enrixk
Goto Top

HTTP mit Wireshark analysieren

Hallo zusammen,

ich muss mich aktuell in Wireshark einarbeiten und stoße dabei auf Probleme.

Folgende Situation spielt sich bei mir ab: Ich habe den verwendeten Adapter in Wireshark ausgwählt, das Protokoll auf http beschränkt, die IP-Adresse der Tagesschau mit Ping ermittelt, einen Mitschnitt gestartet und anschließend auf der Seite der Tagesschau eine Weile herumgesurft. Meine Filtereinstellungen lauten wie folgt: http && ip.src==23.45.104.246 . Im gesamten Mitschnitt ist kein http auffindbar. Woran kann das liegen?

Viele Grüße und danke für eure Hilfe

Content-ID: 73250337866

Url: https://administrator.de/contentid/73250337866

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

marinux
marinux 06.11.2023 um 07:37:46 Uhr
Goto Top
Daran, dass es vielleicht HTTPS ist?
8030021182
8030021182 06.11.2023 aktualisiert um 08:02:22 Uhr
Goto Top
Hi.
1. Findet heutztage sämtlicher Verkehr zu solchen Seiten i.d.R. ausschließlich verschlüsselt statt, https (TLS) statt http, du würdest also eh nur Kauderwelsch sehen.
Tagesschau.de leitet zwingend auf https um.

2. Hat auch Tagesschau.de eine IPv6 Adresse welche bevorzugt verwendet werden würde wenn dein Rechner eine globale IPv6 erhalten hat.

3. Läuft bei https eh alles über TLS ab statt Plaintext http.

4. Wenn du https Traffic im Klartext mitschneiden möchtest ist ein MitM-Proxy wie bspw. https://www.telerik.com/fiddler oder https://mitmproxy.org/ das Mittel der Wahl, welcher sich mit eigenem dynamisch generierten Zertifikat in die Verbindung des Clients einhakt und somit den Traffic im Klartext mitschneiden kann .

5. Für das Entschlüsseln von https in Wireshark brauchst du das premaster secret, das du erst beim Handshake aufzeichnen musst.
https://www.comparitech.com/net-admin/decrypt-ssl-with-wireshark/

Gruß Katrin
Enrixk
Enrixk 06.11.2023 aktualisiert um 08:08:49 Uhr
Goto Top
Natürlich habe ich auch an SSL gedacht. Aber: Die Eingabe https oder TLS im Filter wird mir als Syntaxfehler angezeigt. Ich habe es jetzt mit Kleinbuchstaben probiert. Das funktioniert für tls. Seltsamerweise erhalte ich keine Frames zu tls.
Enrixk
Enrixk 06.11.2023 aktualisiert um 08:09:08 Uhr
Goto Top
Zitat von @8030021182:
5. Für das Entschlüsseln von https in Wireshark brauchst du das premaster secret, das du erst beim Handshake aufzeichnen musst.
https://www.comparitech.com/net-admin/decrypt-ssl-with-wireshark/

Ich habe aber den öffentlichen Schlüssel, sonst könnte ich ja den Content nicht sehen.
marinux
marinux 06.11.2023 aktualisiert um 08:12:30 Uhr
Goto Top
Zitat von @Enrixk:

Natürlich habe ich auch an SSL gedacht. Aber: Die Eingabe https oder TLS im Filter wird mir als Syntaxfehler angezeigt. Ich habe es jetzt mit Kleinbuchstaben probiert. Das funktioniert für tls. Seltsamerweise erhalte ich keine Frames zu tls.

Nach HTTPS kannst du nicht filtern, weil es verschlüsselt übertragen wird innerhalb einer TLS Session.

TLS kannst du filtern, siehe https://www.wireshark.org/docs/dfref/t/tls.html

Alternativ kannst du mal, um ein Gefühl zu bekommen welche Daten von Tagesschau.de man in Wireshark einsehen kann, nach TCP Port 443 und der IP Adresse der Tagesschau filtern.
marinux
marinux 06.11.2023 um 08:16:04 Uhr
Goto Top
Zitat von @Enrixk:

Ich habe aber den öffentlichen Schlüssel, sonst könnte ich ja den Content nicht sehen.

https://wiki.wireshark.org/TLS#tls-decryption lesen und verstehen. Danach kannst du deine Bemerkung vielleicht selber einordnen.
8030021182
8030021182 06.11.2023 aktualisiert um 08:24:37 Uhr
Goto Top
Ich habe aber den öffentlichen Schlüssel, sonst könnte ich ja den Content nicht sehen.
Du brauchst aber das PreMaster Secret des Browsers ... nur der Public Key bringt dir nix ...
How to Decrypt SSL with Wireshark – HTTPS Decryption Guide
Die Eingabe https oder TLS im Filter wird mir als Syntaxfehler angezeigt.
Verständlich ist ja auch syntaktisch falsch...> tls erledigt das in einem Rutsch.

Du zäumst das Pferd vom Schwanz auf statt vorne anzufangen.