使用WireShark分析HTTPS流量上的MSMQ - 未看到POST

Question

我正在解決MSMQ消息停留在出站隊列（等待連接的隊列）中的問題。爲了排除故障，我正在運行WireShark以查看網絡接口上正在推送的內容。

我已經運行Wireshark的跟蹤和我所看到的似乎是一個完整的SSLV3握手（從本地MSMQ產生試圖連接到服務器）：

客戶端 - >服務器 - 客戶端Hello
服務器 - >客戶端 - 服務器問候
客戶端 - >服務器 - 客戶端密鑰交換，變更密碼說明
服務器 - >客戶端 - 變更密碼說明，加密握手

這些消息，我期待看到與客戶端嘗試將POST消息後將消息推送到服務器，以及來自服務器的某種響應，但存在 沒有。在最後一次更改密碼規範是在下一次SSLV3握手之前的一組[ACK]和[SYN]消息之後，我在客戶端和服務器之間看到的所有內容。具體信息是：

客戶端 - >服務器 - TCP - [FIN，ACK]
服務器 - >客戶端 - TCP - [ACK]
服務器 - >客戶端 - TCP - [FIN，ACK]
客戶 - >服務器 - TCP - [ACK]
客戶端 - >服務器 - TCP - [SYN]
服務器 - >客戶端 - TCP - [SYN]
客戶端 - >服務器 - TCP - [ACK]

然後握手重複。

握手後不應期望看到POST消息嗎？我知道當通過HTTP發送MSMQ消息時，MSMQ會執行MSMQ消息的HTTP POST，所以我期望在握手之後將其顯示爲應用程序數據。

我是否需要以某種方式配置WireShark以查看這些，因爲它是通過HTTPS？

由於

Answer 1

從您的問題中不清楚您是否遵循了文檔decipher SSL using Wireshark（否則，您將看到數據包，但無法查看其內容）。請注意，要實現這一點，您需要將服務器的私鑰提供給wireshark，否則任何人都可能破譯SSL/TLS連接（並且防止這種情況恰恰是使用SSL/TLS的關鍵）。

此外，您可能需要強制您的工具使用當今認爲性能較差的密碼套件。例如，現代瀏覽器傾向於使用Ephemeral Diffie-Hellman（DHE）密碼套件（除非明確配置）。 Wireshark將無法解密使用這種密碼套件的SSL連接。

Answer 2

的SSL加密整點是通過線路發送的信息是加密的，因此，不可見的。就我個人而言，如果您可以封裝嗅探SSL流量，我會非常擔心。您可以可能能夠配置wireshark通過SSL顯示比您目前所看到的更多的信息，但您永遠不會看到實際內容，例如POST。