Ich möchte in Wireshark nur SSL- oder HTTPS-Verkehr erfassen. Dies kann aufgrund der Zeit, die zum Aufzeichnen der Daten benötigt würde, und der Größe der PCAP-Datei nicht nachträglich gefiltert werden.
Es gibt beispielsweise nur Erfassungsfilter für TCP oder UDP (TCP-Port HTTP).
Ich habe es so konfiguriert, dass es verwendet werden kann tcp port https, aber es scheint immer noch andere, nicht damit zusammenhängende Junk-Daten zu enthalten. Gibt es eine bessere Möglichkeit, HTTPs/SSL-Daten zu erfassen?
Bonus: Kann ich dies auf eine Netzwerkfestplatte übertragen, anstatt es per PCAP einzubinden und auf derselben Box zu speichern?
Antwort1
Der Grundgedanke dabei ist, dass HTTPS-Datenverkehr über das Internet vertraulich ist. Ein beliebiger Router oder eine Person, die zufällig Ihre Pakete abfängt, kann HTTPS ohne den Entschlüsselungsschlüssel nicht entschlüsseln. Fazit: Wireshark kann HTTPS-Datenverkehr nicht entschlüsseln.