SSL / TLS协议解析!SNI 识别

最新推荐文章于 2024-08-26 14:16:21 发布
最新推荐文章于 2024-08-26 14:16:21 发布
阅读量7k 收藏 13
点赞数 3
分类专栏: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen1415886044/article/details/116330304
版权

自Web诞生以来,我们所接触的互联网时代,都有可能存在信息的截断,而SSL协议及其后代TLS提供了加密和安全性,使现代互联网安全成为可能。

这些协议已有将近二十多年的历史,其特点是不断更新,旨在与日趋复杂的攻击者保持同步。

什么是SSL!什么是TLS!

SSL代表安全套接字层,该协议是由Netscape于1990年代中期开发的,Netscape是当时最受欢迎的Web浏览器。SSL 1.0从未向公众发布,而SSL 2.0具有严重的缺陷。1996年发布的SSL 3.0进行了彻底的改进,为后续工作奠定了基础。

而TLS与SSL,当一版本于1999年发布时,它由Internet工程任务组(IETF)进行了标准化,并被赋予了一个新名称:传输层安全性( TLS)。

正如TLS规范指出的那样,“此协议与SSL 3.0的区别并不明显。” 因此,TLS和SSL并不是真正的问题。而是,这两者形成了一系列不断更新的协议,并且经常被合并为SSL / TLS。

这样我们就明白了TLS(传输层安全性)只是SSL的更新,更安全的版本。目前已经升级到TLS1.3版本,TLS协议对所有类型的Internet通信进行加密。最常见的是网络流量;

简而言之,它们是保持Internet连接安全并保护两个系统之间发送的任何敏感数据的标准技术,可防止犯罪分子读取和修改所传输的任何信息,包括潜在的个人详细信息。

SSL/TLS握手过程

握手过程非常复杂,并且协议允许有多种变体。以下步骤提供了一个大致的概述。

第一

  • 客户端与服务器联系并请求安全连接。服务器以密码套件列表(即创建加密连接的算法工具包)答复

在这里插入图片描述

  • 客户端将其与其自己的受支持密码套件列表进行比较,选择一个,然后让服务器知道它们都将使用它。

在这里插入图片描述
第二

  • 服务器提供其数字证书,该数字证书是由第三方机构颁发的确认服务器身份的电子文档。包含服务器的公共加密密钥等等。

在这里插入图片描述

  • 客户端收到证书后,便会确认证书的真实性。

第三

  • 客户端和服务器使用服务器的公共密钥,建立会话密钥,这两个会话密钥将用于会话的其余部分以加密通信。有几种技术可以做到这一点。

  • 客户端可以使用公共密钥对随机数进行加密,然后将其发送到服务器进行解密,然后双方都可以使用该数字来建立会话密钥。

  • 或者,两方可以使用所谓的Diffie-Hellman密钥交换来建立会话密钥。

在这里插入图片描述

TLS1.2和TLS1.3比较

TLS1.2它也允许使用较旧的加密技术,以支持较旧的计算机。不幸的是,这使它容易受到攻击,在中间人攻击中,黑客拦截了通信中的数据包,并在读取或更改数据包后将其发送出去。

幸运的是,TLS1.3通过抛弃对旧加密系统的支持,填补了许多此类漏洞。使通信中的数据包受到了保护。

什么是SNI

Server Name Indication (SNI) 是TLS协议(以前称为SSL协议)的扩展,该协议在HTTPS中使用。它包含在TLS/SSL握手流程中,以确保客户端设备能够看到他们尝试访问的网站的正确SSL证书。该扩展使得可以在TLS握手期间指定网站的主机名或域名 ,而不是在握手之后打开HTTP连接时指定。

SNI的技术原理

SNI通过让客户端发送虚拟域的名称作为TLS协商的ClientHello消息的一部分来解决此问题。这使服务器可以及早选择正确的虚拟域,并向浏览器提供包含正确名称的证书。

在这里插入图片描述
这样要说一下,服务器名称指示(SNI)有效负载未加密,因此客户端尝试连接的服务器的主机名对于被动的窃听者是可见的。

TLS的SNI扩展有什么作用?

  • Web服务器通常负责多个主机名–或域名。如果网站使用HTTPS 则每个主机名将具有其自己的SSL证书。
  • 在HTTPS中,先有TLS握手,然后才能开始HTTP对话。如果没有SNI,客户端将无法向服务器指示正在与之通信的主机名。
  • 如果服务器可能为错误的主机名生成SSL证书。那么SSL证书上的名称与客户端尝试访问的名称不匹配,则客户端浏览器将返回错误信息,并通常会终止连接。
  • 通过 SNI,拥有多虚拟机主机和多域名的服务器就可以正常建立 TLS 连接了。

下面,我们就开始对TLS协议的SNI进行解析。

TLS协议的SNI识别

这里给出的只是一部分代码实现。

int main(int argc, char* argv[])
{
    char errbuf[1024];
    pcap_t *desc = 0;

    char *filename = argv[1];
    if (argc != 2)
    {
        printf("usage: ./dissect_tls [pcap file]\n");
        return -1;
    }

    return 0;
}

编译运行:

在这里插入图片描述

在客户端到服务端方向的 ClientHello 包中,提取 SNI 扩展字段中的 SNI_NAME 字段,通过数据包偏移量进行逐步匹配得到 SNI_NAME。对 SNI_NAME 进行规则匹配。

总结

这篇文章只是对SSL/TLS做一些简单的介绍,想通过更多认识,可以阅读官方的RFC文档,对于SNI(Server Name Indication)是 TLS 的扩展,它主要是用来解决一个服务器拥有多个域名的情况。通过 SNI,拥有多虚拟机主机和多域名的服务器就可以正常建立 TLS 连接了。

欢迎关注微信公众号【程序猿编码】,需要SSL/TLS源码和报文的添加本人微信号(17865354792)

程序猿编码
关注
专栏目录
互联网协议TLSSNI
烟云的计算
01-20 3056
目录 文章目录目录SNI 的应用场景SNI 的实现原理1. client_hello2. server_hello + server_certificate + sever_hello_done3. 证书校验4. client_key_exchange + change_cipher_spec + encrypted_handshake_message5. change_cipher_spec + encrypted_handshake_message6. 握手结束7. 加密通信 SNI 的应用场景 早期的
scapy TLS/SSL 流量数据操作
uno的博客
05-22 5352
scapy TLS/SSL 流量数据操作 本文仅接上文介绍如何使用 Python scapy 从pcap数据包中提取TLS/SSL数据包的基本信息,例如SNI等。 参考:https://scapy.readthedocs.io/en/latest/api/scapy.layers.tls.html 前言 scapy 能够从pcap包中提取出数据包对象,可以直接通过pkt.show()输出显示数据包内容,对一个TLS(client hello)数据包的显示如下图: 代码: from scapy.all im
一文读懂SSL认证全解析
sunxunyong的博客
07-02 1641
storepasswd 修改keystore口令 keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码。
什么是sni
最新发布
qq_65665724的博客
08-26 1000
这样客户端在发送请求的时候,利用DNS域名解析,只要向解析到的IP地址(服务器地址)发送请求,然后服务器将自身唯一的证书返回回来,交给客户端验证,验证通过,则继续进行后续通信。然后通过协商好的加密通道,获得所需要的内容。server_hello, 服务端返回协商的信息结果,包括选择使用的协议版本 version,选择的加密套件 cipher suite,选择的压缩算法 compression method、随机数 random_S 等,其中随机数用于后续的密钥协商;
TLS SNI
weixin_30776863的博客
02-16 195
Nginx如果开启了TLS SNI support,就能支持多个SSL加密站点共同使用一个IP 方法也很简单,首先先看看你现在的Nginx是否enable了这个功能 /usr/local/nginx/sbin/nginx -V nginx: nginx version: nginx/1.1.0 nginx: TLS SNI support disable nginx: c...
TLS SNI测试
LoongTu
04-02 2359
文章目录概述测试启动服务器客户端发起连接,不指定servername客户端发起连接,指定servername客户端发起连接,指定错误servername 概述 服务器名称指示(Server Name Indication,缩写:SNI)是TLS的一个扩展协议,首次发布在openssl 0.9.8f版本。 在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的...
Server Name Indication(SNI),HTTP/TLS握手过程解析
chen1415886044的博客
10-22 3171
Server Name Indication(SNI)是一种TLS扩展,用于在TLS握手过程中传递服务器的域名信息。在未使用SNI之前,客户端在建立TLS连接时只能发送单个IP地址,并且服务器无法知道客户端请求的具体域名。这导致服务器需要使用默认证书进行握手,无法正确选择合适的证书。 使用SNI扩展后,客户端在发送ClientHello消息时会包含所请求的服务器的域名。服务器根据该域名来选择对应的证书进行握手,从而实现了多个域名共享同一个IP地址并使用不同证书的能力。
SNI: 实现多域名虚拟主机的SSL/TLS认证
上善若水,水善利万物而不争。
02-20 1万+
一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域
计算机网络 - mbed TLS
InfiniteYuan
03-19 1946
计算机网络 - mbed TLS计算机网络 - mbed TLS背景SSL库是做什么的?什么是SSL?为什么用mbed TLS?SSL/TLS之间的区别?SSL库的一部分?概述SSL/TLS 客户端和服务器加密库对称加密算法散列算法公钥随机数发生X.509 证书处理测试堆栈解释(Stack explanation)SSL/TLS 说明示例客户端添加安全通信设置SSL 连接SSL/TLS 配置读写数...
HTTPS协议详解
yangyang的专栏
10-29 1145
参考系列文章:https://blog.csdn.net/column/details/12857.html 1.HTTPS基础知识 HTTP是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议。 HTTP是采用明文形式进行数据传输,极易被不法份子窃取和篡改。 HTTPS基础知识:HTTPS (Secure Hy...
pcap包结构&SNI字段的解析
weixin_39286923的博客
08-23 3742
pcap文件格式是常用的数据报存储格式,包括wireshark在内的主流抓包软件都可以生成这种格式的数据包。 文件格式: Pcap文件头(24字节)+数据包头(wireshark增加的)+数据包(网络中抓取的)+…… 1.pcap文件头结构 各字段说明: Magic:4B:0×1A 2B 3C 4D:用来识别文件自己和字节顺序。0xa1b2c3d4用来表示按照...
Google IP 可用性检测脚本 - 依云's Blog1
08-03
在脚本中,`HTTPSConnection`类是自定义的,继承自`http.client.HTTPSConnection`,目的是添加对SNI(Server Name Indication)的支持,这是在建立SSL/TLS连接时向服务器表明要访问的主机名的机制。同时,它设置了...
OpenSSL-SNI
热门推荐
Remy的学习记录
09-14 1万+
一、    什么是SNI?     SNI是Server Name Indication的缩写,是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它允许客户端在发起SSL握手请求时(客户端发出ClientHello消息中)提交请求的HostName信息,使得服务器能够切换到正确的域并返回相应的证书。     在SNI出现之前,HostName信息只存在于HTTP请求中,但SSL/TL
HTTPS-SSL/TSL与SNI的关系以及同IP多域名虚拟主机的SSL/TSL认证
weixin_34256074的博客
10-23 313
早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以...
TLS SNITLS Server Name Indication)配置:F5、Nginx和IIS
sysin | SYStem INside
07-28 2030
TLS Server Name Indication (TLS SNI) TLS Server Name Indication (TLS SNI),used when a single virtual IP server needs to host multiple domains. TLS SNI Support 即一个 IP 地址上支持多个域名的 SSL 站点,或者说一个 IP 上支持绑定多个 SSL 证书。 支持 TLS SNI 的浏览器 Browsers/clients with support f
中国72%的个人电脑仍然使用Windows XP- SSL/SNI 问题
weixin_33802505的博客
10-15 128
很难相信,自微软发布WindowsXP之后,已经度过了12年。 尽管一直以来,该系统都存在安全问题,还需要每日进行更新,但是该系统仍然算得上是一个好的操作系统。在被新版本,如Vista,Windowws 7, 甚至最新的Windows 8取代之后,微软宣布自2014年4月后将最终停止对WindowsXP的支持。这个消息很重要,因为在中国有72%用户仍然使用XP系统!这主要是因...
HTTPS之SNI介绍
任我行的博客
06-30 2899
1. 介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,默认一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。 在HTT
TLS协议
CATCH A FIRE
10-18 1834
TLS简介TLS协议基于面向连接的TCP协议,它可被看作由两个主要部分组成:TLS记录协议(TLS Record Protocol)和TLS握手协议(TLS Handshake Protocol)。它可以实现传输应用数据前的通信双方身份的认证,加密套件(对称加密算法,签名算法等)的协商,会话密钥的协商,以及握手完成后的数据加密、压缩传输、以及数据完整性的校验。TLS握手具体的过程1.TCP三次握手T
SSL/TLS协议信息泄露漏洞
05-14
SSL/TLS协议信息泄露漏洞是指在使用SSL/TLS协议时,攻击者可以通过一些手段获取到加密通信中的明文信息,从而导致信息泄露。这种漏洞可能会导致用户敏感信息泄露、身份认证失效等安全问题。 这种漏洞的原因可能是SSL/TLS协议本身的设计缺陷,也可能是实现上的缺陷。例如,早期版本的SSL协议在加密过程中使用的是固定的密钥,攻击者可以通过分析加密报文来猜测密钥,从而获取到明文信息。此外,SSL/TLS协议中还存在一些加密算法的漏洞,例如BEAST攻击、POODLE攻击等,攻击者可以通过这些漏洞来获取加密通信中的明文信息。 为了防止SSL/TLS协议信息泄露漏洞的发生,需要使用较新的SSL/TLS协议版本,并且使用安全的加密算法。此外,还需要对服务器和客户端进行安全配置,禁用一些不安全的加密算法和协议版本。最好的方式是使用最新的TLS 1.3协议,它已经修复了之前版本中存在的大多数安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值