Nesesito Monitorear trafico WEB en una RED

[AnnonymuysByte]

Hola buenas tardes, basicamente estoy buscando una herramienta que me permita identificar dentro de una red la ip local del equipo y la web a la que esta visitando, ya sea http o https..

Estoy utilizando Wireshark, en filtro pongo http, efectivamente si ingreso a una web sin certificado SSL los datos los puedo ver y puedo detallar la ip de la maquina y la URL del sitio que esta visitando dentro de ese paquete.

Sin embargo si ingreso a una web con certificado SSL como facebook, Google entre otras, no puedo capturar o determinar cual son los paquetes que debo ver para poder saber que ese equipo visito ese sitio.

Por lo que tengo entendido, obiamente los sitios con SSL (https) traen encriptacion en la transmicion de los paquetes por ejemplo no podria ver datos como usuarios o contraseñas obiamente, cosa que en sitios http puedes ver en peticiones POST enviadas.

Basicamente solo nesesito saber que sitio esta visitando la persona nada mas, y de ser posible que me sirva tanto para HTTP como para HTTPS

Gracias

[engel lex]

Por lo que tengo entendido, obiamente los sitios con SSL (https) traen encriptacion en la transmicion de los paquetes por ejemplo no podria ver datos como usuarios o contraseñas obiamente, cosa que en sitios http puedes ver en peticiones POST enviadas.

Basicamente solo nesesito saber que sitio esta visitando la persona nada mas, y de ser posible que me sirva tanto para HTTP como para HTTPS

el problema es que en http la estructura del paquete es muy simple, todo se envia junto como usa sola cosa, incluyendo cabeceras (que incluye la cabecera host y el uri) y https crea un tunel en la capa de datos donde van... bueno los datos...


tienes 2 vias para saber los datos contenidos ahí...

1- haces un proxy en la "puerta de salida" de la red y les dices a todas las personas "ahora todas las paginas van a mostrar "esta conexión no es segura" porque estamos viendo todos sus datos... esto te permitirá usar el proxy como un lugar para decodificar todo y leer (como si fuera http), pero a su vez las paginas pierden el certificado de seguridad... esto puede traer problemas con paginas con HSTS configurado (como cualquier pagina decente) porque el navegador no poermitirá acceder a la pagina porque la conexión fue "hackeada"

2- tener suerte que la gente no se haya conectado poco antes y cuando se conecte al servidor el primer mensaje será un mensaje de protocolo TSL que llamamos "Cliente Hello" en este es donde el cliente le pide al servidor el acuerdo comun del cetificado de seguridad y para ello manda en texto claro el nombre del host... esto es un solo mensaje y de allí en mas te toca rastrear la ip destino y puerto origen para confirmar que el resto de paginas accedidas son a ese mismo host...