通性,先ping一下服务器 打开cmd Ping 202.113.78.......
  • 艾体宝干货丨OIDA之四:掌握数据包分析-分析的艺术​
    一、网络分析的本质要了解分析流程,就必须认识到这不仅仅是查看数据,而是要解读数据包所讲述的故事。这需要将多个数据包和数据流中的信息关联起来,识别模式和异常,并将数据与更广泛的网络环境联系起来。这一过程既需要技术技能,也需要直观理解,将数据解读的科学性与解决问题的艺术性融为......
  • 电脑串口和手机蓝牙BLE串口数据包通信调试工具
    1,支持HEX收发2,支持文本收发3,支持自定义按钮发送自定义命令和数据包4,支持自定义解析包内任意位置1~4字节转int并显示5,自定义json举例说明[{"name":"1234命令","type":"button","cmd":"1234","data":"01020304"},{"name":"1......
  • Wireshark开源抓包工具
    Wireshark零基础使用教程(超详细)-元宇宙-Metaverse-博客园(cnblogs.com)一、Wireshark是什么Wireshark是使用最广泛的一款「开源抓包软件」,常用来检测网络问题、攻击溯源、或者分析底层通信机制。它使用WinPCAP作为接口,直接与网卡进行数据报文交换。二、Wireshark抓包原......
  • linux 系统是如何收发数据包
    目录1.背景1.1协议栈的构成1.应用层:2.Socket层:3.传输层(TCP/UDP):4.网络层(IP):5.数据链路层(MAC):6.物理层(网卡驱动):1.2数据包的组成2.接收网络数据包的流程2.1数据包接收流程概述2.2详细步骤说明2.2.1网卡接收数据包2.2.2触发硬件中断......
  • Wireshark安装
    Wireshark安装1.官网地址下载选择合适的版本安装,我是Windows11专业版就下载的第一个2.以管理员身份运行安装包第二个选项为创建桌面图标,可按照自己的情况选择一路默认即可,建议修改安装路径3.NPcap和USBPcap,如果电脑上已安装的可忽略,没有的可以安装一下4.安装完成运行......
  • 广播数据包报文格式
    BLE报文由不同的域组成,如果域的长度超过一个字节,就涉及到先传输字节的低位还是高位的问题,这里分字节序和比特序:字节序:大多数的多字节域都是从低字节开始传输。但是,并不是所有的多字节域都是从低字节开始传输。比特序:各个字节传输时,每个字节都是从低位开始。前导:前导是一个8bi......
  • WIFI空口包在Wireshark中过滤条件
    一)三大类WIFI包过滤wlan.fc.type==0管理帧wlan.fc.type==1控制帧wlan.fc.type==2数据帧二)管理帧AssociationReq/Rspwlan.fc.type_subtype==0x0000||wlan.fc.type_subtype==0x0001ReassociationReq/Rspwlan.fc.type_subtype==0x00002||wlan.fc.type......
  • wireshark 过滤source和destination wireshark常用过滤 转载
    Wireshark常用过滤使用方法tcp.port==80&&(ip.dst==122.114.5.11||ip.src==122.114.5.11) 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1 端口过滤。如过滤80......