วิธีอ่านการรับส่งข้อมูล HTTPS ใน Wireshark

Wireshark เป็นเครื่องมือวิเคราะห์แพ็กเก็ตแบบโอเพ่นซอร์สที่ได้รับความนิยมซึ่งมีฟีเจอร์ที่สะดวกมากมายสำหรับการวิเคราะห์เครือข่าย การแก้ไขปัญหา การศึกษา และอื่นๆ อีกมากมาย ผู้ที่ต้องการใช้ Wireshark เป็นครั้งแรกและผู้ที่เคยใช้งานมาแล้วมักจะสงสัยเกี่ยวกับการอ่านทราฟฟิก HTTPS

หากคุณเป็นหนึ่งในนั้น คุณมาถูกที่แล้ว ที่นี่ เราจะอธิบายว่า HTTPS คืออะไรและทำงานอย่างไร จากนั้น เราจะคุยกันว่าคุณสามารถอ่านทราฟฟิก HTTPS ได้หรือไม่ สาเหตุที่อาจเป็นปัญหา และสิ่งที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้

HTTPS คืออะไร?

Hypertext Transfer Protocol Secure (HTTPS) แสดงถึงเวอร์ชันที่ปลอดภัยของ HTTP ที่รับประกันการถ่ายโอนข้อมูลและการสื่อสารที่ปลอดภัยระหว่างเว็บเบราว์เซอร์และเว็บไซต์

HTTPS รับประกันความปลอดภัยและป้องกันการดักฟัง การโจรกรรมข้อมูลส่วนตัว การโจมตีจากคนกลาง และภัยคุกคามด้านความปลอดภัยอื่นๆ ทุกวันนี้ เว็บไซต์ที่ขอให้คุณป้อนข้อมูลหรือสร้างบัญชีมี HTTPS เพื่อปกป้องคุณ

HTTPS ป้องกันภัยคุกคามความปลอดภัยและการโจมตีที่เป็นอันตรายโดยการเข้ารหัสการแลกเปลี่ยนทั้งหมดระหว่างเว็บเบราว์เซอร์และเซิร์ฟเวอร์

สิ่งสำคัญคือต้องชี้แจงว่า HTTPS ไม่ได้แยกจาก HTTP แต่เป็นตัวแปร HTTP ที่ใช้การเข้ารหัสเฉพาะ เช่น Secure Socket Layer (SSL) และ Transport Layer Security (TLS) เพื่อรักษาความปลอดภัยในการสื่อสาร เมื่อเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์สื่อสารกันผ่าน HTTPS เว็บเบราว์เซอร์จะทำงานร่วมกันใน SSL/TLS เช่น การแลกเปลี่ยนใบรับรองความปลอดภัย

คุณจะทราบได้อย่างไรว่าการสื่อสารไปยังเว็บไซต์ปลอดภัยด้วย HTTPS เพียงแค่ดูที่แถบที่อยู่ หากคุณเห็น “https” ที่ส่วนต้นของ URL แสดงว่าการเชื่อมต่อของคุณปลอดภัย

Wireshark วิธีอ่านการรับส่งข้อมูล HTTPS

คุณสมบัติหลักประการหนึ่งของ HTTPS คือมีการเข้ารหัส แม้ว่านี่จะเป็นข้อได้เปรียบเมื่อคุณซื้อของออนไลน์หรือทิ้งข้อมูลส่วนบุคคลไว้บนเว็บไซต์ แต่ก็อาจเป็นข้อเสียได้เมื่อคุณติดตามเพื่อติดตามปริมาณการใช้งานเว็บและวิเคราะห์เครือข่ายของคุณ

เนื่องจาก HTTPS ได้รับการเข้ารหัส จึงไม่มีทางอ่านได้ใน Wireshark แต่คุณสามารถแสดงแพ็กเก็ต SSL และ TLS และถอดรหัสเป็น HTTPS ได้

ทำตามขั้นตอนเหล่านี้เพื่ออ่านแพ็กเก็ต SSL และ TLS ใน Wireshark:

เปิด Wireshark แล้วเลือกสิ่งที่คุณต้องการจับภาพในเมนู 'จับภาพ'
ในบานหน้าต่าง “Packet List” ให้โฟกัสที่คอลัมน์ “Protocol” แล้วมองหา “SSL”
ค้นหาแพ็คเก็ต SSL หรือ TLS ที่คุณสนใจและเปิด

วิธีถอดรหัส SSL ใน Wireshark

วิธีการถอดรหัส SSL ที่แนะนำคือการใช้รหัสลับพรีมาสเตอร์ คุณจะต้องดำเนินการสี่ขั้นตอนเหล่านี้:

ตั้งค่าตัวแปรสภาพแวดล้อม
เปิดเบราว์เซอร์ของคุณ
กำหนดการตั้งค่าของคุณใน Wireshark
จับและถอดรหัสเซสชันคีย์

เรามาดูรายละเอียดแต่ละขั้นตอนกันดีกว่า

ตั้งค่าตัวแปรสภาพแวดล้อม

ตัวแปรสภาพแวดล้อมคือค่าที่กำหนดวิธีที่คอมพิวเตอร์ของคุณจัดการกับกระบวนการต่างๆ หากคุณต้องการถอดรหัส SSL และ TLS คุณต้องตั้งค่าตัวแปรสภาพแวดล้อมให้ถูกต้องก่อน วิธีที่คุณจะดำเนินการนี้ขึ้นอยู่กับระบบปฏิบัติการของคุณ

ตั้งค่าตัวแปรสภาพแวดล้อมใน Windows

ผู้ใช้ Windows ควรทำตามขั้นตอนเหล่านี้เพื่อตั้งค่าตัวแปรสภาพแวดล้อม:

เปิดเมนูเริ่ม
เปิด 'แผงควบคุม'
ไปที่ “ระบบและความปลอดภัย”
เลือก “ระบบ”
เลื่อนลงและเลือก “การตั้งค่าระบบขั้นสูง”
ตรวจสอบอีกครั้งว่าคุณอยู่ในส่วน 'ขั้นสูง' แล้วกด 'ตัวแปรสภาพแวดล้อม'
กด 'ใหม่' ใต้ 'ตัวแปรผู้ใช้'
พิมพ์ “SSLKEYLOGFILE” ใต้ “ชื่อตัวแปร”
ในส่วน 'ค่าตัวแปร' ให้ป้อนหรือเรียกดูเส้นทางไปยังไฟล์บันทึก
กด “ตกลง”

ตั้งค่าตัวแปรสภาพแวดล้อมใน Mac หรือ Linux

หากคุณเป็นผู้ใช้ Linux หรือ Mac คุณจะต้องใช้นาโนเพื่อตั้งค่าตัวแปรสภาพแวดล้อม

ผู้ใช้ Linux ควรเปิดเทอร์มินัลแล้วป้อนคำสั่งนี้: “nano ~/ .bashrc” ผู้ใช้ Mac ควรเปิด Launchpad กด “Other” และเปิดเทอร์มินัล จากนั้นควรป้อนคำสั่งนี้: “nano ~/ .bash_profile”

จากนั้นทั้งผู้ใช้ Linux และ Mac ควรทำตามขั้นตอนเหล่านี้เพื่อดำเนินการต่อ:

วิธีทำให้ภาพไม่เบลอ

เพิ่มไฟล์นี้ที่ท้ายไฟล์: “export SSLKEYLOGFILE=~/.ssl-key.log”
บันทึกการเปลี่ยนแปลงของคุณ
ปิดหน้าต่างเทอร์มินัลแล้วเปิดอีกหน้าต่างหนึ่ง ป้อนบรรทัดนี้: “echo $SSKEYLOGFILE”
ตอนนี้คุณควรเห็นเส้นทางแบบเต็มไปยังบันทึกพรีมาสเตอร์คีย์ SSL ของคุณ คัดลอกเส้นทางนี้เพื่อบันทึกในภายหลัง เนื่องจากคุณจะต้องป้อนเส้นทางนี้ใน Wireshark

เปิดเบราว์เซอร์ของคุณ

ขั้นตอนที่สองคือการเปิดใช้เบราว์เซอร์ของคุณเพื่อให้แน่ใจว่ามีการใช้ไฟล์บันทึก คุณต้องเปิดเบราว์เซอร์และเยี่ยมชมเว็บไซต์ที่เปิดใช้งาน SSL

หลังจากที่คุณเข้าชมเว็บไซต์ดังกล่าวแล้ว ให้ตรวจสอบไฟล์ของคุณเพื่อดูข้อมูล ใน Windows คุณควรใช้ Notepad ในขณะที่ Mac และ Linux คุณควรใช้คำสั่งนี้: “cat ~/ .ssl-log.key”

กำหนดค่า Wireshark

หลังจากที่คุณสร้างเบราว์เซอร์ที่บันทึกพรีมาสเตอร์คีย์ในตำแหน่งที่ต้องการแล้ว ก็ถึงเวลากำหนดค่า Wireshark หลังจากกำหนดค่าแล้ว Wireshark ควรจะสามารถใช้คีย์เพื่อถอดรหัส SSL ได้

ทำตามขั้นตอนด้านล่างเพื่อทำ:

เปิด Wireshark แล้วไปที่ “แก้ไข”
คลิกที่ 'การตั้งค่า'
ขยาย “โปรโตคอล”
เลื่อนลงและเลือก “SSL”
ค้นหา “(Pre)-ชื่อไฟล์บันทึกของ Master Secret” และป้อนเส้นทางที่คุณตั้งค่าไว้ในขั้นตอนแรก
กด “ตกลง”

จับและถอดรหัสคีย์เซสชัน

ตอนนี้คุณได้กำหนดค่าทุกอย่างแล้ว ก็ถึงเวลาตรวจสอบว่า Wireshark ถอดรหัส SSL หรือไม่ นี่คือสิ่งที่คุณต้องทำ:

เปิดใช้ Wireshark และเริ่มเซสชันการดักจับที่ไม่มีการกรอง
ย่อขนาดหน้าต่าง Wireshark และเปิดเบราว์เซอร์ของคุณ
ไปที่เว็บไซต์ที่ปลอดภัยเพื่อรับข้อมูล
กลับไปที่ Wireshark แล้วเลือกเฟรมที่มีข้อมูลที่เข้ารหัส
ค้นหา 'Packet byte view' และดูข้อมูล 'Decrypted SSL' ตอนนี้ HTML ควรจะมองเห็นได้แล้ว

Wireshark เสนอฟีเจอร์อำนวยความสะดวกอะไรบ้าง?

หนึ่งในเหตุผลที่ Wireshark เป็นเครื่องมือวิเคราะห์แพ็กเก็ตเครือข่ายชั้นนำคือมีตัวเลือกที่สะดวกมากมายซึ่งช่วยปรับปรุงประสบการณ์ผู้ใช้ของคุณ นี่คือบางส่วนของพวกเขา:

การเข้ารหัสสี

การหาข้อมูลจำนวนมากอาจใช้เวลานานและเหนื่อยล้า Wireshark พยายามช่วยคุณแยกประเภทแพ็คเก็ตต่างๆ ด้วยระบบรหัสสีที่ไม่เหมือนใคร ที่นี่ คุณสามารถดูสีเริ่มต้นสำหรับประเภทแพ็คเก็ตหลัก:

สีฟ้าอ่อน – UDP
สีม่วงอ่อน – TCP
สีเขียวอ่อน – ทราฟฟิก HTTP
สีเหลืองอ่อน – การรับส่งข้อมูลเฉพาะ Windows (รวมถึง Server Message Blocks (SMB) และ NetBIOS
สีเหลืองเข้ม - การกำหนดเส้นทาง
สีเทาเข้ม – การรับส่งข้อมูล TCP SYN, ACK และ FIN
สีดำ – แพ็คเก็ตที่มีข้อผิดพลาด

คุณสามารถดูรูปแบบการระบายสีทั้งหมดได้โดยไปที่ 'มุมมอง' แล้วเลือก 'กฎการระบายสี'

Wireshark อนุญาตให้คุณปรับแต่งกฎการระบายสีของคุณเองตามความชอบของคุณในการตั้งค่าเดียวกัน หากคุณไม่ต้องการลงสีใดๆ ให้เปลี่ยนปุ่มเปิด/ปิดที่อยู่ถัดจาก “Colorize Packet List”

เมตริกและสถิติ

Wireshark มีตัวเลือกมากมายสำหรับการเรียนรู้เพิ่มเติมเกี่ยวกับการจับภาพของคุณ ตัวเลือกเหล่านี้จะอยู่ในเมนู 'สถิติ' ที่ด้านบนของหน้าต่าง

ขึ้นอยู่กับสิ่งที่คุณสนใจ คุณสามารถตรวจสอบสถิติเกี่ยวกับคุณสมบัติไฟล์การจับภาพ ที่อยู่ที่ได้รับการแก้ไข ความยาวของแพ็กเก็ต จุดสิ้นสุด และอื่นๆ อีกมากมาย

บรรทัดคำสั่ง

หากคุณมีระบบที่ไม่มีส่วนต่อประสานกราฟิกกับผู้ใช้ (GUI) คุณจะดีใจที่รู้ว่า Wireshark มีฟีเจอร์นี้

โหมดสำส่อน

ตามค่าเริ่มต้น Wireshark ให้คุณบันทึกแพ็กเก็ตที่เข้าและออกจากคอมพิวเตอร์ที่คุณใช้ แต่ถ้าคุณเปิดใช้งานโหมดสำส่อน คุณจะสามารถบันทึกการรับส่งข้อมูลส่วนใหญ่บนเครือข่ายท้องถิ่น (LAN) ทั้งหมดได้

คำถามที่พบบ่อย

ฉันสามารถกรองข้อมูลแพ็กเก็ตใน Wireshark ได้หรือไม่

ใช่ Wireshark มีตัวเลือกการกรองขั้นสูงที่ให้คุณแสดงข้อมูลที่เกี่ยวข้องได้ภายในไม่กี่วินาที

แพลตฟอร์มนี้มีตัวกรองสองประเภท: จับภาพและแสดงผล ใช้ตัวกรองการจับภาพในขณะที่เก็บข้อมูล คุณสามารถตั้งค่าก่อนที่จะเริ่มการจับแพ็กเก็ตและไม่สามารถแก้ไขได้ในระหว่างกระบวนการ ตัวกรองเหล่านี้เป็นวิธีง่ายๆ ในการค้นหาข้อมูลที่คุณสนใจอย่างรวดเร็ว หาก Wireshark รวบรวมข้อมูลที่ไม่ตรงกับตัวกรองที่คุณตั้งไว้ ก็จะไม่แสดงข้อมูลเหล่านั้น

ตัวกรองการแสดงผลจะถูกใช้หลังจากกระบวนการจับภาพ ซึ่งแตกต่างจากตัวกรองการจับภาพที่ละทิ้งข้อมูลที่ไม่ตรงกับเกณฑ์ที่ตั้งไว้ ตัวกรองการแสดงผลเพียงแค่ซ่อนข้อมูลนี้จากรายการ ซึ่งจะช่วยให้คุณมองเห็นภาพที่ถ่ายได้ชัดเจนยิ่งขึ้น และช่วยให้คุณค้นหาสิ่งที่ต้องการได้อย่างง่ายดาย

หากคุณใช้ตัวกรองจำนวนมากใน Wireshark และมีปัญหาในการจดจำ คุณจะดีใจที่รู้ว่า Wireshark ช่วยให้คุณบันทึกตัวกรองของคุณได้ ด้วยวิธีนี้ คุณไม่ต้องกังวลว่าจะลืมไวยากรณ์ที่ถูกต้องหรือใช้ตัวกรองผิด คุณสามารถบันทึกตัวกรองของคุณได้โดยกดไอคอนบุ๊กมาร์กถัดจากฟิลด์ตัวกรอง

การวิเคราะห์เครือข่ายหลักด้วย Wireshark

ด้วยตัวเลือกการวิเคราะห์แพ็คเก็ตที่น่าประทับใจ Wireshark ช่วยให้คุณได้รับมุมมองเชิงลึกของทราฟฟิกที่เข้าและออกจากเครือข่ายของคุณ แม้ว่าจะมีฟีเจอร์ขั้นสูง แต่ Wireshark ก็มีอินเทอร์เฟซที่เรียบง่ายและใช้งานง่าย ดังนั้นแม้แต่ผู้ที่ยังใหม่กับโลกแห่งการวิเคราะห์แพ็กเก็ตก็สามารถเรียนรู้ได้อย่างรวดเร็ว การอ่านการรับส่งข้อมูล HTTPS อาจไม่ตรงไปตรงมา แต่เป็นไปได้หากคุณถอดรหัสแพ็กเก็ต SSL