Como diz o 3molo. Se você está interceptando o tráfego, então port 443é o filtro que você precisa. Se você tiver a chave privada do site, também poderá descriptografar esse SSL . (precisa de uma versão/compilação do Wireshark habilitada para SSL.)
TLS significa Transport Layer Security , que é o sucessor do protocolo SSL. Se você estiver tentando inspecionar uma solicitação HTTPS, esse filtro pode ser o que você está procurando.
"Desde a revisão 36876 do SVN, também é possível descriptografar o tráfego quando você não possui a chave do servidor, mas tem acesso ao segredo pré-mestre... Em resumo, deve ser possível registrar o segredo pré-mestre em um arquivo com uma versão atual do Firefox, Chromium ou Chrome definindo uma variável de ambiente (SSLKEYLOGFILE=). As versões atuais do QT (4 e 5) permitem exportar o segredo pré-mestre também, mas para o caminho fixo /tmp/qt -ssl-keys e eles exigem uma opção de tempo de compilação: para programas Java, os segredos pré-master podem ser extraídos do log de depuração SSL ou enviados diretamente no formato que o Wireshark requer por meio deste agente." (jSSLKeyLog)
tcp.port==443 na janela de filtro (mac)
Como diz o 3molo. Se você está interceptando o tráfego, então
port 443é o filtro que você precisa. Se você tiver a chave privada do site, também poderá descriptografar esse SSL . (precisa de uma versão/compilação do Wireshark habilitada para SSL.)Consulte http://wiki.wireshark.org/SSL
"porta 443" nos filtros de captura. Consulte http://wiki.wireshark.org/CaptureFilters
No entanto, serão dados criptografados.
Você pode usar o filtro "tls":
TLS significa Transport Layer Security , que é o sucessor do protocolo SSL. Se você estiver tentando inspecionar uma solicitação HTTPS, esse filtro pode ser o que você está procurando.
Filtre
tcp.port==443e use o (Pré)-Mestre-Segredo obtido de um navegador da Web para descriptografar o tráfego.Alguns links úteis:
https://security.stackexchange.com/questions/35639/decrypting-tls-in-wireshark-when-using-dhe-rsa-ciphersuites/42350#42350
https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/
"Desde a revisão 36876 do SVN, também é possível descriptografar o tráfego quando você não possui a chave do servidor, mas tem acesso ao segredo pré-mestre... Em resumo, deve ser possível registrar o segredo pré-mestre em um arquivo com uma versão atual do Firefox, Chromium ou Chrome definindo uma variável de ambiente (SSLKEYLOGFILE=). As versões atuais do QT (4 e 5) permitem exportar o segredo pré-mestre também, mas para o caminho fixo /tmp/qt -ssl-keys e eles exigem uma opção de tempo de compilação: para programas Java, os segredos pré-master podem ser extraídos do log de depuração SSL ou enviados diretamente no formato que o Wireshark requer por meio deste agente." (jSSLKeyLog)
Respondendo porque estava procurando algo parecido.
Quando você usa
tcp.port, parece mostrar apenas metade da conversa. Para mostrar onde 443 é origem ou destino:tcp.srcport == 443 || tcp.dstport == 443se você quiser ver HTTP e HTTPS (tráfego criptografado com TLS), este filtro é útil
http.request or tls.handshake.type == 1