วิธีอ่านทราฟฟิก HTTPS ใน Wireshark
Wireshark เป็นเครื่องมือวิเคราะห์แพ็กเก็ตแบบโอเพ่นซอร์สที่ได้รับความนิยมซึ่งมีฟีเจอร์ที่สะดวกมากมายสำหรับการวิเคราะห์เครือข่าย การแก้ไขปัญหา การศึกษา และอื่นๆ อีกมากมาย ผู้ที่ต้องการใช้ Wireshark เป็นครั้งแรกและผู้ที่เคยใช้งานแล้วมักสงสัยเกี่ยวกับการอ่านการรับส่งข้อมูล HTTPS
หากคุณเป็นหนึ่งในนั้น แสดงว่าคุณมาถูกที่แล้ว ที่นี่ เราจะอธิบายว่า HTTPS คืออะไรและทำงานอย่างไร จากนั้น เราจะคุยกันว่าคุณสามารถอ่านทราฟฟิก HTTPS ได้หรือไม่ สาเหตุที่อาจเป็นปัญหา และสิ่งที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้
HTTPS คืออะไร
Hypertext Transfer Protocol Secure (HTTPS) แสดงถึง HTTP เวอร์ชันที่ปลอดภัยซึ่งรับประกันการถ่ายโอนข้อมูลและการสื่อสารที่ปลอดภัยระหว่างเว็บเบราว์เซอร์และเว็บไซต์
HTTPS รับรองความปลอดภัยและป้องกัน การดักฟัง การโจรกรรมข้อมูลประจำตัว การโจมตีจากคนกลาง และภัยคุกคามความปลอดภัยอื่นๆ ทุกวันนี้ เว็บไซต์ที่ขอให้คุณป้อนข้อมูลหรือสร้างบัญชีมีคุณลักษณะ HTTPS เพื่อปกป้องคุณ
HTTPS ป้องกันภัยคุกคามด้านความปลอดภัยและการโจมตีที่เป็นอันตรายโดยการเข้ารหัสการแลกเปลี่ยนทั้งหมดระหว่างเว็บเบราว์เซอร์และเซิร์ฟเวอร์
สิ่งสำคัญคือต้องชี้แจงว่า HTTPS ไม่ได้แยกจาก HTTP แต่เป็นตัวแปร HTTP ที่ใช้การเข้ารหัสเฉพาะ เช่น Secure Socket Layer (SSL) และ Transport Layer Security (TLS) เพื่อรักษาความปลอดภัยในการสื่อสาร เมื่อเว็บเบราว์เซอร์และเว็บเซิร์ฟเวอร์สื่อสารกันผ่าน HTTPS จะทำงานร่วมกันใน SSL/TLS นั่นคือการแลกเปลี่ยนใบรับรองความปลอดภัย
คุณจะบอกได้อย่างไรว่าการสื่อสารไปยังเว็บไซต์ปลอดภัยด้วย HTTPS ? เพียงแค่ดูที่แถบที่อยู่ หากคุณเห็น”https”ที่ส่วนต้นของ URL แสดงว่าการเชื่อมต่อของคุณปลอดภัย
Wireshark วิธีอ่านการรับส่งข้อมูล HTTPS
คุณสมบัติหลักอย่างหนึ่งของ HTTPS คือมีการเข้ารหัส แม้ว่านี่จะเป็นข้อได้เปรียบเมื่อคุณซื้อของออนไลน์หรือทิ้งข้อมูลส่วนบุคคลไว้บนเว็บไซต์ แต่ก็อาจเป็นข้อเสียได้เมื่อคุณติดตามเพื่อติดตามปริมาณการใช้เว็บและวิเคราะห์เครือข่ายของคุณ
เนื่องจาก HTTPS ได้รับการเข้ารหัส ไม่มีวิธีอ่านใน Wireshark แต่คุณสามารถแสดงแพ็กเก็ต SSL และ TLS และถอดรหัสเป็น HTTPS ได้
ทำตามขั้นตอนเหล่านี้เพื่ออ่านแพ็กเก็ต SSL และ TLS ใน Wireshark:
เปิด Wireshark แล้วเลือก สิ่งที่คุณต้องการจับภาพในเมนู”จับภาพ”
ในบานหน้าต่าง “รายการแพ็กเก็ต”ให้โฟกัสที่คอลัมน์”โปรโตคอล”แล้วดู สำหรับ “SSL”
ค้นหาแพ็คเก็ต SSL หรือ TLS ที่คุณสนใจและเปิดมัน
วิธีถอดรหัส SSL ใน Wireshark
วิธีที่แนะนำในการถอดรหัส SSL คือการใช้รหัสลับแบบพรีมาสเตอร์ คุณจะต้องดำเนินการสี่ขั้นตอนต่อไปนี้:
ตั้งค่าตัวแปรสภาพแวดล้อม เปิดเบราว์เซอร์ของคุณ กำหนดการตั้งค่าของคุณใน Wireshark จับภาพและถอดรหัสเซสชันคีย์
มาดูรายละเอียดแต่ละขั้นตอนกัน
ตั้งค่าตัวแปรสภาพแวดล้อม
ตัวแปรสภาพแวดล้อมคือค่าที่กำหนดวิธีที่คอมพิวเตอร์ของคุณจัดการกับกระบวนการต่างๆ หากคุณต้องการถอดรหัส SSL และ TLS คุณต้องตั้งค่าตัวแปรสภาพแวดล้อมให้ถูกต้องก่อน คุณจะดำเนินการอย่างไรขึ้นอยู่กับระบบปฏิบัติการของคุณ
ตั้งค่าตัวแปรสภาพแวดล้อมใน Windows
ผู้ใช้ Windows ควรทำตามขั้นตอนเหล่านี้เพื่อตั้งค่าตัวแปรสภาพแวดล้อม:
เปิดใช้ เมนูเริ่ม
เปิด “แผงควบคุม” 
ไปที่ “ ระบบและความปลอดภัย”
เลือก “ระบบ”
เลื่อนลง แล้วเลือก “การตั้งค่าระบบขั้นสูง”
ตรวจสอบอีกครั้งว่าคุณอยู่ในส่วน”ขั้นสูง”แล้วกด”ตัวแปรสภาพแวดล้อม”
กด”ใหม่”ใต้”ตัวแปรผู้ใช้”
พิมพ์ “SSLKEYLOGFILE” ใต้ “ชื่อตัวแปร”
ใต้”ค่าตัวแปร”ให้ป้อนหรือเรียกดูเส้นทางไปยังไฟล์บันทึก
กด “ตกลง”
ตั้งค่าตัวแปรสภาพแวดล้อมใน Mac หรือ Linux
หากคุณเป็นผู้ใช้ Linux หรือ Mac คุณจะต้องใช้ nano เพื่อตั้งค่าตัวแปรสภาพแวดล้อม
ผู้ใช้ Linux ควรเปิดเทอร์มินัลแล้วป้อนคำสั่งนี้: “nano ~/.bashrc”ผู้ใช้ Mac ควรเปิด Launchpad กด “อื่นๆ”และเปิดเทอร์มินัล จากนั้นควรป้อนคำสั่งนี้:”nano ~/.bash_profile”
ทั้งผู้ใช้ Linux และ Mac ควรทำตามขั้นตอนเหล่านี้เพื่อ ดำเนินการต่อ:
เพิ่มไฟล์นี้ที่ส่วนท้ายของไฟล์: “export SSLKEYLOGFILE=~/.ssl-key.log”.บันทึกการเปลี่ยนแปลงของคุณ ปิดหน้าต่างเทอร์มินัลแล้วเปิดหน้าต่างอื่น ป้อนบรรทัดนี้: “echo $ SSKEYLOGFILE”ตอนนี้คุณควรเห็นพาธเต็มไปยังบันทึกพรีมาสเตอร์คีย์ SSL ของคุณ คัดลอกพาธนี้เพื่อบันทึกในภายหลัง เนื่องจากคุณจะต้องป้อนใน Wireshark
เปิดใช้เบราว์เซอร์ของคุณ
ขั้นตอนที่สองคือเปิดใช้เบราว์เซอร์เพื่อให้แน่ใจว่ามีการใช้ไฟล์บันทึก คุณต้องเปิดเบราว์เซอร์และไปที่เว็บไซต์ที่เปิดใช้งาน SSL
หลังจากที่คุณเยี่ยมชมเว็บไซต์ดังกล่าวแล้ว ให้ตรวจสอบไฟล์ของคุณเพื่อดูข้อมูล ใน Windows คุณควรใช้ Notepad ในขณะที่ Mac และ Linux คุณควรใช้คำสั่งนี้: “cat ~/.ssl-log.key”
กำหนดค่า Wireshark
หลังจากคุณ’ได้พบว่าเบราว์เซอร์ของคุณกำลังบันทึกคีย์พรีมาสเตอร์ในตำแหน่งที่ต้องการ ถึงเวลากำหนดค่า Wireshark แล้ว หลังจากกำหนดค่าแล้ว Wireshark ควรสามารถใช้คีย์เพื่อถอดรหัส SSL ได้
ทำตามขั้นตอนด้านล่างเพื่อทำ มัน:
เปิดใช้ Wireshark แล้วไปที่ “แก้ไข”
คลิกที่ “การตั้งค่า”
ขยาย “โปรโตคอล”
เลื่อนลงและเลือก “SSL” ค้นหา “(Pre)-บันทึกลับของมาสเตอร์ filename”และป้อนเส้นทางที่คุณตั้งค่าในขั้นตอนแรก กด”ตกลง”
จับภาพและถอดรหัสเซสชันคีย์
เมื่อคุณกำหนดค่าทุกอย่างแล้ว ก็ถึงเวลาตรวจสอบว่า Wireshark ถอดรหัส SSL หรือไม่. นี่คือสิ่งที่คุณต้องทำ:
เปิดใช้ Wireshark และเริ่มเซสชันการจับภาพที่ไม่ผ่านการกรอง
ย่อหน้าต่าง Wireshark และเปิดเบราว์เซอร์ของคุณ
ไปที่เว็บไซต์ที่ปลอดภัยเพื่อรับข้อมูล
กลับไปที่ Wireshark แล้วเลือก เฟรมใดก็ได้ที่มีข้อมูลที่เข้ารหัส
ค้นหา”Packet byte view”และดูข้อมูล”Decrypted SSL”ตอนนี้ HTML ควรจะมองเห็นได้แล้ว
Wireshark มีฟีเจอร์อำนวยความสะดวกอะไรบ้าง
เหตุผลหนึ่งที่ทำให้ Wireshark เป็นตัววิเคราะห์แพ็กเก็ตเครือข่ายชั้นนำก็คือมันมีตัวเลือกที่สะดวกมากมายที่จะปรับปรุงประสบการณ์ผู้ใช้ของคุณ ต่อไปนี้คือบางส่วน:
การเข้ารหัสสี
การหาข้อมูลจำนวนมากอาจใช้เวลานานและเหนื่อยล้า Wireshark พยายามช่วยคุณแยกประเภทแพ็คเก็ตต่างๆ ด้วยระบบรหัสสีที่ไม่เหมือนใคร ที่นี่ คุณสามารถดูสีเริ่มต้นสำหรับประเภทแพ็กเก็ตหลัก:
สีฟ้าอ่อน – UDP สีม่วงอ่อน – TCP สีเขียวอ่อน – การจราจร HTTP สีเหลืองอ่อน – การจราจรเฉพาะ Windows (รวมถึง Server Message Blocks (SMB) และสีเหลือง NetBIOSDark – สีเทา RoutingDark – TCP SYN, ACK และ FIN trafficBlack – แพ็กเก็ตที่มีข้อผิดพลาด
คุณสามารถดูโครงร่างสีทั้งหมดได้โดยไปที่”ดู”และเลือก”กฎการระบายสี”
Wireshark ช่วยให้คุณปรับแต่งสีของคุณเอง กฎตามความต้องการของคุณในการตั้งค่าเดียวกัน หากคุณไม่ต้องการให้สีใด ๆ ให้เปลี่ยนปุ่มสลับข้าง “ระบายสีรายการแพ็กเก็ต”
เมตริกและสถิติ
ข้อเสนอของ Wireshark ตัวเลือกต่างๆ สำหรับการเรียนรู้เพิ่มเติมเกี่ยวกับการจับภาพของคุณ ตัวเลือกเหล่านี้อยู่ในเมนู”สถิติ”ที่ด้านบนของหน้าต่าง
คุณสามารถตรวจสอบสถิติเกี่ยวกับคุณสมบัติไฟล์การจับภาพได้ ทั้งนี้ขึ้นอยู่กับสิ่งที่คุณสนใจ ที่อยู่ที่ได้รับการแก้ไข ความยาวแพ็คเก็ต จุดสิ้นสุด และอื่นๆ อีกมากมาย
บรรทัดคำสั่ง
หากคุณมีระบบที่ไม่มีอินเทอร์เฟซผู้ใช้แบบกราฟิก (GUI) คุณจะ ยินดีที่ได้รู้ว่า Wireshark มีฟีเจอร์หนึ่ง
โหมดสำส่อน
ตามค่าเริ่มต้น Wireshark ให้คุณจับภาพแพ็กเก็ตที่ส่งเข้าและออกจากคอมพิวเตอร์ที่คุณใช้ แต่ถ้าคุณเปิดใช้งานโหมดสำส่อน คุณจะสามารถจับภาพการรับส่งข้อมูลส่วนใหญ่บนเครือข่ายท้องถิ่นทั้งหมด (LAN) ได้
คำถามที่พบบ่อย
ฉันสามารถกรองข้อมูลแพ็คเก็ตใน Wireshark ได้หรือไม่
ใช่ Wireshark เสนอตัวเลือกการกรองขั้นสูงที่ให้คุณแสดงข้อมูลที่เกี่ยวข้องได้ในเวลาไม่กี่วินาที
แพลตฟอร์มมีตัวกรองสองประเภท: จับภาพและแสดง ใช้ตัวกรองการจับภาพในขณะที่เก็บข้อมูล คุณสามารถตั้งค่าก่อนที่จะเริ่มการจับแพ็กเก็ตและไม่สามารถแก้ไขได้ในระหว่างกระบวนการ ตัวกรองเหล่านี้เป็นวิธีง่ายๆ ในการค้นหาข้อมูลที่คุณสนใจอย่างรวดเร็ว หาก Wireshark บันทึกข้อมูลที่ไม่ตรงกับตัวกรองที่คุณตั้งไว้ ก็จะไม่แสดงผล
ตัวกรองการแสดงผลจะถูกใช้หลังจาก กระบวนการจับภาพ ซึ่งแตกต่างจากตัวกรองการจับภาพที่ละทิ้งข้อมูลที่ไม่ตรงกับเกณฑ์ที่ตั้งไว้ ตัวกรองการแสดงผลเพียงแค่ซ่อนข้อมูลนี้จากรายการ ซึ่งจะช่วยให้คุณมองเห็นภาพที่จับภาพได้ชัดเจนยิ่งขึ้น และช่วยให้คุณค้นหาสิ่งที่ต้องการได้อย่างง่ายดาย
หากคุณใช้ตัวกรองจำนวนมากใน Wireshark และมีปัญหาในการจดจำ คุณยินดีที่จะทราบว่า Wireshark ให้คุณบันทึกตัวกรองของคุณ ด้วยวิธีนี้ คุณไม่ต้องกังวลว่าจะลืมไวยากรณ์ที่ถูกต้องหรือใช้ตัวกรองผิด คุณสามารถบันทึกตัวกรองของคุณได้โดยกดไอคอนบุ๊กมาร์กถัดจากฟิลด์ตัวกรอง
การวิเคราะห์เครือข่ายหลักด้วย Wireshark
ด้วยตัวเลือกการวิเคราะห์แพ็กเก็ตที่น่าประทับใจ Wireshark ช่วยให้คุณได้รับ-มุมมองเชิงลึกของทราฟฟิกที่เข้าและออกจากเครือข่ายของคุณ แม้ว่าจะมีฟีเจอร์ขั้นสูง แต่ Wireshark ก็มีอินเทอร์เฟซที่เรียบง่ายและใช้งานง่าย ดังนั้นแม้แต่ผู้ที่ยังใหม่กับโลกของการวิเคราะห์แพ็กเก็ตก็สามารถเรียนรู้ได้อย่างรวดเร็ว การอ่านการรับส่งข้อมูล HTTPS อาจไม่ตรงไปตรงมา แต่เป็นไปได้หากคุณถอดรหัสแพ็กเก็ต SSL
คุณชอบอะไรมากที่สุดเกี่ยวกับ Wireshark คุณเคยมีปัญหากับมันบ้างไหม? บอกเราในส่วนความคิดเห็นด้านล่าง
ข้อจำกัดความรับผิดชอบ: บางหน้าในไซต์นี้อาจมีลิงก์พันธมิตร ซึ่งไม่ส่งผลกระทบต่อบทบรรณาธิการของเราแต่อย่างใด