Wireshark เป็นเครื่องมือวิเคราะห์แพ็กเก็ตแบบโอเพ่นซอร์สที่ได้รับความนิยมซึ่งมีฟีเจอร์ที่สะดวกมากมายสำหรับการวิเคราะห์เครือข่าย การแก้ไขปัญหา การศึกษา และอื่นๆ อีกมากมาย ผู้ที่ต้องการใช้ Wireshark เป็นครั้งแรกและผู้ที่เคยใช้งานมาแล้วมักจะสงสัยเกี่ยวกับการอ่านทราฟฟิก HTTPS
หากคุณเป็นหนึ่งในนั้น คุณมาถูกที่แล้ว ที่นี่ เราจะอธิบายว่า HTTPS คืออะไรและทำงานอย่างไร จากนั้น เราจะคุยกันว่าคุณสามารถอ่านทราฟฟิก HTTPS ได้หรือไม่ สาเหตุที่อาจเป็นปัญหา และสิ่งที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้
HTTPS คืออะไร?
Hypertext Transfer Protocol Secure (HTTPS) แสดงถึงเวอร์ชันที่ปลอดภัยของ HTTP ที่รับประกันการถ่ายโอนข้อมูลและการสื่อสารที่ปลอดภัยระหว่างเว็บเบราว์เซอร์และเว็บไซต์
HTTPS รับประกันความปลอดภัยและป้องกันการดักฟัง การโจรกรรมข้อมูลส่วนตัว การโจมตีจากคนกลาง และภัยคุกคามด้านความปลอดภัยอื่นๆ ทุกวันนี้ เว็บไซต์ที่ขอให้คุณป้อนข้อมูลหรือสร้างบัญชีมี HTTPS เพื่อปกป้องคุณ
HTTPS ป้องกันภัยคุกคามความปลอดภัยและการโจมตีที่เป็นอันตรายโดยการเข้ารหัสการแลกเปลี่ยนทั้งหมดระหว่างเว็บเบราว์เซอร์และเซิร์ฟเวอร์
สิ่งสำคัญคือต้องชี้แจงว่า HTTPS ไม่ได้แยกจาก HTTP แต่เป็นตัวแปร HTTP ที่ใช้การเข้ารหัสเฉพาะ เช่น Secure Socket Layer (SSL) และ Transport Layer Security (TLS) เพื่อรักษาความปลอดภัยในการสื่อสาร เมื่อเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์สื่อสารกันผ่าน HTTPS เว็บเบราว์เซอร์จะทำงานร่วมกันใน SSL/TLS เช่น การแลกเปลี่ยนใบรับรองความปลอดภัย
คุณจะทราบได้อย่างไรว่าการสื่อสารไปยังเว็บไซต์ปลอดภัยด้วย HTTPS เพียงแค่ดูที่แถบที่อยู่ หากคุณเห็น “https” ที่ส่วนต้นของ URL แสดงว่าการเชื่อมต่อของคุณปลอดภัย
Wireshark วิธีอ่านการรับส่งข้อมูล HTTPS
คุณสมบัติหลักประการหนึ่งของ HTTPS คือมีการเข้ารหัส แม้ว่านี่จะเป็นข้อได้เปรียบเมื่อคุณซื้อของออนไลน์หรือทิ้งข้อมูลส่วนบุคคลไว้บนเว็บไซต์ แต่ก็อาจเป็นข้อเสียได้เมื่อคุณติดตามเพื่อติดตามปริมาณการใช้งานเว็บและวิเคราะห์เครือข่ายของคุณ
เนื่องจาก HTTPS ได้รับการเข้ารหัส จึงไม่มีทางอ่านได้ใน Wireshark แต่คุณสามารถแสดงแพ็กเก็ต SSL และ TLS และถอดรหัสเป็น HTTPS ได้
ทำตามขั้นตอนเหล่านี้เพื่ออ่านแพ็กเก็ต SSL และ TLS ใน Wireshark:
- เปิด Wireshark แล้วเลือกสิ่งที่คุณต้องการจับภาพในเมนู 'จับภาพ'
- ในบานหน้าต่าง “Packet List” ให้โฟกัสที่คอลัมน์ “Protocol” แล้วมองหา “SSL”
- ค้นหาแพ็คเก็ต SSL หรือ TLS ที่คุณสนใจและเปิด
วิธีถอดรหัส SSL ใน Wireshark
วิธีการถอดรหัส SSL ที่แนะนำคือการใช้รหัสลับพรีมาสเตอร์ คุณจะต้องดำเนินการสี่ขั้นตอนเหล่านี้:
- ตั้งค่าตัวแปรสภาพแวดล้อม
- เปิดเบราว์เซอร์ของคุณ
- กำหนดการตั้งค่าของคุณใน Wireshark
- จับและถอดรหัสเซสชันคีย์
เรามาดูรายละเอียดแต่ละขั้นตอนกันดีกว่า
ตั้งค่าตัวแปรสภาพแวดล้อม
ตัวแปรสภาพแวดล้อมคือค่าที่กำหนดวิธีที่คอมพิวเตอร์ของคุณจัดการกับกระบวนการต่างๆ หากคุณต้องการถอดรหัส SSL และ TLS คุณต้องตั้งค่าตัวแปรสภาพแวดล้อมให้ถูกต้องก่อน วิธีที่คุณจะดำเนินการนี้ขึ้นอยู่กับระบบปฏิบัติการของคุณ
ตั้งค่าตัวแปรสภาพแวดล้อมใน Windows
ผู้ใช้ Windows ควรทำตามขั้นตอนเหล่านี้เพื่อตั้งค่าตัวแปรสภาพแวดล้อม:
- เปิดเมนูเริ่ม
- เปิด 'แผงควบคุม'
- ไปที่ “ระบบและความปลอดภัย”
- เลือก “ระบบ”
- เลื่อนลงและเลือก “การตั้งค่าระบบขั้นสูง”
- ตรวจสอบอีกครั้งว่าคุณอยู่ในส่วน 'ขั้นสูง' แล้วกด 'ตัวแปรสภาพแวดล้อม'
- กด 'ใหม่' ใต้ 'ตัวแปรผู้ใช้'
- พิมพ์ “SSLKEYLOGFILE” ใต้ “ชื่อตัวแปร”
- ในส่วน 'ค่าตัวแปร' ให้ป้อนหรือเรียกดูเส้นทางไปยังไฟล์บันทึก
- กด “ตกลง”
ตั้งค่าตัวแปรสภาพแวดล้อมใน Mac หรือ Linux
หากคุณเป็นผู้ใช้ Linux หรือ Mac คุณจะต้องใช้นาโนเพื่อตั้งค่าตัวแปรสภาพแวดล้อม
ผู้ใช้ Linux ควรเปิดเทอร์มินัลแล้วป้อนคำสั่งนี้: “nano ~/ .bashrc” ผู้ใช้ Mac ควรเปิด Launchpad กด “Other” และเปิดเทอร์มินัล จากนั้นควรป้อนคำสั่งนี้: “nano ~/ .bash_profile”
จากนั้นทั้งผู้ใช้ Linux และ Mac ควรทำตามขั้นตอนเหล่านี้เพื่อดำเนินการต่อ:
วิธีทำให้ภาพไม่เบลอ
- เพิ่มไฟล์นี้ที่ท้ายไฟล์: “export SSLKEYLOGFILE=~/.ssl-key.log”
- บันทึกการเปลี่ยนแปลงของคุณ
- ปิดหน้าต่างเทอร์มินัลแล้วเปิดอีกหน้าต่างหนึ่ง ป้อนบรรทัดนี้: “echo $SSKEYLOGFILE”
- ตอนนี้คุณควรเห็นเส้นทางแบบเต็มไปยังบันทึกพรีมาสเตอร์คีย์ SSL ของคุณ คัดลอกเส้นทางนี้เพื่อบันทึกในภายหลัง เนื่องจากคุณจะต้องป้อนเส้นทางนี้ใน Wireshark
เปิดเบราว์เซอร์ของคุณ
ขั้นตอนที่สองคือการเปิดใช้เบราว์เซอร์ของคุณเพื่อให้แน่ใจว่ามีการใช้ไฟล์บันทึก คุณต้องเปิดเบราว์เซอร์และเยี่ยมชมเว็บไซต์ที่เปิดใช้งาน SSL
หลังจากที่คุณเข้าชมเว็บไซต์ดังกล่าวแล้ว ให้ตรวจสอบไฟล์ของคุณเพื่อดูข้อมูล ใน Windows คุณควรใช้ Notepad ในขณะที่ Mac และ Linux คุณควรใช้คำสั่งนี้: “cat ~/ .ssl-log.key”
กำหนดค่า Wireshark
หลังจากที่คุณสร้างเบราว์เซอร์ที่บันทึกพรีมาสเตอร์คีย์ในตำแหน่งที่ต้องการแล้ว ก็ถึงเวลากำหนดค่า Wireshark หลังจากกำหนดค่าแล้ว Wireshark ควรจะสามารถใช้คีย์เพื่อถอดรหัส SSL ได้
ทำตามขั้นตอนด้านล่างเพื่อทำ:
- เปิด Wireshark แล้วไปที่ “แก้ไข”
- คลิกที่ 'การตั้งค่า'
- ขยาย “โปรโตคอล”
- เลื่อนลงและเลือก “SSL”
- ค้นหา “(Pre)-ชื่อไฟล์บันทึกของ Master Secret” และป้อนเส้นทางที่คุณตั้งค่าไว้ในขั้นตอนแรก
- กด “ตกลง”
จับและถอดรหัสคีย์เซสชัน
ตอนนี้คุณได้กำหนดค่าทุกอย่างแล้ว ก็ถึงเวลาตรวจสอบว่า Wireshark ถอดรหัส SSL หรือไม่ นี่คือสิ่งที่คุณต้องทำ:
- เปิดใช้ Wireshark และเริ่มเซสชันการดักจับที่ไม่มีการกรอง
- ย่อขนาดหน้าต่าง Wireshark และเปิดเบราว์เซอร์ของคุณ
- ไปที่เว็บไซต์ที่ปลอดภัยเพื่อรับข้อมูล
- กลับไปที่ Wireshark แล้วเลือกเฟรมที่มีข้อมูลที่เข้ารหัส
- ค้นหา 'Packet byte view' และดูข้อมูล 'Decrypted SSL' ตอนนี้ HTML ควรจะมองเห็นได้แล้ว
Wireshark เสนอฟีเจอร์อำนวยความสะดวกอะไรบ้าง?
หนึ่งในเหตุผลที่ Wireshark เป็นเครื่องมือวิเคราะห์แพ็กเก็ตเครือข่ายชั้นนำคือมีตัวเลือกที่สะดวกมากมายซึ่งช่วยปรับปรุงประสบการณ์ผู้ใช้ของคุณ นี่คือบางส่วนของพวกเขา:
การเข้ารหัสสี
การหาข้อมูลจำนวนมากอาจใช้เวลานานและเหนื่อยล้า Wireshark พยายามช่วยคุณแยกประเภทแพ็คเก็ตต่างๆ ด้วยระบบรหัสสีที่ไม่เหมือนใคร ที่นี่ คุณสามารถดูสีเริ่มต้นสำหรับประเภทแพ็คเก็ตหลัก:
- สีฟ้าอ่อน – UDP
- สีม่วงอ่อน – TCP
- สีเขียวอ่อน – ทราฟฟิก HTTP
- สีเหลืองอ่อน – การรับส่งข้อมูลเฉพาะ Windows (รวมถึง Server Message Blocks (SMB) และ NetBIOS
- สีเหลืองเข้ม - การกำหนดเส้นทาง
- สีเทาเข้ม – การรับส่งข้อมูล TCP SYN, ACK และ FIN
- สีดำ – แพ็คเก็ตที่มีข้อผิดพลาด
คุณสามารถดูรูปแบบการระบายสีทั้งหมดได้โดยไปที่ 'มุมมอง' แล้วเลือก 'กฎการระบายสี'
Wireshark อนุญาตให้คุณปรับแต่งกฎการระบายสีของคุณเองตามความชอบของคุณในการตั้งค่าเดียวกัน หากคุณไม่ต้องการลงสีใดๆ ให้เปลี่ยนปุ่มเปิด/ปิดที่อยู่ถัดจาก “Colorize Packet List”
เมตริกและสถิติ
Wireshark มีตัวเลือกมากมายสำหรับการเรียนรู้เพิ่มเติมเกี่ยวกับการจับภาพของคุณ ตัวเลือกเหล่านี้จะอยู่ในเมนู 'สถิติ' ที่ด้านบนของหน้าต่าง
ขึ้นอยู่กับสิ่งที่คุณสนใจ คุณสามารถตรวจสอบสถิติเกี่ยวกับคุณสมบัติไฟล์การจับภาพ ที่อยู่ที่ได้รับการแก้ไข ความยาวของแพ็กเก็ต จุดสิ้นสุด และอื่นๆ อีกมากมาย
บรรทัดคำสั่ง
หากคุณมีระบบที่ไม่มีส่วนต่อประสานกราฟิกกับผู้ใช้ (GUI) คุณจะดีใจที่รู้ว่า Wireshark มีฟีเจอร์นี้
โหมดสำส่อน
ตามค่าเริ่มต้น Wireshark ให้คุณบันทึกแพ็กเก็ตที่เข้าและออกจากคอมพิวเตอร์ที่คุณใช้ แต่ถ้าคุณเปิดใช้งานโหมดสำส่อน คุณจะสามารถบันทึกการรับส่งข้อมูลส่วนใหญ่บนเครือข่ายท้องถิ่น (LAN) ทั้งหมดได้
คำถามที่พบบ่อย
ฉันสามารถกรองข้อมูลแพ็กเก็ตใน Wireshark ได้หรือไม่
ใช่ Wireshark มีตัวเลือกการกรองขั้นสูงที่ให้คุณแสดงข้อมูลที่เกี่ยวข้องได้ภายในไม่กี่วินาที
แพลตฟอร์มนี้มีตัวกรองสองประเภท: จับภาพและแสดงผล ใช้ตัวกรองการจับภาพในขณะที่เก็บข้อมูล คุณสามารถตั้งค่าก่อนที่จะเริ่มการจับแพ็กเก็ตและไม่สามารถแก้ไขได้ในระหว่างกระบวนการ ตัวกรองเหล่านี้เป็นวิธีง่ายๆ ในการค้นหาข้อมูลที่คุณสนใจอย่างรวดเร็ว หาก Wireshark รวบรวมข้อมูลที่ไม่ตรงกับตัวกรองที่คุณตั้งไว้ ก็จะไม่แสดงข้อมูลเหล่านั้น
ตัวกรองการแสดงผลจะถูกใช้หลังจากกระบวนการจับภาพ ซึ่งแตกต่างจากตัวกรองการจับภาพที่ละทิ้งข้อมูลที่ไม่ตรงกับเกณฑ์ที่ตั้งไว้ ตัวกรองการแสดงผลเพียงแค่ซ่อนข้อมูลนี้จากรายการ ซึ่งจะช่วยให้คุณมองเห็นภาพที่ถ่ายได้ชัดเจนยิ่งขึ้น และช่วยให้คุณค้นหาสิ่งที่ต้องการได้อย่างง่ายดาย
หากคุณใช้ตัวกรองจำนวนมากใน Wireshark และมีปัญหาในการจดจำ คุณจะดีใจที่รู้ว่า Wireshark ช่วยให้คุณบันทึกตัวกรองของคุณได้ ด้วยวิธีนี้ คุณไม่ต้องกังวลว่าจะลืมไวยากรณ์ที่ถูกต้องหรือใช้ตัวกรองผิด คุณสามารถบันทึกตัวกรองของคุณได้โดยกดไอคอนบุ๊กมาร์กถัดจากฟิลด์ตัวกรอง
การวิเคราะห์เครือข่ายหลักด้วย Wireshark
ด้วยตัวเลือกการวิเคราะห์แพ็คเก็ตที่น่าประทับใจ Wireshark ช่วยให้คุณได้รับมุมมองเชิงลึกของทราฟฟิกที่เข้าและออกจากเครือข่ายของคุณ แม้ว่าจะมีฟีเจอร์ขั้นสูง แต่ Wireshark ก็มีอินเทอร์เฟซที่เรียบง่ายและใช้งานง่าย ดังนั้นแม้แต่ผู้ที่ยังใหม่กับโลกแห่งการวิเคราะห์แพ็กเก็ตก็สามารถเรียนรู้ได้อย่างรวดเร็ว การอ่านการรับส่งข้อมูล HTTPS อาจไม่ตรงไปตรงมา แต่เป็นไปได้หากคุณถอดรหัสแพ็กเก็ต SSL
แปลง pdf เป็น google doc
คุณชอบอะไรมากที่สุดเกี่ยวกับ Wireshark คุณเคยมีปัญหากับมันบ้างไหม? บอกเราในส่วนความคิดเห็นด้านล่าง