C++ and C# 从TLS握手二进制中获取SNI(服务器名称指示)域名

最新推荐文章于 2024-02-29 17:57:22 发布
最新推荐文章于 2024-02-29 17:57:22 发布
阅读量641 收藏 2
点赞数
分类专栏: C/C++ C# 文章标签: c# 服务器 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulilittle/article/details/126120455
版权
C/C++ 同时被 2 个专栏收录
250 篇文章 7 订阅
订阅专栏
C#
95 篇文章 2 订阅
订阅专栏

TLS客户端首帧连接TLS服务器时,会发送 ClientHello 消息请求服务器进行SSL/TLS握手,早年的SSL/TLS协议是不提供SNI扩展的,但后续因为服务器上需求SNI区分域的必要性,SSL/TLS协议标准制定了SNI扩展标准,发展到今天没有SNI的SSL/TLS连接几乎都不能被大多数的SSL/TLS服务器受理处理。

从TLS握手消息中提取SNI域,我们可以实现CDN(内容分发网络/内容定义网络)或SNI正向代理服务器,如果不替换源域SSL/TLS证书则为渗透性TLS正向代理,不替换SSL/TLS证书非渗透性TLS正向通常就称为基于SSL/TLS SNI的正向代理。

C#

        [StructLayout(LayoutKind.Sequential, Pack = 1, Size = 5)]
        private struct tls_hdr
        {
            public byte ContentType;
            public ushort Version;
            public ushort Length;
        };

#if NETCOREAPP
        [MethodImpl(MethodImplOptions.AggressiveInlining)]
#endif
        public static string GetHostNameByTlsClientHelloHandshake(BufferSegment messages)
        {
            if (messages == null ||
               messages.Offset < 0 ||
               messages.Length < sizeof(tls_hdr) ||
               messages.Buffer == null ||
               messages.Buffer.Length < (messages.Offset + messages.Length))
            {
                return null;
            }
            try
            {
                fixed (byte* pinned = &messages.Buffer[messages.Offset])
                {
                    tls_hdr* hdr = (tls_hdr*)pinned;
                    if (hdr->ContentType != 0x16) // Content Type: TLS handshake
                    {
                        return null;
                    }
                    int tls_payload = CheckSum.htons(hdr->Length);
                    if ((tls_payload + sizeof(tls_hdr)) != messages.Length)
                    {
                        return null;
                    }
                    byte* data = (byte*)(hdr + 1);
                    if (*data++ != 0x01) // Handshake Type: Client Hello (1)
                    {
                        return null;
                    }
                    int length = Math.Max(0, *data++ << 16 | *data++ << 8 | *data++);
                    if ((length + 4) != tls_payload)
                    {
                        return null;
                    }
                    // Skip Version
                    data += 2;
                    // Skip Random
                    data += 32;
                    // Skip Session ID
                    byte Session_ID_Length = Math.Max((byte)0, *data++);
                    data += Session_ID_Length;
                    // Skip Cipher Suites
                    int Cipher_Suites_Length = Math.Max(0, *data++ << 8 | *data++);
                    data += Cipher_Suites_Length;
                    // Skip Compression Methods Length
                    int Compression_Methods_Length = *data++;
                    data += Compression_Methods_Length;
                    // Extensions Length
                    int Extensions_Length = Math.Max(0, *data++ << 8 | *data++);
                    byte* Extensions_End = data + Extensions_Length;
                    while (data < Extensions_End)
                    {
                        int Extension_Type = *data++ << 8 | *data++;
                        int Extension_Length = Math.Max(0, *data++ << 8 | *data++);
                        if (Extension_Type == 0x0000) // RFC4366/6066(Server Name Indication extension)
                        {
                            int Server_Name_list_length = Math.Max(0, *data++ << 8 | *data++);
                            if ((data + Server_Name_list_length) >= Extensions_End)
                            {
                                break;
                            }
                            int Server_Name_Type = *data++;
                            if (Server_Name_Type != 0x00) // RFC6066 NameType::host_name(0)
                            {
                                data += 2;
                                continue;
                            }
                            int Server_Name_length = Math.Max(0, *data++ << 8 | *data++);
                            if ((data + Server_Name_length) > Extensions_End)
                            {
                                break;
                            }
                            return new string((sbyte*)data, 0, Server_Name_length);
                        }
                        else
                        {
                            data += Extension_Length;
                        }
                    }
                }
            }
            catch { }
            return null;
        }

C++

#pragma pack(push, 1)
    struct tls_hdr {
        Byte                                                    Content_Type;
        UInt16                                                  Version;
        UInt16                                                  Length;
    };
#pragma pack(pop)

    inline UInt16                                               fetch_uint16(Byte*& data) {
        Byte h_ = *data++;
        Byte l_ = *data++;
        return (h_ << 8) | (l_);
    }
    inline std::string                                          fetch_sniaddr(size_t tls_payload) {
        Byte* data = (Byte*)local_socket_buf_;
        if (*data++ != 0x01) { // Handshake Type: Client Hello (1)
            return "";
        }

        int Length = std::max<int>(0, data[0] << 16 | data[1] << 8 | data[2]);
        data += 3;

        if ((Length + 4) != tls_payload) {
            return "";
        }

        // Skip Version
        data += 2;

        // Skip Random
        data += 32;

        // Skip Session ID
        Byte Session_ID_Length = std::max<int>((Byte)0, *data++);
        data += Session_ID_Length;

        // Skip Cipher Suites
        int Cipher_Suites_Length = std::max<int>(0, fetch_uint16(data));
        data += Cipher_Suites_Length;

        // Skip Compression Methods Length
        int Compression_Methods_Length = *data++;
        data += Compression_Methods_Length;

        // Extensions Length
        int Extensions_Length = std::max<int>(0, fetch_uint16(data));
        Byte* Extensions_End = data + Extensions_Length;
        while (data < Extensions_End) {
            int Extension_Type = fetch_uint16(data);
            int Extension_Length = std::max<int>(0, fetch_uint16(data));
            if (Extension_Type == 0x0000) { // RFC4366/6066(Server Name Indication extension)
                int Server_Name_list_length = std::max<int>(0, fetch_uint16(data));
                if ((data + Server_Name_list_length) >= Extensions_End) {
                    break;
                }

                int Server_Name_Type = *data++;
                if (Server_Name_Type != 0x00) { // RFC6066 NameType::host_name(0)
                    data += 2;
                    continue;
                }

                int Server_Name_length = std::max<int>(0, fetch_uint16(data));
                if ((data + Server_Name_length) > Extensions_End) {
                    break;
                }
                return std::string((char*)data, 0, Server_Name_length);
            }
            else {
                data += Extension_Length;
            }
        }
        return "";
    }

liulilittle
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP/UDP/HTTP/TLS服务器的第二版
03-30
1.优化tcp断开重启功能 2.支持TCP,HTTP,UDP,TLS/HTTPS 3.支持可以配置自动回复,TLS双向认证,HEX转化功能 4.无需安装,window 7/10,直接运行,小巧方便,用于嵌入式测试的最佳选择工具
HTTPSTLS和TCP可以同时握手吗 607 - 616
05-15
HTTPSTLS和TCP可以同时握手吗 607 - 616
深入理解nginx的https sni机制
最新发布
一个致力于开源代码学习、分析和交流的博客
02-29 1392
本文从ssl上下文的初始化、ssl连接的初始化、sni回调处理,到最后动态证书加载的整个流程说明了nginx sni的实现过程
C开发, 支持 Server Name Indication (SNI)
linuxmail的专栏
01-30 563
Server Name Indication (SNI) 关于 Server Name Indication (SNI), 可以参考文章 https://blog.csdn.net/firefile/article/details/80532161 https://blog.51cto.com/zengestudy/2170245 如何支持SNI 第一, 服务器在执行SSL_accept的时候...
SSL / TLS协议解析!SNI 识别
chen1415886044的博客
05-01 6409
自Web诞生以来,我们所接触的互联网时代,都有可能存在信息的截断,而SSL协议及其后代TLS提供了加密和安全性,使现代互联网安全成为可能。 这些协议已有将近二十多年的历史,其特点是不断更新,旨在与日趋复杂的攻击者保持同步。 什么是SSL!什么是TLS! SSL代表安全套接字层,该协议是由Netscape于1990年代期开发的,Netscape是当时最受欢迎的Web浏览器。SSL 1.0从未向公众发布,而SSL 2.0具有严重的缺陷。1996年发布的SSL 3.0进行了彻底的改进,为后续工作奠定了基础。 而
https SSL/TLS 详解
ding283595861的博客
07-15 1550
1.TLS/SSL的前世今生 SSL(Secure Sockets Layer)最初由Netscape定义, 分别有SSLv2和SSLv3两个版本(SSLv1未曾对外发布); 在SSLv3之后SSL重命名为TLSTLS(Transport Layer Security)版本从TLSv1.0开始, TLSv1.0是在SSLv3的基础上升级而来。 多年以来已弃用的SSL协议也暴露出了一些高危漏洞(例如: POODLE, DROWN); 因此建议服务器禁用SSL3.0及SSL2.0, 只启用TLS协议。 2
C# TLS SSL TCP双向认证 X509Store SslStream Certificate
09-25
C# TLS SSL TCP双向认证 X509Store SslStream Certificate Visual Studio 2017 命令提示 键入: makecert -r -pe -n “CN=TestServer” -ss Root -sky exchange 等待来自客户端的连接... 显示安全等级 密钥套件: Aes256 密钥长度 256 哈希算法: Sha1 算法长度 160 密钥交换算法: 44550 算法长度 255 协议版本: Tls 显示安全服务信息 身份验证是否成功: True 远程是否身份验证: True 当前数据流是否签名: True 当前流是否数据加密: True 显示安全信息 验证证书时是否检测证书吊销: True 本地证书名称 CN=TestServer 证书有效期 2018/9/25 11:32:24 证书到期时间 2040/1/1 7:59:59. 远程证书为空. 显示流属性 流是否可读: True, 是否可写 True 流是否超时: True 发送 hello 消息. 等待客户端的消息... 接收到: Hello 来自客户端. 等待来自客户端的连接...
【微软技术栈】C#.NET TLS/SSL 最佳做法
Coding life, Coding world, Coding feature.
11-03 690
TLS(传输层安全性)是一种加密协议,旨在保护两台计算机之间通过 Internet 的通信。 TLS 协议通过SslStream类在 .NET 公开。\n\n本文介绍在客户端和服务器之间设置安全通信的最佳做法,并假定使用 .NET。
C语言使用openssl库解析TLS报文(SNI和证书)
Chuancey的博客
02-15 7055
项目需要对TLS报文SNI和证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI和证书,TLS报文的版本为1.2。使用版本为1.0.2k的openssl库进行C编程。
SNI
weixin_41400683的博客
09-04 1178
SNI(Server Name Indication) SNITLS的扩展,用来解决一个服务器可以解析多个域名的情况 https建立连接时, 需要经过TLS握手,再使用http按照约定好的加密规则进行加密传输。那么问题来了,如果一台服务器对应多个虚拟主机,且每个主机的都有 不同域名,使用了不一样的证书,该和哪台虚拟主机通信呢? HTTP协议通过请求头添加host解决,TLS的做法也是加Host,在TLS握手第一阶段的ClientHello的报文里可以获取到 举例 例如sisu.xboxlive
c#获取ssl证书有效性_如何在c#获取远程服务器的SSL证书信息
weixin_32509847的博客
01-17 316
我尝试使用以下它工作正常:string strDNSEntry是您需要SSL的DNSpublic X509Certificate2 DownloadSslCertificate(string strDNSEntry){X509Certificate2 cert = null;using (TcpClient client = new TcpClient()){//ServicePointManag...
C++采用TLS线程局部存储的用法实例
01-20
本文实例讲述了C++采用TLS线程局部存储的用法。分享给大家供大家参考。 具体方法如下: 代码如下:// useTLS.cpp : 定义控制台应用程序的入口点。  //    #include “stdafx.h”  #include   #include     //...
golang-docker-scratch:在临时docker容器使用最新的tls证书和时区数据获取go二进制文件的配方
05-02
golang-docker-scratch 在临时docker容器使用最新tls证书和时区数据进行go二进制文件的食谱。 Golang二进制文件与docker临时映像非常匹配,但有时它们需要一些帮助。 特别是,通常需要TLS证书数据库和时区数据。 ...
在Windows服务器上启用TLS 1.2及TLS 1.2基本原理介绍
09-30
最近由于Chrome40不再支持SSL 3.0了,GOOGLE认为SSL3.0已经不再安全了。所以也研究了一下SSL TLS加密,给大家分享一下
SNIFF嗅探器原理
peijian1998的专栏
11-10 1367
SNIFF,嗅探器,它工作在网络的底层,在
【C/C++】部分库函数整理
qq_34018840的博客
05-14 232
C++库函数查漏补缺 string s2(s1, x, y); 从s的x位置开始,连续y个字符赋值给s2 if(str.find(“xxx”) != string::npos); string类提供了六种查找函数,每种函数以不同形式的 find 命名,这些操作全都制返回 string::size_type 类型的值,以下标形式标记查找匹配所发生的位置;或者返回一个名为 string::npos 的特殊值,说明查找没有匹配。 即字符串str不存在字符串 “xxx” **int sigac
互联网协议 — TLSSNI
烟云的计算
01-20 2932
目录 文章目录目录SNI 的应用场景SNI 的实现原理1. client_hello2. server_hello + server_certificate + sever_hello_done3. 证书校验4. client_key_exchange + change_cipher_spec + encrypted_handshake_message5. change_cipher_spec + encrypted_handshake_message6. 握手结束7. 加密通信 SNI 的应用场景 早期的
应聘华为各类工程师通信基础题库以及答案(转)
ToMKai 's World
01-04 4064
以后去兴面试再不怕通信类的题目了.1、语音信号数字化过程,采用的是的量化方法是非均匀量化。 2、PCM30/32路系统,每个码的时间间隔是488ns 。 3、PCM30/32路系统,TS0用于传送帧同步信号,TS16用于传送话路信令。 4、PCM30/32路系统,复帧的重复频率为500HZ,周期为2ms。 5、程控交换机的硬件可分为话路系统和央控制系统两部分,整个交换机的控制软件都
C#请求HTTPS地址的故障分析和TLS知识点总结
虚幻私塾
07-08 2748
近期收到同事反馈,在C#程序通过HTTPClient请求一个HTTPS的地址时,在本地开发环境和测试环境均能正常执行,而部署到生产环境后发生异常且稳定复现,异常提示为:【请求被止: 未能创建 SSL/TLS 安全通道 】,而且在生产环境用浏览器访问是没问题的。自然的,根据异常信息先进行一圈Google(不用百度),基本都是在说ServicePointManager.SecurityProtocol的赋值,但是本次的程序已经配置了全部协议。在了解了大概背景之后,基本断定该故障与源码本身的关系不大,仔细检
c语言从二进制client hello提取SNI
05-24
TLS握手过程,客户端会发送Client Hello消息,其包含了Server Name Indication(SNI)扩展字段,用于指定客户端希望连接的服务器主机名。在C语言,可以通过解析二进制的Client Hello消息来提取SNI信息。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值