HTTP隧道代理及wireshark抓包分析HTTPS过程

最新推荐文章于 2024-07-10 16:41:45 发布
最新推荐文章于 2024-07-10 16:41:45 发布
阅读量9.8k 收藏 21
点赞数 6
分类专栏: J2EE 文章标签: HTTP 隧道代理 HTTPS proxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bohu83/article/details/78437982
版权

一 序 

为了验证HTTP的隧道代理。我们用抓包分析验证过程


二 使用connect

当客户端向Proxy发起Http CONNECT Method的时候,就是告诉Proxy,先在Proxy和目标服务器之间先建立起连接,在这个连接建立起来之后,目标服务器会返回一个回复给Proxy,Proxy将这个回复转发给客户端,这个Response是Proxy跟目标服务器连接建立的状态回复,而不是请求数据的Response。在此之后,客户端跟目标服务器的所有通信都将使用之前建立起来的建立。这种情况下的Http隧道,Proxy仅仅实现转发,而不会关心转发的数据。这也是为什么在使用Proxy的时候,Https请求必须首先使用Http CONNECT建立隧道。因为Https的数据都是经过加密的,Proxy是无法对Https的数据进行解密的,所以只能使用CONNECT,仅仅对通信数据进行转发。


本图来自《HTTP权威指南》

三 抓包过程(Server端交换证书给client

3.1 

HTTP 客户端通过HTTP的CONNECT方法请求隧道代理,创建一条到达任意目的服务器和端口的TCP连接,并对客户端和服务器之间的后继数据进行盲转发。

可以看到,浏览器与代理进行 TCP 握手之后,发起了 CONNECT 请求,报文起始行如下:

[java]  view plain  copy
  1. CONNECT sp0.baidu.com:443 HTTP/1.1  

对于 CONNECT 请求来说,只是用来让代理创建 TCP 连接,所以只需要提供服务器域名及端口即可,并不需要具体的资源路径。代理收到这样的请求后,需要与服务端建立 TCP 连接,并响应给浏览器这样一个 HTTP 报文:

[html]  view plain  copy
  1. HTTP/1.1 200 Connection established  

客户端收到了这个响应报文,就可以认为到服务端的 TCP 连接已经打通,后续直接往这个 TCP 连接写协议数据即可。
通过 Wireshark 的 Follow TCP Steam 功能,可以清楚地看到浏览器和代理之间的数据传递:

3.2 HTTPS会话过程

1)客户端发送client hello开始ssl通信,其中包含报文包含客户端支持的一套加密规则(SSL指定版本,加密组件cipher suite)发送给网站。


其中部分关键信息:

ProtocolVersion client_version; //客户端支持的TLS最高版本 
Random random; //客户端生成的随机数,用于之后生成会话密钥 
SessionID session_id; 
CipherSuite cipher_suites<2..2^16-2>; //支持的加密算法,如RSA 
CompressionMethod compression_methods<1..2^8-1>; //支持的压缩算法 



2服务器可进行SSL通信时,会响应报文server hello ,报文中包含SSL版本及加密组件(加密组件是从接收到客户端加密组件内筛选出来的)。之后服务端将自己的身份信息以证书的形式发回给客户端。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。


部分字段说明:

ProtocolVersion server_version; //确定使用的SSL/TLS版本 
Random random; //服务器端生成的随机数,之后用于生成会话密钥 
SessionID session_id; 
CipherSuite cipher_suite; //确定使用的加密算法 
CompressionMethod compression_method; //确实使用的压缩算法 

其中选择的加密算法:TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)

  • ECDHE : 密钥交换算法,用于生成premaster_secret(用于生成会话密钥master secret)
  • RSA : 签名算法,用户安全传输premaster_secret
  • AES_128 : 连接建立后的数据加密算法
  • GCM : 一种对称密钥加密操作的块密码模式

3证书


可以看出百度用的是verisign的证书

4.1 Server Key Exchange Message(可选)

这条消息是用于会话密钥(premaster secret)生成的,首先这条消息不是必须的,只有在客户端与服务器端双方协商采用的加密算法是DHE_DSS、DHE_RSA、DH_anon时Server Certificate消息中的服务器证书中的信息不足以生成premaster secret时服务器端才需要发送此消息。

4.2 最后服务端发送server hello done通知客户端,表示服务器端已经完成了为支持密钥交换(生成premaster key)所做的事情,下面开始等待客户端为密钥交换所要发的消息,最初阶段的SSL握手协商阶段结束。


SSL第一次握手结束

*****************************************************************************

Certificate Request(请求客户端证书,可选)

     如果此次HTTPS连接是双向认证的话,服务器就可以通过此消息请求客户端证书以便进行身份验证。

我们是从百度抓取数据,只需要服务端认证,所以不会发送此消息,这里没有截图。

Client Certificate(客户端证书,可选)

     客户端在收到Server Hello Done与Certificate Request后,表示服务器端需要验证客户端证书,这时客户端需要发送此Client Certificate消息给服务器端,即使没有客户端证书也要发个 certificate_list 列表为空的此消息,服务器端未收到或收到此消息后验证客户端证书,验证结果可酌情处理,如关闭加密通信或忽略此错误等。

********************************************************************************

5.获得服务端证书之后客户端要做以下工作:
a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。
b) 如果证书受信任,或者是用户接受了不受信的证书,客户端会生成一串随机数的密码(pre-master secret),并用证书中提供的公钥加密,以报文client-key-exchange。

客户端收到Server Hello Done消息后就发送此消息用于将生成的premaster secret(用于生成会话密钥master secret)发送到服务器端。根据所采用的非对称加密的算法不同生成premaster secret的方式有所区别。

  • RSA :premaster_secret*是由客户端生成的随机数,用服务器证书中公钥加密后传输,服务器端采用私钥解密。
  • Diffie-Hellman: 对于Diffie-Hellman算法而言,双方通过Server Key Exchange Message 与 Client Key Exchange Message 交换两个数即可各自算出相同的加密密钥,用此当premaster_secret。


生成会话密钥(master secret)

服务器收到此消息后终于可以生成会话密钥了,我们要解答几个问题: 
为何要生成master secret?

RSA等非对称加密算法加密大量数据时的性能远小于AES等对称加密算法,所以前面所做的 Key Exchange 操作都是为了生成一个对称加密算法的密钥,以便提高通信性能。

master secret的生成方法?

使用前面协商的如SHA_256哈希算法由三个随机数client_random、server_random、premaster_secret生成一个安全随机数,采用三个随机数是为了随机性更强

三个随机数都在不可靠网络上传输,如何保证master secret是保密的?

三个随机数中premaster_secret是保密的,所以master_secret也是保密的。


c) 客户端继续发送change cipher Spec报文(Client发送密钥改变通知)
用来告诉服务端,此报文之后的通信会采用master secret进行加密。



d)客户端发送finish报文(Encrypted Handshake Message),

报文包含链接至今全部报文的整体校验值。客户端将前面的握手消息生成摘要再用协商好的秘钥加密,这是客户端发出的第一条加密消息。服务端接收后会用秘钥解密,能解出来说明前面协商出来的秘钥是一致的。




6.服务端接收客户端发来的数据之后要做以下的操作:
a) 使用自己的私钥将信息解密取出密码,使用密码解密客户端发来的握手消息,并验证HASH是否与客户端发来的一致。
b) Certificate Verify:如果服务器请求验证客户端,则这消息允许服务器完成验证过程。

7 服务端发送Change cipher spec报文:

服务器端收到 Client Key Exchange Message 通知后即可通知客户端已生成master secret,后面的通信数据用此key加密。


8 服务端发送finish报文(Encrypted Handshake Message)。

服务端也会将握手过程的消息生成摘要再用秘钥加密,这是服务端发出的第一条加密消息。客户端接收后会用秘钥解密,能解出来说明协商的秘钥是一致的。


Application Data

到这里,双方已安全地协商出了同一份秘钥,所有的应用层数据都会用这个秘钥加密后再通过 TCP 进行可靠传输。


总结:



     引用《图解HTTP》总结下HTTPS的流程

后记:

  本文初始目的是为了整理HTTP代理过程,顺带回顾下HTTPS的流程。

举的HTTPS例子也是简单的。单项抓取百度的数据,用抓包工具验证过程。

还有双向验证的,以及高级的优化功能。很底层的加密算法没有去深入展开。

这部分知识在平时的开发过程中很少用到,因为常用都是高级封装好的接口(比如HTTPclient等),但能让我们更清楚地了解 HTTPS 的工作原理,而不仅仅是只知道 HTTPS 会加密数据十分安全。

感谢唐斌斌对于抓包过程的支持。


参考:

https://imququ.com/post/web-proxy.html

http://www.jianshu.com/p/7158568e4867

http://blog.csdn.net/tterminator/article/details/50675540

http://blog.csdn.net/tp7309/article/details/53057429

bohu83
关注
  • 6
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fiddler教程:fiddler抓包时,出现的 tunnel to
雨水的早晨的博客
06-01 10万+
解读tunnel to 在抓包的时候,有时候会遇到很多的tunnel to,图标是一把锁的形状,使用的方法是Connect,如下图: 在某主的CSDN博客中,查到的资料如下: connect是为了建立http tunnel,connect是http众多方法中的其中一种,它跟post、get、put、options方法是并列的。但是它的使用场景很特殊。只有在受限制的网络环境中(防火...
Wireshark数据抓包分析HTTP协议
ChuMeng1999的博客
09-14 1426
HTTP(HyperText Transfer Protocol,超文本传输协议)是Web系统最核心的内容,它是Web服务器和客户端直接进行数据传输的规则。Web服务器就是平时所说的网站,是信息内容的发布者。最常见的客户端就是浏览器,是信息内容的接受者。HTTP(HyperText Transfer Protocol,超文本传输协议)协议是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。
基于tuns的DNS隧道研究
ailx10
05-21 209
tuns是类似iodine的一种DNS双向隧道,这个隧道的官网[1]介绍非常少,很多人复现不出来,是因为ruby中的 require ,需要指定路径,这里需要添加-I lib ,这是官网不曾说的,哈哈。 实践表明,没有营销吹的那么厉害,延迟非常大,比iodine隧道差远了。步骤一:在服务端运行 tuns-server注意添加参数-I lib 就好了。步骤二:在客户端运行 tuns-client参...
基于httpshttpconnection请求
01-18
java 基于https请求httpconnection, 在代码中加入tls, tls1.2等..
Wiresharkhttps 请求抓包并展示为明文
最新发布
༺ bestcxx的专栏 ༻
07-10 1696
我们监听 https 需要连接外网,我本地通过 WIFI 连接,故选择 Wi-Fi:en0。可以在具体某一条上,右键->Follow ,选择 HTTP 或者 TLS 都是可以的。作用是,Chrome 浏览器会把 https 请求中的秘钥保存到指定的文件,下一步。比如我们访问 https://www.baidu.com ,然后随便搜什么。如果没有本文的设置,左下角这一块内容是没有的,只会有一个密文信息。如果是想监听本地,就选择 Loopback:lo0。此时捕获的包已经是明文,可以通过域名进行过滤。
dns隧道攻击原理及常用工具流量分析
Fiverya的博客
02-20 3370
今天看到一个关于Lyceum组织的文章,这个组织擅长使用dns隧道攻击,这种攻击方式还是头一次听说,于是搜集了一些文章来看看。
HTTP协议
m0_67683346的博客
11-15 2917
详解HTTP协议
Http协议①】认识http协议,学会使用fiddler抓包工具进行抓包.
m0_58097299的博客
05-20 859
认识http协议,学会使用fiddler抓包工具进行抓包.
Wireshark 抓包理解 HTTPS 协议
qhh0205
05-26 9561
Wireshark 抓包理解 HTTPS 协议 HTTPS 简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer)协议是 HTTP 协议的安全版,在 HTTP 应用层和传输层加入了 SSL/TLS 层,确保数据传输的安全性,所以 HTTPS 协议并不是什么新的协议,仅仅是 HTTP 协议和安全协议的组合。 HTTPS 协议...
wireshark抓包分析
06-21
wireshark抓包分析 wireshark抓包分析 在使用WireShark之前先了解一下自己计算机的一些信息 查看自己主机的IP地址,这里用的Win11电脑,直接使用cmd输入 ipconfig 查看本机IP信息
RTSP wireshark抓包分析
03-09
RTSP wireshark抓包分析
SSLproxy:透明 SSLTLS 代理,用于解密网络流量并将其转移到其他程序,例如 UTM 服务,以进行深度 SSL 检查
08-05
SSLproxy - 透明的 SSL/TLS 代理,用于解密网络流量并将其转移到其他程序以进行深度 SSL 检查 版权所有 (C) 2017-2021, 。 版权所有 (C) 2009-2019, 。 概述 SSLproxy 是 SSL/TLS 加密网络连接的代理。 它旨在用于解密网络流量并将其转移到其他程序,例如 UTM 服务,以进行深度 SSL 检查。 使用 SSLproxy 解密网络流量并将其提供给其 UTM 服务:Web 过滤器、POP3 代理、SMTP 代理和内联 IPS; 并通过这些UTM软件间接进入Virus Scanner和Spam Filter。 鉴于现在大多数 Internet 流量都已加密,如果没有 SSLproxy,就不可能深入检查通过 UTMFW 的大部分网络流量。 有关 SSL 拦截和支持它的中间件的潜在问题的摘要,请参阅。 操作模式 SSLpr
各种隧道抓包
12-07
各种隧道协议 的抓包,可以用wireshark打开,有助于学习
# Wireshark 抓包分析介绍说明、使用技巧和优缺点
04-26
### Wireshark 抓包分析介绍说明、使用技巧和优缺点 #### Wireshark 是什么? Wireshark,作为一款强大的开源网络协议分析工具,它不仅具备捕捉网络数据包的功能,还能对这些数据包进行深入细致的分析。无论是在...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 抓包分析 Telnet 协议 Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制...
Wireshark简单分析HTTPS传输过程-抓包过程 - manjingliu的编程之旅 - CSDN博客1
08-03
在本文中,我们将探讨如何使用Wireshark分析HTTPSHTTP over SSL/TLS)的传输过程HTTPS是一种安全的网络通信协议,它通过在HTTP协议的基础上加入SSL/TLS层来提供数据加密、服务器身份验证和消息完整性检查,...
Http/https代理抓包分析
喝醉的鱼博客
10-16 1377
浅谈Http/Https代理和用wireshark抓包分析
IPSEC隧道抓包分析
热门推荐
bingyu的博客
09-27 1万+
IPSEC VPN隧道抓包分析整个IPSEC VPN从建立到数据传输可以分为两个阶段。阶段一主要是协商建立一个主密钥,所有后续用户的密钥都根据主密钥产生,阶段一主要是在通信双方间建立一条经过身份验证并且加密的通道。阶段二使用阶段一建立的安全通道,协商安全联盟和用于保护用户数据的密钥。阶段一有主模式和积极模式。现在抓包分析的是主模式,有6个来回交互的包,发起端是60.251.67.10,对端是58.2
超文本传输协议HTTP
weixin_30678349的博客
02-26 132
超文本传输协议(英语:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议[1]。HTTP是万维网的数据通信的基础。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符(Uniform Resource Identifiers,URI)来标识。 协议概...
wireshark抓包分析https
06-28
### 回答1: 这个问题的意思是让我们用中文回答:Wireshark抓包分析httpsWireshark是一款开源的网络协议分析软件,可以实时深入地分析网络通信数据包的内容。 https是一种加密的网络通信协议,用于保护数据传输的安全性。在Wireshark中,我们可以通过抓包分析https的通信过程,查看加密的数据包内容。这对于网络安全的检测、调试和优化有很大的帮助。 ### 回答2: Wireshark是一款网络协议分析工具,可以用来抓包分析网络数据包。在网络中,有些网站使用了HTTPS协议进行通信,通过SSL加密来保护传输内容的安全性。但是对于网络管理员或者安全研究人员来说,想要对HTTPS的内容进行抓包分析是非常有必要的,以便及时发现安全隐患和问题。 抓取HTTPS数据包时,需要先安装配置SSL证书,这样才能对SSL加密的数据进行解密,并获取其中的明文信息。在Wireshark中,我们可以通过“Edit”->“Preferences”->“Protocols”->“SSL”来设置SSL证书。在“SSL protocol”中选择“(Pre)-Master-Secret log filename”,然后选择一个输出文件,保存SSL协议过程中的Master Secret值。此操作完成后,Wireshark就可以用这个文件来解密抓取到的HTTPS数据包。 如果需要分析HTTP协议在HTTPS中的流量,可以在“Analyze”->“Follow SSL Stream”中开启“Follow TCP stream”,这样可以看到HTTP请求和响应中的明文数据。如果需要分析HTTPS中的手动操作,可以使用“Decrypt SSL Traffic”解密传输内容。 在逐步剖析HTTPS中的数据包时,可以查看SSL协议的握手过程,包括客户端和服务端之间的协议版本、密钥协商的算法、证书验证过程、会话密钥等信息。同时,也可以查看HTTP协议的请求和响应,了解具体的网络传输内容。通过这些分析,可以发现协议问题和潜在漏洞,进一步加强网络安全。 总之,使用Wireshark抓包分析HTTPS协议时,需要注意设置SSL证书,解密SSL协议内容,从握手过程HTTP请求响应中分析协议问题和潜在漏洞,以提高网络安全和保护网络信息。 ### 回答3: Wireshark是一款非常强大的网络协议分析工具,可用于分析网络流量中的各种网络协议。其中,wireshark抓包可以用来捕获网络数据包,显示每个数据包的详细信息,并分析这些数据包的内容。而对于HTTPSwireshark抓包分析也同样适用。 HTTP是一种明文传输的协议,没有任何加密机制,所有的通信数据都是明文传输的。这种方式虽然简单,但是极易被恶意攻击者截获和窃取敏感信息。而HTTPS则是基于TLS/SSL加密的HTTP协议,通过对数据进行加密来保护通信安全。wireshark抓包分析时,可以利用Wireshark中内置的SSL解密功能来解码HTTPS流量,以便分析和查看通信的详细信息。 首先,需要在Wireshark中设置解密HTTPS流量。具体方法如下:首先打开Wireshark,在“Edit->Preferences->Protocols->SSL”下,将“RSA keys list”设置为客户端与服务器端的预热密钥列表文件,这个文件可以在SSLKEYLOGFILE环境变量中进行定义。接着开启HTTPS流量捕获功能,即可开始分析。 在wireshark抓包分析HTTPS时,可以从中查看和分析各种HTTPS协议的细节信息。例如,Wireshark可以捕获并显示HTTPS握手过程中的所有信息,包括客户端发送的ClientHello消息,服务器发送的ServerHello,Certificate和ServerHelloDone等消息。此外,还可以看到每个数据包的详细信息,包括源地址,目的地址,协议类型、数据长度等。根据这些信息,可以分析数据包的内容,调试和解决网络故障和安全问题。 综上所述,采用wireshark抓包方法分析HTTPS流量具有非常重要的优势,可以保障通信安全,帮助分析和解决网络故障和安全问题,提高网络性能和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值