https(ssl)协议以及wireshark抓包分析与解密

最新推荐文章于 2025-05-16 18:52:42 发布
最新推荐文章于 2025-05-16 18:52:42 发布
阅读量10w+ 收藏 189
点赞数 27
分类专栏: Networks Security Tools 文章标签: 安全 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010726042/article/details/53408077
版权
本文介绍了SSL协议的工作原理及其在TCP和应用层之间的位置。详细解释了SSL握手过程,包括初始化、认证、密钥协商及握手终止四个阶段。并通过Wireshark抓取HTTPS流量包,演示如何配置解密SSL数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

根据之前一篇安全协议的分析中分析了ssl协议,先回顾下ssl协议的内容然后用wireshark来抓包看具体流量包内容。

         SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。SSL记录协议将数据块进行拆分压缩,计算消息验证码,加密,封装记录头然后进行传输。

 

SSL握手:

1、  初始化阶段。客户端创建随机数,发送ClientHello 将随机数连同自己支持的协议版本、加密算法和压缩算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法和压缩算法给客户端。

2、  认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端(Certificate),并请求客户端的证书(Certificate Request)。

3、  密钥协商阶段。客户端验证证书,如果收到Certificate Request则发送包含自己公钥的证书,同时对此前所有握手消息进行散列运算,并使用加密算法进行加密发送给服务器。同时,创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用1阶段的随机数,能够计算得出master-secret。

4、  握手终止。服务器和客户端分别通过ChangeCipherSpec消息告知伺候使用master-secret对连接进行加密和解密,并向对方发送终止消息(Finished)。


HTTPS(Hypertext TransferProtocol over Secure Socket Layer,基于SSL的HTTP协议),端口443,需要向CA申请证书,通过SSL握手建立安全通道,利用协商密钥对数据进行对称加密通信。

使用wireshark过滤ssl流量,可以看到有几个明显的ssl会话建立包,例如client hello,server hello等;


首先发送ClientHello 将随机数连同自己支持的协议版本、加密算法和压缩算法发送给服务器,流量包里也能看到客户端发送支持的加密算法

server hello包里能看到服务端选择的加密算法;


服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端(Certificate);

客户端验证证书,如果收到Certificate Request则发送包含自己公钥的证书,同时对此前所有握手消息进行散列运算,并使用加密算法进行加密发送给服务器;

wireshark抓到的https流量包经过了ssl加密,那么我们如何才能查看解密的数据呢?Firefox和Chrome浏览器都支持用日记文件的方式记录下用来加密TLS数据包对称会话秘钥的,可以通过配置sslkeyfile的链接,将wireshark的中ssl解密指向该文件即可。环境变量中新建用户变量SSLKEYLOGFILE=/sslkey.log文件,之后再wireshark中ssl配置中制定该文件位置即可,具体配置请参考:

配置解密ssl参考链接--http://www.2cto.com/article/201502/377678.html

配置完成,重启浏览器之后,就会发现wireshark中多了一个Decrypted SSL data选项,点击即可查看解密明文信息;


一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 4万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议分析排查问题,给大家提供一个借鉴或参考。
使用Wireshark抓包分析TLS协议
m0_65890285的博客
04-22 6276
TLS(Transport Layer Security,传输层安全)是一种用于保护网络通信安全协议。它建立在SSL(Secure Sockets Layer,安全套接层)协议之上,用于在客户端和服务器之间创建加密连接,确保通信的保密性、完整性和认证性。
【附安装包】Wireshark下载及安装超详细图文教程 | 使用Wireshark抓包https数据包并显示为明文、配置SSLKEYLOGFILE变量
最新发布
2503_92066923的博客
05-16 38
wireshark安装包。
wireshark开启对https密文抓包
2301_77125316的博客
03-28 869
提到HTTPS抓包,基本都绕不开SSLKEYLOGFILE环境变量。这个由Mozilla开发团队首先引入的调试功能,随后被Google Chrome等浏览器采纳,成为网络分析工具(如Wireshark和Sniff Master)的非正式行业惯例。作为一款专业的网络分析工具,同样支持通过SSLKEYLOGFILE解密HTTPS流量,其操作流程Wireshark类似但更加直观。
手把手精通Wireshark:从零抓包到破解HTTPS加密(Windows/Linux/macOS三平台指南)
weixin_69882801的博客
02-20 4287
右键数据包 → Follow → TCP Stream → 显示完整会话内容。官网下载时注意区分「稳定版」「开发版」适用于无法获取服务器私钥的场景。
Wireshark-sslkeylogfile
weixin_30235225的博客
12-14 8678
看了蓝鲸CTF的一些解题视频,在使用wireshark的时候会存在加密的数据包,原来一个私钥破解一段会话的方式在今天已经不安全了。 现在的浏览器客户端每次发起的会话都是随机加密的,防止暴力破解。所以今天看看如何将会话的密钥导入,也作为本人的一个备忘录。 首先启用sslkeylogfile的环境变量,windows系统在本机系统变量添加 变量名:SSLKEYLOGFILE 变量值:D:\你...
Wireshark 抓包理解 HTTPS 协议
qhh0205
05-26 1万+
Wireshark 抓包理解 HTTPS 协议 HTTPS 简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer)协议是 HTTP 协议安全版,在 HTTP 应用层和传输层加入了 SSL/TLS 层,确保数据传输的安全性,所以 HTTPS 协议并不是什么新的协议,仅仅是 HTTP 协议安全协议的组合。 HTTPS 协议...
wireshark 解密浏览器https数据包
杰克东的专栏
10-16 6576
1、ssl-key-log-file定义在services\network\public\cpp\network_switches.cc2、环境变量SSLKEYLOGFILE} else {#else#endif总结:优先取--ssl-key-log-file 再取SSLKEYLOGFILE环境变量值。
wireshark 抓取 https
热门推荐
qq_17328759的博客
02-11 3万+
背景介绍: 首先,https双向加密的,如果需要解密数据,除非知道 客户端/服务器 任何一方私钥!否则无法解密,常用手段: 基于中间人攻击抓包。使用fiddler 或 charles ,实现的是中间人代理,将客户端私钥改为 fiddler 或 charles 的私钥,每次通信使用中间代理人的私钥加密,服务器就可以通过公钥解密wireshark 是基于网络层的抓包工具,通过捕获通信双方的TCP/IP包实现内容提取。对于应用层的数据,如果应用层协议是公开的,就可以直接显示数据。处理HTTPS 协议时,因为不
使用wireshark 抓取并解密https分析报告
07-16
使用wireshark 抓取QQ邮箱
使用 wireshark 抓包https,http2
猛犸象
03-13 1万+
首先下载安装 https://www.wireshark.org/download.html wireshark 的工作过程为: 1、设置要捕获哪个网卡上的流量 捕获 --> 选项 首先你得知道当前机器的IP,然后就很容易找到是哪个网卡了。 2、设置要捕获哪些内容 捕获 --> 捕获过滤器 这里我要捕获一个http请求,它是HTTP的80端口。 设置好这两步它就会开始捕获数据了。 3、设置显示过滤器 设置好捕获过滤器之后,捕获的内容可能依然很多,这个时候就需要设置一下要显示哪些内容了,也就是
Wireshark简单分析HTTPS传输过程-抓包过程 - manjingliu的编程之旅 - CSDN博客1
08-03
Wireshark是一款强大的网络封包分析软件,常用于网络故障排查、网络安全分析协议解析等场景。在本文中,我们将探讨如何使用Wireshark分析HTTPS(HTTP over SSL/TLS)的传输过程。 HTTPS是一种安全的网络通信...
Wireshark抓包全集(85种协议、类别的抓包文件)
12-01
Wireshark抓包文件可揭示UDP数据包发送接收的实时特性,以及可能出现的丢包问题。 4. HTTP(超文本传输协议):HTTP是应用层的主要协议,用于Web浏览。Wireshark能显示HTTP请求和响应的详细信息,包括方法、状态...
BUG——ERR_SSL_PROTOCOL_ERROR
Today_He的博客
10-09 1327
问题描述 直接上图 浏览器不同,报错样式略有差别,不过提醒都差不多(ERR_SSL_PROTOCOL_ERROR) 网页报错 控制台报错 解决方案 错误访问地址——https://localsht:8080/ 正确访问地址——http://localsht:8080/ 科普 ????参考链接????https://blog.csdn.net/xiaoming100001/article/details/81109617 httphttps 1、什么是http? 超文本传输协议,是一个基于请求响应,无
使用wireshark分析https
Make
12-22 1595
从上文中分析了http的抓包使用wireshark分析http,接下来想继续分析https于是搭建了https的环境。现在开始使用wireshark抓包软件分析httpshttps交互的大致步骤 密码学算法 要了解https首先要稍微了解算法学的知识,在这里主要是RSA算法和DES算法,作为工科,我觉得不需要十分了解算法内部的实现,只需要了解用法即可。下面就谈谈我对这两种算法的大致理解。 RSA算法 通过RSA可以得到两个秘钥,一个是A,一个是B,两个可以互补 使用秘钥A加密的密文,只有
Wiresharkhttps 请求抓包并展示为明文
༺ bestcxx的专栏 ༻
07-10 1万+
我们监听 https 需要连接外网,我本地通过 WIFI 连接,故选择 Wi-Fi:en0。可以在具体某一条上,右键->Follow ,选择 HTTP 或者 TLS 都是可以的。作用是,Chrome 浏览器会把 https 请求中的秘钥保存到指定的文件,下一步。比如我们访问 https://www.baidu.com ,然后随便搜什么。如果没有本文的设置,左下角这一块内容是没有的,只会有一个密文信息。如果是想监听本地,就选择 Loopback:lo0。此时捕获的包已经是明文,可以通过域名进行过滤。
使用wireshark抓取https明文包
ai_admin的博客
06-09 4096
2. 关于`SSLKEYLOGFILE`环境变量的补充,这是一个通用的环境变量,大多数网络库的实现都使用到了这一环境变量进行ssl调试。1. 新建环境变量,name为`SSLKEYLOGFILE`,value为指定的某一调试文件路径,如`D:\sslkey.log`3. 因为使用的是环境变量,以上方法跨平台通用(已经测试linux(包括国产的信创系统)/mac/windows)。1. 关于安全的问题,需要设置环境变量并且重启进程,因此除非攻击者已经攻陷了终端,一般情况下都是有保障的。
https抓包_使用wireshark抓包了解https
weixin_39892481的博客
11-24 422
背景Https即HTTP over TLS。为避免Http明文传输带来的安全隐患,我们可以对传输的数据进行加密,考虑到性能问题,使用对称加密算法。客户端需要知道服务端使用的密钥及加密算法,如何保证密钥的安全传输呢?这里可以使用非对称加密算法,使用服务端的公钥pubKey来加密传输密钥key。公钥是明文传输的,中间人仍然可以使用自己的公钥加密key欺骗客户端。 TLS使用证书进行身份认证,保证服务端...
国密https握手协议抓包分析Wireshark
06-19
HTTPS (Hypertext Transfer Protocol Secure) 是HTTP协议的一个安全版本,通过SSL/TLS协议加密数据,提供数据传输的安全性和隐私保护。当你使用Wireshark抓包分析HTTPS流量时,你会看到实际的网络通信被包装在一个加密套接字中,这使得直接查看数据内容变得困难。 抓包分析HTTPS的主要步骤如下: 1. **启动Wireshark**:首先,打开Wireshark,并确保已经安装了SSL/TLS解密插件(如SSL dissector),以便正确解析加密流量。 2. **选择接口和过滤器**:选择你的网络接口,通常选择“Any”来捕获所有流量,然后添加过滤器`tcp.port == 443`,这样只会显示HTTPS流量。 3. **截取流量**:开始抓包,等待一段连接时间,确保捕获到完整的HTTPS会话,包括三次握手(TCP连接建立)和后续的数据交换。 4. **解密流量**:Wireshark会自动对SSL/TLS包进行解密,但解密过程可能会因为证书问题、私钥缺失等原因失败,这时可能需要手动导入相应的证书或信任链。 5. **查看会话信息**:在捕获的包中,你可以看到TLS/SSL连接的详细信息,如版本、加密算法、认证方法等。HTTP请求和响应会被转换为明文显示。 6. **分析数据**:通过查看HTTP请求头和响应头,可以了解请求的URL、方法、HTTP状态码以及任何附加的身份验证信息。 相关问题: 1. 如何在Wireshark中导入自定义的SSL证书来解密HTTPS会话? 2. HTTPS握手过程中,三次握手具体指什么? 3. Wireshark如何处理SSL/TLS连接失败的情况?
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值