HTTP mit Wireshark analysieren
Hallo zusammen,
ich muss mich aktuell in Wireshark einarbeiten und stoße dabei auf Probleme.
Folgende Situation spielt sich bei mir ab: Ich habe den verwendeten Adapter in Wireshark ausgwählt, das Protokoll auf http beschränkt, die IP-Adresse der Tagesschau mit Ping ermittelt, einen Mitschnitt gestartet und anschließend auf der Seite der Tagesschau eine Weile herumgesurft. Meine Filtereinstellungen lauten wie folgt: http && ip.src==23.45.104.246 . Im gesamten Mitschnitt ist kein http auffindbar. Woran kann das liegen?
Viele Grüße und danke für eure Hilfe
ich muss mich aktuell in Wireshark einarbeiten und stoße dabei auf Probleme.
Folgende Situation spielt sich bei mir ab: Ich habe den verwendeten Adapter in Wireshark ausgwählt, das Protokoll auf http beschränkt, die IP-Adresse der Tagesschau mit Ping ermittelt, einen Mitschnitt gestartet und anschließend auf der Seite der Tagesschau eine Weile herumgesurft. Meine Filtereinstellungen lauten wie folgt: http && ip.src==23.45.104.246 . Im gesamten Mitschnitt ist kein http auffindbar. Woran kann das liegen?
Viele Grüße und danke für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73250337866
Url: https://administrator.de/contentid/73250337866
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
7 Kommentare
Neuester Kommentar
Hi.
1. Findet heutztage sämtlicher Verkehr zu solchen Seiten i.d.R. ausschließlich verschlüsselt statt, https (TLS) statt http, du würdest also eh nur Kauderwelsch sehen.
Tagesschau.de leitet zwingend auf https um.
2. Hat auch Tagesschau.de eine IPv6 Adresse welche bevorzugt verwendet werden würde wenn dein Rechner eine globale IPv6 erhalten hat.
3. Läuft bei https eh alles über TLS ab statt Plaintext http.
4. Wenn du https Traffic im Klartext mitschneiden möchtest ist ein MitM-Proxy wie bspw. https://www.telerik.com/fiddler oder https://mitmproxy.org/ das Mittel der Wahl, welcher sich mit eigenem dynamisch generierten Zertifikat in die Verbindung des Clients einhakt und somit den Traffic im Klartext mitschneiden kann .
5. Für das Entschlüsseln von https in Wireshark brauchst du das premaster secret, das du erst beim Handshake aufzeichnen musst.
https://www.comparitech.com/net-admin/decrypt-ssl-with-wireshark/
Gruß Katrin
1. Findet heutztage sämtlicher Verkehr zu solchen Seiten i.d.R. ausschließlich verschlüsselt statt, https (TLS) statt http, du würdest also eh nur Kauderwelsch sehen.
Tagesschau.de leitet zwingend auf https um.
2. Hat auch Tagesschau.de eine IPv6 Adresse welche bevorzugt verwendet werden würde wenn dein Rechner eine globale IPv6 erhalten hat.
3. Läuft bei https eh alles über TLS ab statt Plaintext http.
4. Wenn du https Traffic im Klartext mitschneiden möchtest ist ein MitM-Proxy wie bspw. https://www.telerik.com/fiddler oder https://mitmproxy.org/ das Mittel der Wahl, welcher sich mit eigenem dynamisch generierten Zertifikat in die Verbindung des Clients einhakt und somit den Traffic im Klartext mitschneiden kann .
5. Für das Entschlüsseln von https in Wireshark brauchst du das premaster secret, das du erst beim Handshake aufzeichnen musst.
https://www.comparitech.com/net-admin/decrypt-ssl-with-wireshark/
Gruß Katrin
Zitat von @Enrixk:
Natürlich habe ich auch an SSL gedacht. Aber: Die Eingabe https oder TLS im Filter wird mir als Syntaxfehler angezeigt. Ich habe es jetzt mit Kleinbuchstaben probiert. Das funktioniert für tls. Seltsamerweise erhalte ich keine Frames zu tls.
Natürlich habe ich auch an SSL gedacht. Aber: Die Eingabe https oder TLS im Filter wird mir als Syntaxfehler angezeigt. Ich habe es jetzt mit Kleinbuchstaben probiert. Das funktioniert für tls. Seltsamerweise erhalte ich keine Frames zu tls.
Nach HTTPS kannst du nicht filtern, weil es verschlüsselt übertragen wird innerhalb einer TLS Session.
TLS kannst du filtern, siehe https://www.wireshark.org/docs/dfref/t/tls.html
Alternativ kannst du mal, um ein Gefühl zu bekommen welche Daten von Tagesschau.de man in Wireshark einsehen kann, nach TCP Port 443 und der IP Adresse der Tagesschau filtern.
Zitat von @Enrixk:
Ich habe aber den öffentlichen Schlüssel, sonst könnte ich ja den Content nicht sehen.
Ich habe aber den öffentlichen Schlüssel, sonst könnte ich ja den Content nicht sehen.
https://wiki.wireshark.org/TLS#tls-decryption lesen und verstehen. Danach kannst du deine Bemerkung vielleicht selber einordnen.
Ich habe aber den öffentlichen Schlüssel, sonst könnte ich ja den Content nicht sehen.
Du brauchst aber das PreMaster Secret des Browsers ... nur der Public Key bringt dir nix ...How to Decrypt SSL with Wireshark – HTTPS Decryption Guide
Die Eingabe https oder TLS im Filter wird mir als Syntaxfehler angezeigt.
Verständlich ist ja auch syntaktisch falsch...> tls erledigt das in einem Rutsch.Du zäumst das Pferd vom Schwanz auf statt vorne anzufangen.