Wireshark захватывает HTTPS-пакеты, но полезная нагрузка отображается как зашифрованные данные (TLS/SSL).
Причины
- HTTPS инкапсулирует HTTP-данные в TLS-туннель с симметричным шифрованием.
- Wireshark не имеет доступа к сессионным ключам (pre-master secret) или приватному ключу сервера.
- Без ключей пакеты содержат только метаданные (IP, порты, SNI) и зашифрованный контент.
Решение
1. Для анализа собственного трафика (легально):
- Настройте браузер/приложение на запись сессионных ключей через переменную окружения `SSLKEYLOGFILE`.
- В Wireshark: `Preferences → Protocols → TLS → (Pre)-Master-Secret log filename` → укажите путь к файлу с ключами.
Пример для Firefox:
bash
export SSLKEYLOGFILE=/tmp/keys.log
firefoxПосле запуска Wireshark: загрузите `/tmp/keys.log` в настройках TLS.
2. Для анализа чужого трафика (только с письменного согласия владельца):
- Используйте MITM-прокси (mitmproxy, Burp Suite) с установкой собственного CA-сертификата на целевое устройство.
- Прокси перехватывает HTTPS, расшифровывает и передает в Wireshark или экспортирует ключи.
3. Альтернатива без ключей (ограниченный анализ):
- Извлеките SNI из ClientHello (фильтр `ssl.handshake.type == 1`).
- Анализируйте размеры зашифрованных пакетов (`tls.record.content_type`).
Важно: Любое расшифровывание чужого трафика без явного согласия нарушает ст. 272 УК РФ (неправомерный доступ к компьютерной информации).