wireshark抓取HTTP壓縮包和SSL包

wireshark介紹

UPDATE：免費代碼抓包工具fiddler
UPDATE: Charles 抓包工具獲取HTTPS數據的方法。

Charles的抓包配置好像更簡單，仍是介紹一個配置的方法吧，配置步驟（環境蘋果電腦+iPhone）：

一、下載軟件 https://www.charlesproxy.com/download/

二、打開軟件，找到菜單 Help-SSL Proxying-Install Charles Root Certification，安裝Root證書，打開keychain.app，在 證書 目錄下搜索charles，雙擊打開，點開信任，選擇 始終信任

三、再找到菜單 Proxy-SSL Proxying Setting-勾上Enable SSL Proxying，添加要抓包網站的域名（支付*通配符）

四、在手機上訪問網址 https://chls.pro/ssl，會提示安裝描述文件，安裝

五、在手機上打開設置-通用-描述文件，找到charles的描述文件，安裝證書

六、在手機上打開設置-關於本機-證書信任設置，找到剛纔安裝的charles證書，打開信任

七、在手機上打開設置-無線局域網，找到代理，手工配置，輸入電腦的ip和charles運行的代理端口

八、手機上訪問欲抓包網址，一切正常的話，數據包會正常解析出明文

 

===============分割線，下面是wireshark工具的配置和使用===============

 

wireshark是一款跨平臺網絡協議分析工具，一般用來抓取網絡數據包，如http通信，支持window,linux,mac os x等。

下載最新版本 https://www.wireshark.org/。最新版本是2.0，用QT重寫了，在mac os x不須要安裝quartz了。

gzip壓縮包的抓取

最新版已經支持gzip壓縮包的抽取了，若是是舊版本能夠導出數據包，會自動解壓縮。以下圖：

2.0新版本已經能夠直接支持gzip解壓縮：

 

抓取SSL數據包

基本的原理就是使用保存ssl 的會話密鑰用來解密。

建立一個會話密鑰保存的空文件：

touch ~/Documents/sslkeylogout.log

而後在wireshark配置ssl會話密鑰文件所在位置：

打開參數配置preference選項：

mac os x 和linux類系統 在終端下執行：

 export SSLKEYLOGFILE=~/Documents/sslkeylogout.log && open /Applications/Google\ Chrome.app && open /Applications/Wireshark.app

若是是windows系統，添加系統環境變量,保證一個空文件存在 c:\sslkeylogout.log 

SSLKEYLOGFILE=c:\sslkeylogout.log

直接打開瀏覽器和wireshark便可，不須要在dos下運行。

 

在打開的瀏覽器訪問https://www.baidu.com，能夠看到sslkeylogout.log有新增內容，如：

CLIENT_RANDOM c92a80cc16d76bfd5dd8f789348721d21f5f40a6eb705d3d4a163b466d05ea1e 2cdfabb383a868c122b8d5f0f384d18404e68f841fb395caea6e0b77f24d96591869e7ba2d5a7efb4f3a8660f7c59ff8
CLIENT_RANDOM 166a923c6f3e2b594d752b70b85abdb844a6bee674d3255c42ac5abcb55fddec b107da066ce55b128622aab940a3ba0e662643d926bede5d8cf8e22ba7157eda0087e3c279c04ca0ee71a22ff02f6998
CLIENT_RANDOM 99ebd6cf44387cf5bf08cc4821b35b6bc946e2b4ec8250543aa85ad3edcae438 86641b5c10e0afb54fc21fc64dc742a87ad6039e03ef80a33a963e9cd09624b64c621c9ede5839db84d161c32c72a804

代表ssl交換密鑰保存成功，能夠進行下一步，wireshare抓包了，抓包後結果以下圖：

能夠看到ssl數據包已經自動解析並解壓了，很是方便。

總結

wireshark 2.0版本在mac os x下已經比較方便使用了，不須要安裝linux兼容軟件。結合ssl session key，能夠實現https類網站數據的抓取。

結合代理軟件，亦可方便實現手機軟件的通信數據包抓取。具體wifi熱點設置可參考網上其它文章，如，windows能夠用軟件connecty，mac os x能夠接上網線後在「系統偏好設置」-【共享】裏分享成wifi熱點方式。

 

參考

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

https://www.charlesproxy.com/latest-release/download.do 代理軟件