如何在使用Wireshark监视stream量时过滤https?

我想观察HTTP协议。 我怎样才能使用Wiresharkfilter来做到这一点?

正如3molo所说。 如果您正在拦截stream量,那么port 443是您需要的filter。 如果您拥有该站点的私钥,则还可以解密该SSL。 (需要一个支持SSL的版本/版本的Wireshark。)

http://wiki.wireshark.org/SSL

filter窗口中的tcp.port == 443(mac)

捕获filter中的“端口443”。 请参阅http://wiki.wireshark.org/CaptureFilters

它将被encryption的数据。

过滤tcp.port == 443,然后使用从Web浏览器获取的(Pre)-Master-Secret来解密stream量。

一些有用的链接:

https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/

“自SVN修订版36876以来,当您不拥有服务器密钥但可以访问预主密钥时,也可以解密stream量…总之,应该可以将预主密钥logging到文件与当前版本的Firefox,Chromium或Chrome设置环境variables(SSLKEYLOGFILE =)。当前版本的QT(包括4和5)允许导出预主秘密,但也可以将其固定到/ tmp / qt -ssl-keys,它们需要编译时间选项:对于Java程序,可以从SSLdebugging日志中提取预主控机密,或者直接以Wireshark通过此代理的格式输出。 (jSSLKeyLog)