WireShark-在Windows內如何解密https

by Rain Chu | 1 月 3, 2025 | MIS

Wireshark 是一款功能強大的網絡協議分析工具，可以幫助我們深入了解網絡流量，在日常使用中，我們有時需要檢查 HTTPS 流量，這些流量通常是加密的，通過配置 Wireshark，我們可以抓取並解碼 SSL/TLS 的加密資訊。

步驟 1：下載並安裝 Wireshark

首先，從 Wireshark 官方網站 下載適合您系統的安裝包，並完成安裝。安裝過程中，建議選擇安裝 WinPcap 或 Npcap，這是用於抓取網絡數據包的必要工具。

步驟 2：在 Windows 中設置用戶變量

要讓瀏覽器記錄 SSL/TLS 的密鑰，我們需要設置環境變量。

1. 新增用戶變量：
   • 打開「系統屬性」>「高級系統設置」>「環境變量」。
   • 在「用戶變量」區域中，點擊「新增」。
2. 設置變量名稱與變量值：
   • 變量名：SSLKEYLOGFILE
   • 變量值：C:\logs
3. 點擊「確定」保存變量。

步驟 3：使用 Chrome 訪問 HTTPS 網頁

1. 打開 Google Chrome 瀏覽器。
2. 瀏覽任意 HTTPS 網頁（例如 https://example.com）。
3. 在剛才設置的 C:\logs 路徑下，會生成一個名為 sslkeylog.log 的文件。
   該文件包含了瀏覽器和服務器之間進行加密通信的 Premaster Secret。

這個設置的作用是讓支持 SSLKEYLOGFILE 的應用程序（例如 Chrome）記錄密鑰到指定文件中。

步驟 4：配置 Wireshark 解碼 SSL 流量

接下來，我們需要將生成的密鑰文件導入 Wireshark，以便解碼 HTTPS 流量。

1. 打開 Wireshark。
2. 點擊選單中的「編輯」>「首選項」。
3. 在彈出的「首選項」窗口中：
   • 展開左側的「Protocols」。
   • 找到並選擇「TLS」協議。
4. 在右側的「(Pre)-Master-Secret log filename」欄位中，填入生成的 sslkeylog.log 文件的完整路徑，例如：

步驟 5：開始抓取 HTTPS 流量

1. 在 Wireshark 中選擇網絡介面（例如 Wi-Fi 或有線網絡）。
2. 點擊「開始捕獲」按鈕（或快捷鍵 Ctrl+E）。
3. 打開瀏覽器並訪問任意 HTTPS 網頁。

步驟 6：檢查解碼的內容

1. 在抓取的數據包中，選擇任意 Client Hello 或 Server Hello 消息。
2. Wireshark 會根據 sslkeylog.log 自動解碼加密的數據流，您可以在「解碼」區域中看到未加密的數據內容。