如何在Wireshark中看到HTTPS响应中的数据内容(HTML、JS等)？

Question

我在学Wireshark的包嗅探和分析。

首先，我只能看到DNS、TCP和ARP数据包。我了解到我看不到任何HTTP数据包，因为它都是在传输层加密的。因此，我正确地设置了env变量$SSLKEYLOGFILE，以便浏览器现在可以在给定的文件中记录SSL密钥。在将Wireshark配置为使用文件中的密钥之后，我现在可以查看HTTP流量。然而，大多数(如果不是全部)应用程序数据，如HTML、JS和用户数据似乎也是加密的。

我的问题是：

为什么在传输层和应用层加密数据？如何查看未加密的HTTPS通信量？如果你很少看到未经加密的数据，那么MITM攻击有什么用呢？怎么才能拿到钥匙？

Answer 1

中间的人意味着你也能控制钥匙。加密意味着你不能“嗅”，你需要“处于中间”才能看到任何东西。

如何以MITM的形式获取密钥很简单:您是客户端协商TLS的服务器，所以您得到了密钥。在与该服务器协商TLS之后，您将从那时起将流量传递到预定的目的地。

您可能在应用层看到的不是加密，而是压缩和编码。Wireshark提供了解码这些东西的工具。