我想观察HTTP协议。 我怎样才能使用Wiresharkfilter来做到这一点?
正如3molo所说。 如果您正在拦截stream量,那么port 443
是您需要的filter。 如果您拥有该站点的私钥,则还可以解密该SSL。 (需要一个支持SSL的版本/版本的Wireshark。)
filter窗口中的tcp.port == 443(mac)
捕获filter中的“端口443”。 请参阅http://wiki.wireshark.org/CaptureFilters
它将被encryption的数据。
过滤tcp.port == 443,然后使用从Web浏览器获取的(Pre)-Master-Secret来解密stream量。
一些有用的链接:
https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/
“自SVN修订版36876以来,当您不拥有服务器密钥但可以访问预主密钥时,也可以解密stream量…总之,应该可以将预主密钥logging到文件与当前版本的Firefox,Chromium或Chrome设置环境variables(SSLKEYLOGFILE =)。当前版本的QT(包括4和5)允许导出预主秘密,但也可以将其固定到/ tmp / qt -ssl-keys,它们需要编译时间选项:对于Java程序,可以从SSLdebugging日志中提取预主控机密,或者直接以Wireshark通过此代理的格式输出。 (jSSLKeyLog)