国产精选之刘婷野战,亚洲精品国产乱码在线播

HTTPS報文抓包流程筆記（202206201611）

gyc8848 >《2022年06月份（202206201431）》

2022.06.20 廣東

關(guān)注

簡單抓了個HTTPS包，過了一遍流程。不涉及具體技術(shù)細節(jié)。

幾項關(guān)鍵技術(shù)的簡單說明，詳見這篇筆記：

HTTPS相關(guān)算法基本概念-知乎專欄

HTTPS簡單來說，就是使用SSL對HTTP報文進行加密傳輸。

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡連接進行加密。

一、密文解析方法：

HTTPS報文本身是加密的，wireshark也無法解析。因此需要將HTTPS生成的隨機數(shù)（premaster-secret）提供給wireshark，wireshark才能正確解讀密文。

具體配置方法(WINDOWS)：

建立path變量 SSLKEYLOGFILE=c:\ssl.key
重啟firefox/chrome，訪問https網(wǎng)站會自動生成ssl session key
在wireshark中配置：編輯-首選項-Protocol-SSL-(Pre)-Master-Secret log filename 設置為之前配置的ssl.key文件，即可解密抓到的SSL密文

二、準備過程（DNS、TCP與302跳轉(zhuǎn)）：

在電腦瀏覽器輸入

www.baidu.com

，此時請求的是HTTP報文。

2.1 DNS解析：獲得baidu網(wǎng)站IP地址

2.2 TCP建立連接：HTTP服務基于TCP連接，根據(jù)前述DNS解析結(jié)果建立連接。

2.3 HTTP請求與響應：可見，服務器響應了一個302 Moved Temporarily 重定向報文，定向到 https://www.baidu.com，接下來進入HTTPS報文請求環(huán)節(jié)。

三、SSL/TLS報文交互（即HTTPS如何通過非對稱算法得到一個對稱密鑰用于加密）

注：此處發(fā)生了一次亂序，導致了一次SACK確認，181與180行的先后順序顛倒了。

下圖為TLS/SSL報文交互流程示意圖。

      Client                                               Server

         ClientHello
        (empty SessionTicket extension)-------->
                                                         ServerHello
                                     (empty SessionTicket extension)
                                                        Certificate*
                                                  ServerKeyExchange*
                                                 CertificateRequest*
                                      <--------      ServerHelloDone
         Certificate*
         ClientKeyExchange
         CertificateVerify*
         [ChangeCipherSpec]
         Finished                     -------->
                                                    NewSessionTicket
                                                  [ChangeCipherSpec]
                                      <--------             Finished
         Application Data             <------->     Application Data

其中ServerKeyExchange為DH算法專有（RSA算法則無）

175報文：用戶端發(fā)起Client Hello，攜帶版本信息與random數(shù)（客戶端），并在Cipher Suites中提供了所有可用的加密協(xié)議。

由于之前未建立過連接，攜帶length為0的Session id，表明期待一個SessionTicket

179，181報文：服務器端答復Server Hello，選定加密協(xié)議（本次抓包為ECDH），并傳遞自己的certificate給客戶端。

以baidu為例：其證書中最重要的兩部分內(nèi)容就是公鑰與數(shù)字簽名。其中數(shù)字簽名，即確保該certificate為真百度網(wǎng)站所提供的證書。公鑰，則用于與百度網(wǎng)址進行RSA不對稱算法的數(shù)據(jù)交互，生成可靠密鑰。

180: 服務器端發(fā)送Server Key Exchange與Server Hello Done

Server Key Exchange發(fā)送了DH算法中的Kb值，并使用RSA簽名方式進行了簽名確保身份。（如果使用RSA則無此報文）。
Server Hello Done則表明Server端的報文已結(jié)束。

至此，Server已經(jīng)提供了證書、公鑰、Kb，并發(fā)送Hello Done進行確認。如果Server端需要驗證Client端的身份，則需在發(fā)送Hello Done前發(fā)起Certificate Request，Client端就會類似Server端一樣，發(fā)送證書以及Client公鑰（一般Client端的證書與公鑰主要通過U盾模式提供，用于安全要求較高的網(wǎng)銀等場景）。

184：客戶端答復Client key Exchange，Change Cipher Spec Protocol，F(xiàn)inished

Client Exchange即DH算法中的Kb（由于不驗證Client端身份，所以Client不需要傳遞Signature）。
Change Cipher Spec代表Client已經(jīng)完成了全部協(xié)商，接下來的數(shù)據(jù)包將使用TLS進行封裝傳輸。
Finished：最后發(fā)送finish報文表示結(jié)束。

------至此雙方已經(jīng)交互了所有的DH算法所需的參數(shù)，均可計算得出對稱密鑰s。------

187:服務器端答復New Session Ticket，Change Cipher Spec Protocol，F(xiàn)inished

Session Ticket用于TLS中斷后重新接續(xù)Session

Change Cipher Spec 代表Server端告知Client接下來的報文將使用TLS加密進行傳輸

Finished表示TLS連接建立過程結(jié)束