Hallo,
Wie erkenne ich HTTPS, wenn ich mit Ethereal/Wireshark Pakete sniffe?
Ich sehe nur lauter TPKT und TCP Pakete, da steht aber nichts von HTTPS, SSL, TSL oder sonst etwas, was ich mit Verschlüsslung in Verbindung bringen würde. Eigentlich sollte aber HTTPS-Traffic über das Netzwerkinterface laufen.
Weiss das jemand?
Vielen Dank schon mal im Voraus für jede Hilfe.
xafford 
Yves3 „Wie sieht "gesnifftes" HTTPS aus?“
Yves3 xafford „ Dies ist auch so beabsichtigt. HTTPS, beziehungsweise SSL/TLS setzen zwischen...“
Vielen Dank!
In meinem Fall geht es darum, dass ich heute den ganzen Tag nach Beispielcode für ein miserabel dokumentiertes API gesucht habe, das wohl nur ein paar wenige bis jetzt eingesetzt haben. Leider habe ich einfach nichts brauchbares gefunden und kam so auf die letzte und verzweifelte Idee, der Sache mit einem Sniffer etwas genauer nachzugehen. Ich habe mich jetzt noch ein bisschen über SSL/TLS schlau gemacht. Es sollte also eigentlich in den ersten Paketen ein Key ausgetauscht werden, mit dem sich dann die folgenden Pakete entschlüsseln lassen. Wenn ich die Pakete entschlüsseln könnte, würde ich vielleicht einen Hinweis auf den Fehler finden.
Leider weiss ich nicht, was ich mit dem Schlüssel und dem verschlüsselten Inhalt genau machen muss.
Wenigstens bin ich jetzt schon so weit, dass ich weiss, ob tatsächlich HTTPS verwendet wird.
xafford Yves3 „Vielen Dank! In meinem Fall geht es darum, dass ich heute den ganzen Tag nach...“
Hmmm... was für eine API ist dies denn, die Du versuchst zu reverse engineeren? Wo scniffst Du genau? Am eigenen Netzwerkinterface, oder zwischen Client und Server? Falls Du direkt am Client sitzt wäre es eigentlich Blödsinn am verschlüsselten Datenstrom anzusetzen, da solltest Du lieber auf der Anwendungsebene "debuggen", hier ist der Datenstrom ja schon entschlüsselt.
Yves3 xafford „Hmmm... was für eine API ist dies denn, die Du versuchst zu reverse engineeren?...“
xafford Yves3 „ Es geht um das DS Open API von IBM. Ich muss einige Performancedaten aus einem...“
Leider kann ich Dir bei deinem Problem nicht gezielt weiter helfen, da ich damit noch nie zu tun hatte, allerdings kommt es mir fast so vor, als hättest Du an der falschen Stelle angefangen zu suchen, schau mal ob Dir vielleicht folgendes eher weiterhilft:
http://openwbem.org/
Ich sniffe am Netzwerkinterface meines Entwicklungsrechners.
Ich werde mal schauen, ob ich irgendwo in einem Objekt die verschickten Daten finde... gute Idee.
Wenn das nicht klappen sollte (müsste es aber eigentlich), dann gäbe es eventuell noch eine andere, allerdings aufwändige Möglichkeit, sofern die technischen Randbedingungen entsprechend sind... Du könntest einen transparenten SSL-Proxy zwischen Subsystem und Client schalten.
Yves3 xafford „Leider kann ich Dir bei deinem Problem nicht gezielt weiter helfen, da ich damit...“
Openwbem läuft nicht unter Windows (ist auf der Seite nicht so deutlich ersichtlich).
Ich habe aber OpenPegasus gefunden, welches den gleichen Zweck erfüllt.
Bis jetzt habe ich noch kein Beispiel dazu machen können, habe es aber bereits aus den Sourcen kompiliert und angefangen die Dokumentation zu lesen.
Das sieht viel versprechend aus. :)
Noch einmal vielen Dank für deine Hilfe!
the_mic Yves3 „Wie sieht "gesnifftes" HTTPS aus?“
TCP-Pakete, die zwischen deinem lokalen Rechner auf beliebigem Port (üblicherweise >10000) und Port 443 (https) des Webservers ausgetauscht werden.
Der Inhalt besteht dann natürlich nur aus "Binärmüll" (Ciphertext).
xafford the_mic „TCP-Pakete, die zwischen deinem lokalen Rechner auf beliebigem Port...“
Nur die Pakete beim Handshake gehen an Port 443 des Webservers, der ansdchließende Datenstrom geht über einen unpriorisierten hohen Port, damit Port 443 für neueClient-Anfragen wieder frei ist.
