Wireshark抓包tls1.2

### 使用 Wireshark 抓取和分析 TLS 1.2 流量

#### 准备工作
为了成功抓取并分析TLS 1.2流量，需确保已安装最新版本的Wireshark。此外，如果希望解密应用层数据，则需要获取服务器端使用的私钥文件。

#### 开始捕获
启动Wireshark后，在界面下方输入过滤器来限定要捕捉的目标IP地址或特定端口（如HTTPS默认使用443）。点击“开始”按钮即可记录下符合条件的所有网络活动[^1]。

#### 过滤显示
当停止捕获之后，可以利用显示过滤器进一步缩小范围至仅查看感兴趣的TLS握手过程或其他相关事件。常用的表达式包括`ssl.handshake.type == 1`(Client Hello), `http.request`, 或者针对具体主机名和服务名称的查询语句[^2]。

#### 解析握手消息
在捕获到的数据流里找到SSL/TLS协议项展开查看详情。对于TLS 1.2来说，完整的握手序列应该包含以下几个阶段：

- **客户端问候 (Client Hello)**: 客户端向服务端发送支持的加密套件列表以及其他参数。

- **服务器问候 (Server Hello)**: 作为回应, 服务器会选择一种双方都能接受的方法，并告知所选会话ID等信息。

- **证书交换**: 如果启用了认证功能的话，这里还会有来自服务器的一系列X.509格式的身份证明材料传递给对方确认其合法性。

- **密钥共享/更改密码规格通知**: 双方就如何建立后续通讯所需的临时秘密达成一致；接着各自发出Change Cipher Spec报文表示即将切换成新的编码方式传输剩余部分的信息.

#### 尝试解密Application Data载荷
由于应用程序级别的有效负载通常是经过高强度算法处理过的二进制字节串形式存在，因此除非事先准备好相应的RSA Private Key(.pem/.key)，否则即使能看到这些帧也难以理解里面究竟携带了什么具体内容。一旦拥有了必要的凭证资料，就可以按照官方文档指示设置环境变量以便让工具知道去哪里查找它们用于辅助解析操作:

export SSLKEYLOGFILE=/path/to/keylogfile.txt

然后重启浏览器重新发起请求，这样就能看到明文中转的内容片段了。