Debian11环境：

在linux环境下抓取访问某个https的网址时抓取的数据包都是加密的，导致无法跟踪到数据包流，现在尝试将抓取的https包进行解密。

1、解密https数据包需要设置SSLKEYLOGFILE变量，推荐写入配置文件中。

echo "export SSLKEYLOGFILE=~/ssl.key" >> ~/.bashrc
source ~/.bashrc

 2、使用tcpdump命令抓取https的数据包。

tcpdump -i eth0 host xxxxx -nn  -w https.pacp

将生成的ssl.key文件与https.pcap文件存到windows系统上（Debian上安装的wireshark无法设置.ssl.key文件，暂时还不知道原因）

3、打开wireshark，点击编辑->首选项，找到TLS，将ssl.key文件配置进去，这边主要通过ssl.key来解密https包。

4、此时，再去规则中增加http筛选，就能看到解密的数据了。

暂时先记录到这里。