SSL连接的抓包分析

最新推荐文章于 2023-10-01 00:25:22 发布
最新推荐文章于 2023-10-01 00:25:22 发布
阅读量2.2k 收藏 9
点赞数
分类专栏: 安全 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzroy/article/details/124963833
版权

在上一篇博客中,我用JAVA编写了一个服务器和客户端程序,实现SSL的双向认证和连接。下面我们可以对整个连接的过程进行抓包分析,更好的理解整个连接的过程,也方便做故障排查。

首先安装wireshark,这是一个很方便的抓包分析工具。启动wireshark, 选择要抓包的网络接口。因为我是在本地运行服务器和客户端程序,因此这里选择loopback接口。之后,我们需要配置一下SSL的端口,因为服务器是设置了9999这个端口来进行连接,这不是默认的SSL端口(443),因此需要在wireshark中配置一下,不然抓到的包里面是没有SSL协议的。

打开wireshark->edit->prefrence->protocols->HTTP,在SSL/TLS ports里面填入443,9999。这样就能抓到SSL协议的包了

在SSL连接建立之后,服务器和客户端的通讯的内容是被加密的,如果我们想要看到这些内容,就需要解密。这里我们需要借助一个第三方的工具,来记录SSL连接建立时协商的随机数和Secret key。我选择的是jSSLKeyLog,下载了这个jar包之后,启动客户端时输入如下命令,就可以把相关的连接信息记录到ssl_logfile.log文件。

java -javaagent:jSSLKeyLog.jar=ssl_logfile.log -jar client-1.0-SNAPSHOT.jar

在wireshark的edit->prefrence->protocols->tls中,(Pre)-Master-Secret log filename输入ssl_logfile.log文件的路径,wireshark就能帮我们解密SSL传输的application data的信息。

以下是我在wireshark中抓取的SSL双向认证连接的数据包:

No.	Time	Source	Destination	Protocol	Length	Info
1	0.000000	127.0.0.1	127.0.0.1	TCP	56	64095 → 9999 [SYN] Seq=0 Win=65535 Len=0 MSS=65495 WS=256 SACK_PERM=1
2	0.000310	127.0.0.1	127.0.0.1	TCP	56	9999 → 64095 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=65495 WS=256 SACK_PERM=1
3	0.000348	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=1 Ack=1 Win=2619648 Len=0
4	0.054500	127.0.0.1	127.0.0.1	TLSv1.2	327	Client Hello
5	0.054556	127.0.0.1	127.0.0.1	TCP	44	9999 → 64095 [ACK] Seq=1 Ack=284 Win=2619648 Len=0
14	0.117108	127.0.0.1	127.0.0.1	TLSv1.2	134	Server Hello
15	0.117153	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=284 Ack=91 Win=2619648 Len=0
16	0.117501	127.0.0.1	127.0.0.1	TLSv1.2	883	Certificate
17	0.117527	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=284 Ack=930 Win=2618624 Len=0
18	0.154454	127.0.0.1	127.0.0.1	TLSv1.2	349	Server Key Exchange
19	0.154510	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=284 Ack=1235 Win=2618368 Len=0
20	0.155595	127.0.0.1	127.0.0.1	TLSv1.2	281	Certificate Request
21	0.155621	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=284 Ack=1472 Win=2618112 Len=0
22	0.155776	127.0.0.1	127.0.0.1	TLSv1.2	53	Server Hello Done
23	0.155797	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=284 Ack=1481 Win=2618112 Len=0
24	0.181028	127.0.0.1	127.0.0.1	TLSv1.2	890	Certificate
25	0.181103	127.0.0.1	127.0.0.1	TCP	44	9999 → 64095 [ACK] Seq=1481 Ack=1130 Win=2618880 Len=0
26	0.231214	127.0.0.1	127.0.0.1	TLSv1.2	86	Client Key Exchange
27	0.231256	127.0.0.1	127.0.0.1	TCP	44	9999 → 64095 [ACK] Seq=1481 Ack=1172 Win=2618880 Len=0
28	0.274682	127.0.0.1	127.0.0.1	TLSv1.2	313	Certificate Verify
29	0.274724	127.0.0.1	127.0.0.1	TCP	44	9999 → 64095 [ACK] Seq=1481 Ack=1441 Win=2618624 Len=0
30	0.277254	127.0.0.1	127.0.0.1	TLSv1.2	50	Change Cipher Spec
31	0.277294	127.0.0.1	127.0.0.1	TCP	44	9999 → 64095 [ACK] Seq=1481 Ack=1447 Win=2618624 Len=0
32	0.278436	127.0.0.1	127.0.0.1	TLSv1.2	89	Finished
33	0.278475	127.0.0.1	127.0.0.1	TCP	44	9999 → 64095 [ACK] Seq=1481 Ack=1492 Win=2618368 Len=0
34	0.283691	127.0.0.1	127.0.0.1	TLSv1.2	50	Change Cipher Spec
35	0.283761	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=1492 Ack=1487 Win=2618112 Len=0
36	0.284271	127.0.0.1	127.0.0.1	TLSv1.2	89	Finished
37	0.284303	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=1492 Ack=1532 Win=2618112 Len=0
38	0.286136	127.0.0.1	127.0.0.1	TLSv1.2	84	[TLS segment of a reassembled PDU]
39	0.286178	127.0.0.1	127.0.0.1	TCP	44	9999 → 64095 [ACK] Seq=1532 Ack=1532 Win=2618368 Len=0
40	0.288601	127.0.0.1	127.0.0.1	TLSv1.2	77	[TLS segment of a reassembled PDU]
41	0.288642	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [ACK] Seq=1532 Ack=1565 Win=2618112 Len=0
42	1.312272	127.0.0.1	127.0.0.1	TCP	44	64095 → 9999 [RST, ACK] Seq=1532 Ack=1565 Win=0 Len=0

从以上的数据可以清晰的了解整个SSL连接的全过程。当我们想了解服务器和客户端之间传输了什么数据的时候,例如这里的第38行是连接建立之后,客户端给服务器发送一个"Helo World"的信息,第40行是服务器给客户端发送一个"Bye"的信息。当我们点击这两行的时候,wireshark会自动帮我们解密。这样很方便我们进行后续的一些故障排查的工作。

gzroy
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络协议安全:SSL/TLS协议详解,SSL协议执行原理、报文格式解析,Wireshark抓包分析SSL协议
wangyuxiang946的博客
04-16 1万+
这篇文章为大家讲解SSL协议的执行过程,解析报文格式,用wireshark抓包分析ssl协议工作过程。
深入解析SSL/TLS协议:原理、报文格式与抓包分析
qq_44103359的博客
05-16 497
Wireshark是一个流行的网络协议分析工具,可以捕获和显示网络上传输的数据包。
手机ssl抓包
02-04
ssl抓包神器_v1.1.0_VIP.apk 备份使用
SSL通信过程分析
hpp205的专栏
10-09 4890
        SSL通信过程分析 一、SSL建立握手连接目的 1.身份的验证,client与server确认对方是它相连接的,而不是第三方冒充的,通过证书实现。 2.client与server交换session key,用于连接后数据的传输加密和hash校验。 二、简单的SSL握手连接过程 (仅Server端交换证书给client): 1.client发送ClientHell...
SSL握手协议抓包之RSA
iteye_5722的博客
12-19 356
一 密钥交换算法 密钥交换算法一般常用的有RSA和DH,本篇理论结合实际,介绍SSL握手协议中关于RSA抓包过程。   二 SSL握手协议中RSA密钥交换图  三 RSA密钥交换抓包分析 SSL握手第一阶段: 1 Client Hello(C->S) 2 Server Hello (S->C) SSL握手第二阶段: 3 Cer...
SSLVPN 典型场景流量图对应抓包分析
Fems_123_的博客
06-25 758
SSLVPN vpp 防火墙
SSL握手过程实例分析
ywa037的博客
01-12 223
SSL握手过程实例分析 a1510841693 2018-11-29 21:03:59 12...
基于Wireshark实现对FTP的抓包分析
06-15
总结一下,基于Wireshark的FTP抓包分析是一项强大而实用的技能,它能让你深入了解FTP协议的工作机制,检测网络性能问题,并增强对网络安全的理解。熟练掌握这一工具,不仅可以提升你的技术能力,也是网络管理员和...
实时抓包分析
05-14
本文将深入探讨如何使用Ethereal(现称为Wireshark)这款强大的网络协议分析工具进行实时抓包分析。 Wireshark是一款开源的网络封包分析软件,它能够捕获并显示网络通信中的数据包细节。通过它,我们可以看到网络...
wireshark抓包实验分析
05-06
在实验环境中,你可以模拟不同的网络场景,比如网络拥塞、连接中断,然后使用Wireshark抓包分析其影响。这有助于你更好地理解网络行为,并提升故障排除能力。 此外,Wireshark还有许多高级功能,如颜色编码(根据...
Java网络抓包.zip
01-07
Java网络抓包是一种技术,用于监控和分析网络通信数据,以了解网络中数据包的传输情况。这在软件开发、网络故障排查、安全检测等领域都具有重要意义。在Java环境中实现网络抓包,开发者通常会利用Java的Socket编程、...
安卓手机抓包神器 ssl抓包神器_VIP.apk
03-12
【软件名字】:SSL抓包神器 【软件版本】:V1.1.0 【软件语言】:中文 【软件大小】:3.11MB 【支持系统】:安卓2.2之上 【软件简介】:安卓最牛抓包神器,N多技术达人的最爱,此版本为破解专业版,强烈推荐一波。
抓包工具charles.zip
05-07
1. 分析WebSocket通信:Charles支持WebSocket协议抓包,可查看WebSocket连接的建立、消息交换等细节。 2. 使用Proxy Export导出抓包数据:对于需要分享或离线分析抓包数据,可以使用Proxy Export功能将其导出为...
SSL/TLS介绍以及wireshark抓包TLS Handshake报文
weixin_52018852的博客
10-01 4928
SSL/TLS是在应用层和传输层之间的一个安全协议,通信的双方在进行通信前需要握手,通过在通信的两端建立一个安全的通道,保护数据在传输过程中的安全性。Session Identifier 的优点是它很简单,但它的缺点是,如果服务器重新启动或者会话超时,之前的Session Identifier就会失效,需要重新建立会话。Session Ticket 的优点是它可以在服务器重启后仍然保持会话的有效性,但需要确保会话票据的安全性,以防止被恶意利用。因为这是一次单向认证的Handshake过程,故比较简单。
安卓7.0之后ssl如何抓包是一个NP难题么?
qq23425352的博客
11-14 2123
是一款教育类APP的视频m3u8地址抓包,顺便练习一下接口测试的基本功,也就是搭建本地测试环境。 起因是,我和某大学生合租了一个网课的账号,可以浏览器和app同时登录,不能两个浏览器同时登录,那样会把对方踢下线;所以,他花钱多他用电脑浏览器,我就用app刷课。 一开始在浏览器阔以抓包成功,很简单的对吧,就是f12盯着network看就行了;所以我就觉得在app上应该也可以;然后有了接下来两天的浪费时间; 先罗列一下用的工具链: 操作系统:win11 开发环境:wsl(基于Hyper-V) pyt
国密SSL通信协议详细介绍与抓包分析
ZHnDo的博客
01-04 4093
最近研究有关SSL协议的物联网安全协议,看了很多资料并且结合TASSL在ubuntu上跑了一个简单的demo,因此有了一些自己的理解,那么就详细讲解一下我所知道的SSL,相信这一篇文章就可以让你全面了解SSL
Wireshark基础使用,SSL解密及http抓包入门教程
米不开朗基罗的博客
11-18 7457
Wireshark VS Fiddler/Charles(一)下载与安装(二)抓取https等解密(三)报文传输各层简要介绍 Wireshark VS Fiddler/Charles Wireshark功能很多、作用效果很底层,并且可以监听指定的网卡上流过的所有流量,支持的协议如下: ARP 协议:地址解析协议,即ARP(Address Resolution Protocol),是根据 IP地址 获取 物理地址 的一个 TCP/IP协议 ICMP 协议:控制 报文 协议。 它是 TCP/I
https(ssl协议抓包
qq_39717454的博客
07-01 1276
https 工作流程:STEP1:请求 https 连接,并返回证书(公钥)STEP2:产生随机对称秘钥STEP3:使用公钥对对称秘钥加密STEP4:发送加密后的对称秘钥STEP5:通过对称密钥加密的密文通信随便访问一个网址, ssl 进行过滤可得 发现信息中有很多的 client hello 和 server hello查看 client hello 可以在 secure sockets lay...
国密https握手协议抓包分析Wireshark
最新发布
06-19
HTTPS (Hypertext Transfer Protocol Secure) 是HTTP协议的一个安全版本,通过SSL/TLS协议加密数据,提供数据传输的安全性和隐私保护。当你使用Wireshark抓包分析HTTPS流量时,你会看到实际的网络通信被包装在一个加密套接字中,这使得直接查看数据内容变得困难。 抓包分析HTTPS的主要步骤如下: 1. **启动Wireshark**:首先,打开Wireshark,并确保已经安装了SSL/TLS解密插件(如SSL dissector),以便正确解析加密流量。 2. **选择接口和过滤器**:选择你的网络接口,通常选择“Any”来捕获所有流量,然后添加过滤器`tcp.port == 443`,这样只会显示HTTPS流量。 3. **截取流量**:开始抓包,等待一段连接时间,确保捕获到完整的HTTPS会话,包括三次握手(TCP连接建立)和后续的数据交换。 4. **解密流量**:Wireshark会自动对SSL/TLS包进行解密,但解密过程可能会因为证书问题、私钥缺失等原因失败,这时可能需要手动导入相应的证书或信任链。 5. **查看会话信息**:在捕获的包中,你可以看到TLS/SSL连接的详细信息,如版本、加密算法、认证方法等。HTTP请求和响应会被转换为明文显示。 6. **分析数据**:通过查看HTTP请求头和响应头,可以了解请求的URL、方法、HTTP状态码以及任何附加的身份验证信息。 相关问题: 1. 如何在Wireshark中导入自定义的SSL证书来解密HTTPS会话? 2. HTTPS握手过程中,三次握手具体指什么? 3. Wireshark如何处理SSL/TLS连接失败的情况?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gzroy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值