Wireshark 默认无法查看 https, 需要设置一下
新建环境变量 SSLKEYLOGFILE, 值为一个想要保存 sshKey 的文件, 如新建一个空文件 D:AppDataSshKey.log, 然后打开浏览器浏览几个 HTTPS 网页, 浏览器就会自动将私钥存储进去
打开 WireShark, 编辑 -> 首选项 -> Protocols -> SSL -> (Pre)-master-secert log filename 中选中 sshKey 文件, 之后就可以自动查看 ssl 数据了
Wireshark抓包是依赖于网卡的, 所以抓包前需要指定网卡
最上方Filter框可填入过滤器, 多个规则可用and于or连接, 常用的几个规则有
- tcp, 只显示TCP协议
- http, 只显示http协议
- http.response, 只显示http相应
- ip.src == 192.168.1.102, 按源IP过滤
- ip.dst == 66.246.138.48, 按目的IP过滤
- tcp.port == 80, 按端口过滤
- http.request.method == "GET", 按http请求方法过滤
Wireshark的封包列表按不同的协议使用了不同的背景色
下方的封包详细信息列表是最重要的, 用于查看协议中的每个字段, 比如
典型的几种信息是
- Frame, 帧, 即物理层的数据帧, 有捕获的序号, 大小信息
- Ethernet II, 链路层的帧头部信息, 以太网, 有网卡相关信息
- Internet Protocol Version 4, IPV4, IP层的头部信息,
- Transmission Control Protocol, TCP,运输层的头部信息
- Hypertext Transfer Protocol, HTTP, 应用层信息