wireshark笔记

常见过滤规则

根据域名过滤
http.host=="https://xxx.com"
http.host contains "baidu"

根据ip过滤
//显示所有目标或源地址是192.168.1.1的数据包
ip.addr ==192.168.1.1
//显示目标地址是192.168.1.1的数据包
ip.dst==192.168.1.1
//显示源地址是192.168.1.1的数据包
ip.src ==192.168.1.1
根据源地址和目标地址过滤
ip.src == 192.168.1.1 and ip.dst == 192.168.1.2

根据请求方法过滤
http.request.method=="GET"

根据请求url过滤
http.request.uri contains "exportcrosstab"

多个条件同时使用，可以用and

跟踪一次请求，可以follow http stream

image.png

如果看不到中文，需要设置编码

image.png

如何对https抓包

window

firefox，chrome会将 TLS 会话中使用的对称密钥保存在外部文件中。

当系统环境变量中存在SSLKEYLOGFILE这个变量的时候（环境变量值为一个文件路径），chrome与firefox在访问https网站的时候会将密钥写入这个环境变量对应的文件。

在cmd查看环境变量：

image.png

如果在wireshark中设置该密钥文件路径，就可以解析https的请求
（edit >> preferences >> protocols >> tls >> (pre)-Master-Secret log filename）

image.png

注：添加环境变量后需重启浏览器！！！

mac

先设置mac chrome启动参数，加上--ssl-key-log-file=/Users/`whoami`/sslkeylog.log
再设置mac wireshark抓取https

然后就可以解密https请求了（注意要用浏览器，不能用postman）

image.png

wireshark卡死:
D:\ssl\sslkey.log 太大，wireshark会读取其中内容
方法: 修改环境变量，重启电脑，删除sslkey.log文件

最好勾上这个

image.png