Wireshark中TCP-TLS-HTTP2协议栈解析研究

最新推荐文章于 2023-10-10 10:31:10 发布
最新推荐文章于 2023-10-10 10:31:10 发布
阅读量1.4k 收藏 8
点赞数
分类专栏: 计算机网络 文章标签: wireshark 网络协议 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39091609/article/details/117363275
版权

本文目录

解析原则

当程序面对一堆字节流,解析会严格按照协议约定的字段进行识别,按照报文中给出的长度切分字节流。
在OSI七层模型中,对于传输层以下的协议解析都比较简单,以链路层为以太网帧为例:

  1. 读取前14字节的以太网帧首部,从第13和14字节获取网络层协议类型,如IPv4
  2. 采用1.中获取的网络层协议格式,从第15字节开始按照IPv4的首部格式进行解析,根据协议字段获取到上层协议,如TCP,然后获取IPv4的首部长度并记录。
  3. 跳过2.中获取的IPv4首部长度,按照TCP的首部格式解析剩下的字节流,获取数据偏移字段,计算出TCP荷载的起始位置,即可获取到TCP传输的数据

然而在TCP首部中是没有专门字段标识上层协议的,而传输的数据可能会被层层被切分,需要另外的机制来实现TCP分组的重组,使之整合成TLS报文,同样的对于HTTP这种应用层报文,也有可能分在多个TLS报文中传输。

TLS报文识别和重组

由于TCP的首部没有专门标识上层协议的字段,当我们提取出TCP荷载时,面对一段一段的字节块,这些字节块实际上可以按照发送端TCP首部的seq_numlength组成一条字节流,通过计算seq_num + length得出的值就是下一个期望的seq_num,也就等于接收端的ack值。

但是这里还要注意一个不可忽视的问题,那就是TCP分组失序,网络层不能保证接收端按照时间轴依次接收到正确顺序的TCP包,而且丢包和重传机制同样也会导致TCP失序。一旦失序或者丢包发生,组成的字节流就不完整,进一步会影响到应用层协议的解析。这个问题我在试图使用Wireshark解密HTTPS时遇到过很多次,无奈的是Wireshark在处理TCP失序时不够给力,这个Bug在写本篇文章的时候依然没有修复,详细信息可以参考:https://gitlab.com/wireshark/wireshark/-/issues/15993

再回到TLS报文的识别问题上,假设根据TCP一段一段的荷载生成了一条完整的字节流,如图所示,TLS的头部以Content TypeVersion开始,对应的值为十进制的23和十六进制的0x0303,在下方可以看到是连续的0x170303,对于握手包来讲,Content Type的值会变成0x16,而TLS版本不同Version值也会不同,不过换来换去这种组合是有限的,可以根据这一点来识别TLS协议。

协议头部里面有一个字段为Length,这个值对于切分TLS报文有帮助,可以用来确定TLS荷载长度,当前已经组在一起的TCP荷载长度小于这个值时表明还需要下一段TCP荷载,而当前TCP荷载超过这个长度时表明需要在TCP荷载内部进行切分。

在这里插入图片描述

HTTP2报文识别和重组

HTTP2一般作为加密数据荷载被装进TLS报文中传输,只有在TLS被解密的情况下才能进一步识别和解析。同样的,在TLS报文首部也没有指示上层协议的字段,但是在TLS握手阶段会有一个应用层协议协商的过程,可以在握手包里看到协商使用了HTTP2协议,如下图所示:
在这里插入图片描述

另外HTTP2还有一种发现机制,在HTTP2开始连接的时候,客户端会发送一个Magic字节流,内容是PRI * HTTP/2.0\r\n\r\nSM\r\n\r\n,通过这个特殊的包也可以确定可能使用了HTTP2协议(之所以说可能是因为HTTP2连接时有一个简单的协商过程,毕竟需要双端都支持h2而不是客户端一方说了算)。所以有的时候即使配置了Wireshark的解密密钥,还是无法显示出HTTP2包就有可能是Wireshark抓包错过了握手阶段,导致识别不出HTTP2协议。
当确定了HTTP2协议,就可以用HTTP2的协议格式进行解析,HTTP2的首部字段顺序为:Length,Type,Flag,Stream ID,Payload,通过读取Length字段即可截取或重组HTTP2报文。

解析例子

下图应该是一种比较复杂的情况(图片可以在新页面中打开看的更清晰),这里面的两个HTTP2报文(两个箭头所指)被分成了两个TLS(两个黄色框)传输,而这两个TLS又被分成了12个TCP分组片段。左上角的红色框表示当前的帧序号,第二个红色框表示了Wireshark将之前抓到的12个TCP包的字节块组合在一起,形成一条字节流。需要注意的是最后一个包#703,这里只取了前1203字节,而这个TCP包传输了1440字节,也就是说1204字节以后的数据可能是另外一个TLS首部的开头。下面的第二、三张图可以证明这个推测,第二张图是包#703TCP荷载的开头,从0x004a开始,向后移动1203字节,即图三中的0x04fd位置开头的0x170303,可知这是TLS1.2传输应用数据的报文首部开头。

所以这12个TCP包荷载拼成了两个TLS报文,进一步对TLS解密。如绿色框所示,再继续根据HTTP2首部中描述的长度,在第一个TLS荷载中提出第一个HTTP2完整报文,剩下的部分作为第二个HTTP2报文的前半部分。随后在第二个TLS荷载中提取出第二个HTTP2的后半部分,拼接成完整的HTTP2报文。
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

uh3ng
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HTTP/2 协议(Wireshark 抓取浏览器加密的 HTTP2
qq_38937634的博客
12-15 1760
HTTP/2 协议介绍 1.HTTP/1.1 发明以来发生的变化 从几 KB 大小的消息,到几 MB 大小的消息 每个页面小于 10 个资源,到每页面 100 多个资源 从文本为主的内容,到富媒体(如图片、声音、视频)为主的内容 对页面内容实时性要求的应用越来越多 2.HTTP/1.1 的高延迟问题 高延迟带来页面加载速度的降低 随着带宽的增加,延迟并没有显著下降 并发连接有限 同一连接同时只能在完成一个 HTTP 事务(请求/响应)才能处理下一个事务 3.高延迟 VS 高带宽 単连接上的串行请求
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
在本案例,使用Wireshark可以捕获并解析微信应用在TCP/IP协议栈传输的数据包,从而了解微信的网络行为。例如,你可以观察到微信登录过程TCP连接建立、HTTP请求、SSL/TLS加密通信等关键步骤。 虚拟AP的配置...
tlsstats:.pcap分析的小工具。 提供有关使用的TLS版本和密码的信息
05-02
TLS统计 该Go软件以pcap网络捕获为输入,对其进行分析并输出有关TLS版本和使用的密码的一些数字,例如: 145876 packets analyzed. Here are the results: === TLS versions supported by clients === TLS 1.2 1846 TLS 1.0 24 === TLS versions chosen by server === TLS 1.2 1936 === Ciphers supported by clients: === TLS_RSA_WITH_AES_128_CBC_SHA 1866 TLS_RSA_WITH_AES_256_CBC_SHA 1866 TLS_ECDHE
使用wireshake调试HTTP2
Samuel_gan的博客
10-28 1032
使用 Wireshark 调试 HTTP/2 流量 我们知道,HTTP/2 引入了二进制分帧层(Binary Framing),将每个请求和响应分割成为更小的帧,并对它们进行了二进制编码。与此同时,HTTP/2 沿用了之前 HTTP 版本的绝大部分语义,上层应用基本上感知不到 HTTP/2 的存在,这一点可以通过浏览器的网络调试工具得到验证。以下是使用 Chrome 访问 HTTP/2
wireshark抓包分析HTTP协议,HTTP协议执行流程,
热门推荐
wangyuxiang946的博客
10-10 2万+
使用WireShark工具抓取HTTP协议的数据包,分析HTTP协议执行流程,分析HTTP请求响应报文各个字段的作用。
使用 wireshark 抓包,httpshttp2
猛犸象
03-13 1万+
首先下载安装 https://www.wireshark.org/download.html wireshark 的工作过程为: 1、设置要捕获哪个网卡上的流量 捕获 --> 选项 首先你得知道当前机器的IP,然后就很容易找到是哪个网卡了。 2、设置要捕获哪些内容 捕获 --> 捕获过滤器 这里我要捕获一个http请求,它是HTTP的80端口。 设置好这两步它就会开始捕获数据了。 3、设置显示过滤器 设置好捕获过滤器之后,捕获的内容可能依然很多,这个时候就需要设置一下要显示哪些内容了,也就是
如何让Wireshark支持(加密的HTTP2等)HTTPS报文分析
Windeal
11-23 2万+
Wireshark本身并不支持分析HTTPS报文。 随着HTTPS、甚至HTTP2协议的流行,抓取并分析tls加密的报文变得极为有用。 下面介绍如何用Wireshark解密经tls加密的web报文。浏览器设置要解码tls加密的web报文,首先要获取到加密密钥。 Chrome、Firefox等浏览器支持将访问网站是使用的密钥输出到文件。仅需要配置环境变量SSLKEYLOGFILE 即可。 首
高级TCP-IP编程
11-25
《高级TCP/IP编程》是网络通信领域的一门深入技术,主要涵盖了TCP/IP协议栈的高级概念和实际应用。TCP/IP协议族是互联网的基础,它定义了数据在网络传输的规则和格式。本教程可能详细讲解了如何利用这些协议进行...
运算器实验-07-http.ev4.rar
04-18
总结来说,这个实验将帮助你深入理解HTTP协议的工作方式,包括其请求和响应结构、状态码的意义以及与TCP/IP协议栈的交互。通过实际操作,你将能更好地掌握网络协议分析技能,这对于网络编程、网络安全分析以及系统...
国联通短信网关协议SGIP的wireshark解析插件
06-01
SGIP是基于TCP/IP协议栈设计的,主要功能包括短信的发送、接收、存储转发等。它定义了短信心(SMSC)与其他系统如增值业务平台、移动交换心(MSC)之间的接口,支持各种短信业务,如点对点短信、群发短信、彩信...
TCP-IP详解卷3
08-10
作为三卷的最后一卷,它不仅涵盖了前两卷的重要内容,还汇聚了作者对TCP/IP协议栈最深入的理解和实践经验。虽然这里无法提供第二卷的内容,但我们可以深入探讨一下《TCP/IP详解卷3》所包含的关键知识点。 卷3主要...
基于数据包分析的网页还原技术研究-毕业论文.doc
03-27
数据包捕获是整个过程的基础,它涉及网络接口驱动程序、协议栈和捕获软件的协同工作。常见的数据包捕获工具有Wiresharktcpdump等。捕获机制包括直接环回法(利用网络接口的硬件环回功能)、软件环回法(在操作系统...
TCP/IP协议详解卷2(1)-microhard
03-17
TCP/IP协议详解卷2(1):实现》是一本深入探讨TCP/IP协议栈实现细节的专业书籍,旨在帮助读者理解网络通信背后的核心机制。TCP/IP协议族是互联网的基础,它定义了不同设备如何通过网络进行通信的一系列标准。本...
商业编程-源码-后台密码截获程序源代码.zip
06-23
开发者可能需要理解TCP/IP协议栈,以便识别和解析与密码相关的网络数据包。 5. **编程语言与框架**:源代码可能使用了特定的编程语言,如Python、Java或C#,或者基于某种Web开发框架,如Spring、Django或ASP.NET。...
Python-Python实现微信图片解密找回撤回的图片
08-10
这通常涉及到TCP/IP协议栈的理解,以及HTTP/HTTPS请求和响应的解析。 2. 数据解密:微信的图片数据通常是经过特定算法加密的,解密过程可能需要用到逆向工程。这涉及到对微信客户端的动态分析,理解其加密算法,...
Wireshark抓取HTTPS流量到HTTP2协议
Armandhe的博客
04-06 1366
Wireshark抓取HTTPS流量到HTTP2协议
wireshark支持HTTP/2 Over TLS(Chrome、Firefox)
罗小爬的技术宝书
02-13 1960
本文主要介绍了如何通过wireshark抓取浏览器Chrome的HTTP/2 Over TLS请求。
HTTP网络协议
weixin_30416871的博客
04-06 118
来自为知笔记(Wiz) 转载于:https://www.cnblogs.com/zmpandzmp/p/3648735.html
HTTP协议栈
漪恒_day
03-07 543
一. HTTP全称是Hyper Transfer protocol ,即超文本传输协议,当今普遍采用版本Http1.1,HTTP协议已属于应用层协议,它构建在TCP之上,处于TCP/IP架构的顶端,为了更好的理解HTTP协议,我们基于java的SocketAPI设计一个简单的应用层通信协议,来窥探协议实现的一些过程与细节。 客户端向服务端发送一条命令,服务端接收到命令后...
wireshark tcp keep-alive
最新发布
04-24
Wireshark是一款开源的网络协议分析工,它可以用于捕获和分析网络数据包TCP Keep-Alive是一TCP协议的机制,用于检测连接是否仍然活动,并在需要时保持连接的状态。 当使用TCP协议进行通信时,如果一段时间内没有...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值