通过Wireshark 解密展示 https和quic数据明文

最新推荐文章于 2026-06-22 16:31:54 发布
原创 最新推荐文章于 2026-06-22 16:31:54 发布 · 6.2k 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#wireshark #https
本文介绍了如何使用Wireshark解密HTTPS和QUIC数据包,详细步骤包括设置Linux环境变量SSLKEYLOGFILE,利用tcpdump抓包,以及在Wireshark中配置SSL密钥日志文件,最终实现数据明文展示。

通过Wireshark 解密展示 https和quic数据明文

wireshark 可以观察http方式的各种信息,方便分析问题,对于https或者quic 加密处理的如何展示明文?

解密https包

  • tcpdump 抓包

    # tcpdump  -ni any port 443 -w https.pcap

  • linux 设置环境变量SSLKEYLOGFILE,访问支持https 的网站

    # export SSLKEYLOGFILE=~/sslkeylog.log
# curl -v https://www.baidu.com/ -o /dev/null

  • 将抓到的包 baidu.pcap 和 密钥记录日志文件sslkeylog.log 放到我们的windows/mac 上 (本人win10)

  • 打开wireshark 软件设置: [编辑]-[首选项]-[协议]-[TLS]-[(Pre)-Master-Secret log filename] 选中sslkeylog.log ,如下
    wireshark 配置

*在 wireshark 打开刚才抓的包https.pcap,查看
在这里插入图片描述

quic 包解密

quic(http3) 数据包的解密和上述https 过程基本一致,
不同点:
想要抓到quic包,需用通过某种方式对支持quic 的网站发起请求,因笔者当前正在学习 quic 相关,已重新安装curl 支持http3的版本。

  • 安装curl
    参考: https://github.com/curl/curl/blob/master/docs/HTTP3.md#quiche-version

  • tcpdump 抓包

    # tcpdump  -ni any port 443 -w quic.pcap

  • linux 设置环境变量SSLKEYLOGFILE,访问支持https 的网站

    # export SSLKEYLOGFILE=~/sslkeylog.log
# curl --http3 https://cloudflare-quic.com -v  -o /dev/null

  • wireshark 查看quic.pcap (未配置sslkeylog.log)效果, 协议为quic,加密文本
    quic

  • 导入sslkeylog.log 文件(重新从linux 拿下来并配置wireshark: [编辑]-[首选项]-[协议]-[TLS]-[(Pre)-Master-Secret log filename] ),效果图, 显示了HTTP3 协议,可跟追
    在这里插入图片描述
    追踪流 --> quic strema 查看明文内容
    quic stream
    quic stream show

Wireshark 在 Firefox 或 Google Chrome 上使用 SSLKEYLOGFILE 环境变量解密 SSL 流量
qq_41638872的博客
11-06 7010
记录 SSL 会话密钥的其他方法是使用 K10209:使用 ssldump 实用程序进行数据包跟踪概述中描述的 ssldump 命令,或使用 K16700:使用 SSL::sessionsecret iRules 命令 (11.6.x) 解密 SSL 流量中描述的 iRules。注意:在 Wireshark 中执行上传 SSL 密钥日志文件过程并查看解密数据包捕获文件后,可以通过输入以下命令删除 SSL 日志文件以还原更改:export SSLKEYLOGFILE=“”。
【网络技术】【Kali Linux】Wireshark嗅探(十四)QUIC(快速UDP互联网连接)协议报文捕获及分析
weixin_43031313的博客
05-24 1628
QUIC(读作“quick”)是一个通用的传输层网络协议,最初由Google的Jim Roskind设计。该协议于2012年实现并部署,2013年随着实验范围的扩大而公开发布,并向IETF描述。虽然长期处于互联网草案阶段,但从Chrome浏览器至Google服务器的连接中超过一半的连接都使用了QUIC。Microsoft Edge、Firefox都已支持此协议;Safari实现了QUIC,但默认情况下没有启用。QUIC于RFC9000中被正式标准化。QUIC最初是“快速UDP互联网连接”(QuickU。
SSLKEYLOGFILE实战:Wireshark解密HTTPS流量全指南
weixin_30876945的博客
05-24 426
HTTPS流量解密是网络调试、API分析与安全审计的基础能力。其核心原理并非破解TLS加密,而是利用浏览器主动输出的会话密钥(如CLIENT_TRAFFIC_SECRET_0)实现合规解密。该技术依托TLS 1.3标准密钥派生机制,不涉及私钥泄露,具备强安全性与工程可用性。相比中间人代理或内存dump,SSLKEYLOGFILE方案无需证书注入、不突破沙箱限制,且兼容Chrome、Firefox等主流浏览器。典型应用场景包括前端请求头验证、WebView行为比对、SDK静默通信审计及CDN缓存问题复现。本文
从零开始:如何利用SSLKEYLOGFILE解密HTTPS流量
rl6adventurer的博客
02-03 722
本文详细介绍了如何利用SSLKEYLOGFILE解密HTTPS流量的技术原理与实战步骤。通过配置浏览器环境变量记录TLS会话密钥,结合Wireshark工具实现加密流量分析,适用于开发调试协议分析场景。文章还涵盖了移动端解密、自动化测试集成等高级应用,并强调了该技术仅限开发环境使用的安全注意事项。
SSLKEYLOGFILE 配置
weixin_35756637的博客
01-14 2821
SSLKEYLOGFILE 是一个用于记录 SSL/TLS 会话中使用的密钥的文件。它主要用于调试分析 SSL/TLS 协议。当启用了 SSLKEYLOGFILE 配置,系统会将所有 SSL/TLS 会话中使用的密钥记录到指定的文件中。这些密钥可以用来解密 SSL/TLS 流量,便于分析调试。 要使用 SSLKEYLOGFILE,需要在环境变量或程序配置中设置 SSLKEYLOGFILE 变量...
WiresharkQUIC包的抓包解密
qq_37177958的博客
09-25 1万+
参考资料:通过Wireshark 解密展示 httpsquic数据明文_MemoryOY的博客-CSDN博客https://blog.csdn.net/MemoryOY/article/details/114673853 简介 由于QUIC是基于TLS1.3构建的,所以在用wiresharkquic进行抓包时,经常会出现只能看到部分quic数据的情况,为了更好的了解研究quic,我们需要对包进行解密。 未解密quic包: 解密quic包: 经过两图对比,我们能发现不进行解密只能看.
WiresharkHTTPS数据解密
热门推荐
IT安全单身狗的博客
08-29 1万+
本文来自网易云社区之前有介绍《wireshark抓包分析——TCP/IP协议》,然后某天有人问我,示例里是HTTP的,如果是HTTPS,你可以抓包分析吗?基于好奇,我查阅了下相关资料,把一些浅见分享给大家。在讲HTTPS解密之前先来看下HTTPS与HTTP的不同之处,HTTPS是在TCP/IP与HTTP之间,增加一个安全传输层协议,而这个安全传输层协议一般用SSL或TLS,类似于下图。即HTTP...
Wireshark解密HTTPS流量全攻略:从SSLKEYLOGFILE配置到明文分析
最新发布
dianchaozong3657的博客
06-22 496
HTTPS作为HTTP的安全传输层,通过TLS/SSL协议对通信内容进行加密,保障了数据传输的机密性完整性。其核心原理是在TLS握手阶段,客户端与服务器协商生成唯一的主密钥(Master Secret),用于衍生出会话密钥对应用层数据进行加密。这项技术对于网络安全分析、应用调试协议学习具有重要价值,尤其在排查API交互故障、分析Web应用行为等场景中不可或缺。通过配置浏览器的SSLKEYLOGFILE环境变量,可以安全地导出TLS会话密钥,进而利用Wireshark等工具在本地对捕获的加密流量进行解密
Wireshark HTTPS解密实战:基于SSLKEYLOGFILE的合规流量分析
weixin_30882895的博客
05-22 555
HTTPS流量分析是网络排障、协议调试与安全审计的基础能力,其核心在于理解TLS加密原理与密钥协商机制。Wireshark本身不破解密码,而是依赖合法导出的会话密钥(如SSLKEYLOGFILE)实现端到端的载荷还原,本质是密钥匹配而非密码学攻击。该技术具备强合规性、零网络侵入性与终端可控性,广泛应用于本地开发调试、测试环境故障复现及客户端协议合规验证等场景。尤其在现代浏览器普遍启用TLS 1.3、代理工具受限的背景下,基于SSLKEYLOGFILE的原生抓包方案成为最稳定、轻量且贴近真实协议栈的HTTPS
wireshark解密不通过浏览器的https报文
SunnyDay的专栏
02-10 6175
ServerKeyExchange handshake消息首先,要解密不通过浏览器的https报文,如果HTTPS server发送的TLS/SSL报文中不包含ServerKeyExchange消息。如果有ServerKeyExchange消息,那么你是不能解密这个报文的。在TLS/SSL协议中,ServerKeyExchange消息被于cipher suite为DHE或者DH相关的cipher s
Wireshark TLS解密实战:从密钥日志配置到HTTPS流量明文还原
weixin_30904593的博客
05-21 439
TLS/SSL加密是现代网络通信的安全基石,其核心原理在于基于非对称协商生成对称会话密钥,实现高效且机密的数据传输。理解这一机制,是开展协议层可观测性的技术前提。Wireshark TLS解密并非破解密码学算法,而是依托合法可控的密钥导出机制(如SSLKEYLOGFILE、NSS Key Log Format),在拥有终端控制权与会话密钥的前提下,完成网络层被动流量的明文还原。该能力直接支撑开发联调、微服务排障、gRPC协议分析及私有化部署现场审计等关键工程场景。本文聚焦Chrome、Firefox、Jav
SSLKEYLOGFILE配置全指南:解密HTTPS流量,Wireshark抓包分析实战
weixin_33695082的博客
06-18 504
TLS/SSL协议是保障网络通信安全的核心技术,通过非对称加密与对称加密相结合的方式,在客户端与服务器之间建立加密通道。其核心原理在于握手过程中协商出只有通信双方知晓的会话密钥,而预主密钥(Pre-Master Secret)正是生成该会话密钥的种子。SSLKEYLOGFILE环境变量技术价值在于,它允许支持该功能的应用程序(如Chrome、Firefox)将会话关键的预主密钥写入日志,从而为网络分析工具提供解密依据。这一机制在安全研究、应用调试协议分析等应用场景中至关重要,使得工程师能够在不进行中间人攻
Wireshark QUIC协议分析:HTTP/3抓包配置
gitblog_00839的博客
10-31 572
随着互联网的发展,HTTP/3作为新一代超文本传输协议,基于QUICQuick UDP Internet Connections)协议,解决了HTTP/2在TCP协议上的队头阻塞问题,显著提升了网页加载速度用户体验。然而,QUIC协议的加密特性UDP传输方式,使得传统的网络分析工具难以直接捕获解析其流量。Wireshark作为业界领先的网络协议分析工具,提供了对QUICHTTP/3的支持...
协议-TLS协议-客户端TLS解密的实现原理
文字记录时间
07-30 5112
客户端服务端实现TLS解密的原理介绍
SSLKEYLOGFILE使用
weixin_42576804的博客
01-18 1917
SSLKEYLOGFILE是一个用于记录TLS/SSL会话密钥的文件。它可以用来解密Wireshark或其他网络分析工具捕获的TLS/SSL流量。使用方法是在运行程序时设置SSLKEYLOGFILE环境变量,指向一个文件。例如,在Linux系统中,可以在命令行中使用"export SSLKEYLOGFILE=/path/to/file"来设置该变量。 ...
网络协议学习笔记 · 19
学习学习学习......
08-15 1580
19. HTTPS
wireshark配置本地ssl.log
qq_43610961的博客
07-15 4653
1、在WIN11操作系统上,使用“WIN+R”命令打开“运行”对话框,命令输入框输入“control system”打开系统设置,选择高级系统设置,在功能界面点击环境变量,进入配置界面。2、单击新增,变量名:SSLKEYLOGFILE,变量值:D:\ssl\ssl.log,变量值为你的log文件的位置。确定保存后,重启生效。3、手动在wireshark安装路径同盘符下任一路径下新建ssl.log文档,如:D:\ssl\ssl.log。
解密https流量
weixin_43485076的博客
08-19 6409
一些解密https流量的总结
HTTPS
m0_67589996的博客
01-05 1762
这样,浏览器将会在每次HTTPS会话结束后,将会话数据解密的Key记录到keylog文件中,然后Wireshark通过访问keylog文件,使用里面的key就可以解密字节捕获到浏览器中产生的HTTPS会话数据流。接下来是一个关键的操作,因为服务器选择了ECDHE算法,所以它会在证书后发送“ServerKeyExchange”消息,里面是椭圆曲线的公钥(ServerParams),用来实现密钥交换算法,再加上自己的私钥签名认证。如果用户可以拿到服务器证书的话,则可以使用服务器证书方式来解密HTTPS数据
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值