Debian11环境:
在linux环境下抓取访问某个https的网址时抓取的数据包都是加密的,导致无法跟踪到数据包流,现在尝试将抓取的https包进行解密。
1、解密https数据包需要设置SSLKEYLOGFILE变量,推荐写入配置文件中。
echo "export SSLKEYLOGFILE=~/ssl.key" >> ~/.bashrc
source ~/.bashrc2、使用tcpdump命令抓取https的数据包。
tcpdump -i eth0 host xxxxx -nn -w https.pacp将生成的ssl.key文件与https.pcap文件存到windows系统上(Debian上安装的wireshark无法设置.ssl.key文件,暂时还不知道原因)
3、打开wireshark,点击编辑->首选项,找到TLS,将ssl.key文件配置进去,这边主要通过ssl.key来解密https包。
4、此时,再去规则中增加http筛选,就能看到解密的数据了。
暂时先记录到这里。