hkoeck
2.2 KiB
2.2 KiB
Wireshark Hint Card (optional)
Diese Hinweise helfen bei der Bonus-Challenge mit Paketmitschnitt.
1) Installation
Fedora:
sudo dnf install -y wireshark wireshark-cli
Ubuntu/WSL:
sudo apt update
sudo apt install -y wireshark tshark
2) Interface waehlen
- Linux lokal: meist
lo(Loopback) fuerlocalhost - Docker-Welt: ggf.
docker0bzw. Bridge-Interface
3) HTTP zuerst (Klartext)
- Mitschnitt starten
- Request senden:
curl http://localhost:8080/service/a
- In Wireshark nach
httpodertcp.port == 8080filtern
4) Root-CA importieren und HTTPS ohne -k testen
Voraussetzung: HTTPS-Challenge umgesetzt (Port 8443 aktiv).
Fedora:
sudo cp certs/easyrsa/pki/ca.crt /etc/pki/ca-trust/source/anchors/htl-workshop-root-ca.crt
sudo update-ca-trust
Ubuntu/Debian:
sudo cp certs/easyrsa/pki/ca.crt /usr/local/share/ca-certificates/htl-workshop-root-ca.crt
sudo update-ca-certificates
Test:
curl https://localhost:8443/service/a
5) HTTPS danach mitschneiden (verschluesselt)
Filter:
tcp.port == 8443
oder
tls
Handshake schnell finden:
tls.handshake
Nur Zertifikats-Nachrichten:
tls.handshake.type == 11
6) Optional: TLS in Wireshark entschluesseln
- Vor Browser-Start setzen:
export SSLKEYLOGFILE="$HOME/sslkeys.log"
- Browser aus derselben Shell starten und HTTPS-Request erzeugen.
- In Wireshark unter TLS-Preferences
sslkeys.logals Key Log File setzen. - Mitschnitt erneut laden.
CLI-Alternative mit tshark (optional):
tshark -i lo -f "tcp port 8443"
7) Was ihr zeigen sollt
- HTTP-Mitschnitt: URL/Headers lesbar
- HTTPS-Mitschnitt: TLS Handshake sichtbar, Nutzdaten nicht im Klartext
- Nach CA-Import funktioniert
curl https://localhost:8443/...ohne-k - Optional: Mit Key Log koennen HTTP-Details im TLS-Stream sichtbar werden
8) Erwartete Abgabe (kurz)
- Screenshot 1: HTTP-Request mit lesbaren Daten
- Screenshot 2: HTTPS-Request mit TLS-Handshake
- Screenshot 3 (optional): entschluesselter TLS-Stream via Key Log
- 3 Bulletpoints: Unterschied HTTP vs HTTPS in euren eigenen Worten