https wireshark抓包——要解密出原始数据光有ssl 证书还不行,还要有浏览器内的pre-master-secret(内存里)...

最新推荐文章于 2023-11-12 11:31:46 发布
最新推荐文章于 2023-11-12 11:31:46 发布
阅读量1.1k 收藏 3
点赞数 2
文章标签: 网络

基于wireshark抓包的分析

首先使用wireshark并且打开浏览器,打开百度(百度使用的是HTTPS加密),随意输入关键词浏览。

我这里将抓到的包进行过滤。过滤规则如下

ip.addr == 115.239.210.27 && ssl
  • 1

这里写图片描述

下面用图来描述一下上面抓包所看到的流程。
这里写图片描述

1. Client Hello

打开抓包的详细,如下。
这里写图片描述

不难看出,这一握手过程,客户端以明文形式传输了如下信息:

  1. 版本信息(TLS 1.2)
  2. 随机数
  3. Session ID(用于加快握手过程,可参考TLS会话复用)
  4. 加密套
  5. 压缩算法
  6. 其它一些扩展的(Extension),比如签名算法,服务器名称(本例为sp1.baidu.com);

Server hello

这里写图片描述

这一阶段,服务端返回所选择的协议版本(Version),加密套,压缩算法,随机数,Session ID等;

from:https://blog.csdn.net/u010536377/article/details/78989931

 

数据传输

经过了 SSL 握手后,服务端的身份认证成功,协商出了加密算法为 AES,密钥为 xxxxx(客户端和服务端拿三个随机值用相同算法计算出来的,并没有明文传输)。一切准备就绪。

SSL 握手成功,已经可以对接下来的数据加密了,接下来各种应用层协议都可以加密传输。

Application Data

应用数据传输消息。因为这里是 HTTPS,所以可以对 HTTP 应用协议数据加密然后传输了。

Secure Sockets Layer
    TLSv1.2 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.2 (0x0303) Length: 1072 Encrypted Application Data: 6d9b3c9089271630c33506fe28cd6a61fed1f4bd2808f537...

从这里,不知道密钥是无法知道这里传输的是什么数据,连传输的是什么协议的内容都不知道。

所以之前创建 SSL 隧道,让代理服务器盲传 HTTPS 数据,就得通过 CONNECT 方法告诉代理服务器要连哪台主机,哪个端口号,要不然代理服务器也是一脸懵逼。

所以 SSL 协议是很独立的,这里是对 HTTP 进行了加密,也可以对其他协议进行加密。它就像是 TCP 和应用层协议的中间层,为上层协议提供了加密的数据传输。

Encryted Alert

SSL 警告消息,因为是加密的内容,所以单从 Wireshark 看不出警报的内容。

Secure Sockets Layer
    TLSv1.2 Record Layer: Encrypted Alert Content Type: Alert (21) Version: TLS 1.2 (0x0303) Length: 48 Alert Message: Encrypted Alert

但因为警报消息经常只是客户端用来提示服务端 SSL 传输结束,对照抓包到的内容确实如此。所以这里只是 SSL 传输结束的一个信号。

发出了 Encryted Alert 后客户端数据传输完毕,准备进入四次挥手断开 TCP 连接。


from:https://www.jianshu.com/p/cf8c2f2cd18a

为什么Wireshark无法解密HTTPS数据

密钥交换算法

密钥交换算法目前常用的有RSA和Diffie-Hellman。
对于密钥交换使用RSA算法,pre-master-secret由客户端生成,并使用公钥加密传输给服务器。
对于密钥交换使用Diffie-Hellman算法,pre-master-secret则通过在Key Exchange阶段交换的信息,由各自计算出pre-master-secret。所以pre-master-secret没有存到硬盘,也没有在网络上传输,wireshark就无法获取session key,也就无法解密应用数据。那我们是否可以反向计算出pre-master-secret呢?理论上可以,但是非常困难。
对Diffie-Hellman算法感兴趣的可以参考https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange

解决方法

说了这么多,究竟有什么办法可以让wireshark解密数据?我们可以通过下面几种方法来使wireshark能解密https数据包。
1. 中间人攻击;
2. 设置web服务器使用RSA作为交换密钥算法;
3. 如果是用chrome,firefox,可以设置导出pre-master-secret log,然后wireshark设置pre-master-secret log路径,这样就可以解密了。

 

weixin_33998125
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
httpclient中警告Encrypted Alert后断开连接问题处理
08-22 1万+
工作中需要对接某第三方支付公司,其对外提供https服务(不需要证书),8583报文。生产环境下,近期忽然现超时的情况,表现是程序抛异常java.net.SocketTimeoutException: Read timed out。查看日志,发现才5秒时间,没有到超时时间,找...
WireShark 抓包理解 TLS 建立加密连接的过程
yetugeng的专栏
09-06 8759
一、实验环境 服务端:web容器 glassfish 部署了一个可以访问的web包 keystore.jks添加的SSL证书,可参见https://blog.csdn.net/yetugeng/article/details/81416320 客户端:一台笔记本,安装好wireshark 二、服务端的证书 在服务端keystore.jks内容如下,主...
tcpdum + wireshark 分析http/https
chiku7806的博客
08-14 501
1.使用http直接发送数据. 2.启用https后, GET请求已经无法看到 显示的是Application Data 文件内容 显示的是Encrypted Application Data 总结: 使用nginx 开启ssl 之后, 服务器...
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码,也可以在一台电脑上开两个VS2019同时编译两个端,看自己的选择。实验环境:Window10系统开发工具:VisualStudio2019使用工具:Wireshark3.4.0下载Wireshark安装包,点击下面的链接提取,面有2.6.4和3.2.7版本的注:我安装3.2.7版本的时候安装报错1603,百度了好久都没解决,但我室友安装时并没问题,所以我安装的是2.6.
wireshark进行手机抓包,有详细步骤
07-05
wireshark进行手机抓包,有详细步骤
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
tcp/ip选修课期末大作业,资源内有为分析相关微信功能所抓取的数据包和完整大作业报告(word版),适合Wireshark入门的小伙伴们或者赶期末大作业无从下手的uu们。铁汁们,放心食用
Wireshark简单分析HTTPS传输过程-抓包过程 - manjingliu的编程之旅 - CSDN博客1
08-03
摘要视图订阅manjingliu的编程之旅在校学,认真学编程登录 | 注册登录 | 注册安全(38)76494次千之外15篇221篇1篇1条三、开始监听htt
HTTPS\TLS协议过程的详细补充
Ds的博客
05-08 1530
HTTPS\TLS协议过程的详细补充 目录HTTPS\TLS协议过程的详细补充1、TCP三次握手准备阶段:第一次握手:第二次握手:第三次握手:总结2、TLS/SSL 握手阶段一Client Hello阶段二Server Hello阶段三Certificate阶段四Server Key Exchange阶段五Server Hello Done阶段六Client Key Exchange阶段七3、TLS/SSL数据传输Application DataEncryted Alert4、四次挥手第一次挥手:第二次挥手
超详细的wireshark笔记(8)-HTTP协议
weixin_46622350的博客
06-02 276
HTTP的工作方式算不上复杂,先由客户端向服务器发起一个请求,再由服务器回复一个响应。根据不同需要,客户端发送的请求会用到不同方法,有GET POST,PUT和HEAD等。比如在网站上登录账号时就可能用到POST方法。 由于HTTP协议基于TCP,所以上来就是三次握手。从图片可以看到,服务器的端口号为80 get参数后面就是要获取的内容,服务器将指定内容发送给客户端 下面为客户端发起的get请求数据包 下面为服务端的回应包 正在上传…重新上传取消 HTT...
网络】实践:Wireshark分析HTTPS协议
xhdxhdxhd的博客
01-06 2177
介绍 在本博客中我们基于一个简单的HTTPS会话示例,展示如何通过各种加密算法等,在TLSv1.2协议规则下计算并验证各个域,为学习HTTPS协议以及实现HTTPS协议的人提供参考示例。 本博客示例TLS协议的基本信息如下: TLS版本:TLSv1.2; Cipher:TLS_RSA_WITH_AES_128_CBC_SHA, 选择该套件的原因是其不是十分复杂,适合用于展示; 扩展:Extene...
浅析TLS 1.2协议
jason9211的专栏
06-24 1531
转自:https://segmentfault.com/a/1190000014740303 一、TLS 1.2 简介 TLS概述:TLS和他的前身SSL,都是提供在计算机网络上安全通信的密码学协议,最常见就是用于HTTPS中,用来保护Web通信的。 发展史:网景公司开发了原始的SSL协议,SSL 1.0因为本身存在着严重的安全问题,所以从未被公开发布。只有SSL 2.0和SSL 3.0是被公开发布和使用的。后来为了对SSL进行标准化,推了TLS,TLS 1.0就对应着SSL 3.0
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
Wireshark-win64-2.9.0网路抓包数据分析工具,网络分析工具,方便分析网络流量工具
Wireshark网络分析就这么简单》读书笔记
PP_zi的博客
07-05 1009
以下所有内容来自于《Wireshark网络分析就这么简单》(林沛满 著) Wireshark网络分析就这么简单 网络分析 >> 为什么ping的是服务器A的IP,B却去查询默认网关的MAC地址? 因为B根据自己的子网掩码,计算A属于不同子网,跨子网通信需要默认网关的转发。而要和默认网关通信,就需要获得其MAC地址。 >> 不同网段的服务器B为何直接回复了服务器A自己的MAC地址? 因为在执行ARP回复时并不考虑子网,即使ARP请求来自其他子网IP也照样回复。 >> .
通过抓包深入分析HTTPS
SOHU_TECH的博客
09-08 1561
本文字数:6189字预计阅读时间:16分钟Https介绍https其实是在http上加了一层(SSL/TSL)加密协议,根据维基百科的解释:❝超文本传输安全协议(英语:HyperText Transfer Protocol Secure,缩写:HTTPS;常称为HTTP over TLS、HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。❝HTTP...
尝试在wireshark中查找密码
bcbobo21cn的专栏
06-09 3943
进入wireshark开启捕获,在百度登录;然后停止捕获; 下面尝试在wireshark捕获的包中查找登录用户名和密码; 捕获的包; 先过滤一下;选择源IP是本机的包;用户名和密码是从本机发往百度;过滤一下,包少了不少;还是多; 根据目前学到的,用户名和密码通过网络传输是加密了的;包含加密的用户名和密码的数据包通常在数据包列表的Info列显示为Application Data...
网络|使用 Wireshark 分析 TLS/SSL 协议
thlzjfefe的博客
09-19 3128
第一个阶段是客户端发给服务端请求连接 Client Hello第二个阶段就是服务端回复客户端对应的证书、公钥信息、加密压缩算法第三个阶段是客户端告诉服务端自己的证书和公钥信息第四个阶段确认好对应的对称密钥后,让其生效测试下好不好使。握手的目的是协商对称加密密钥,由于加密前数据包都是明文,所以如果一开始就亮密钥就不安全,所以握手期间是通过非对称加密的方式进行协商密钥。单向认证握手流程双向认证握手流程如下图所示:单向认证比双向认证少了 服务端对客户端进行认证的阶段。作者:高冷的白帽子。
计算机网络安全揭秘:pre-master secret详解,全面解析!
m0_72410588的博客
08-07 578
在进行TLS加密通信前,客户端和服务器需要进行握手过程来协商加密参数和建立安全连接。第一步:客户端向服务器发送ClientHello消息,其中包含支持的加密算法和其他相关信息。第二步:服务器收到ClientHello消息后,向客户端回复ServerHello消息,其中确定了双方所采用的加密算法和生成的临时密钥。第三步:客户端验证服务器的身份,并生成一个随机的pre-master secret。第四步:双方使用各自的密钥材料生成主密钥(master secret)。
【信息安全原理】——传输层安全(学习笔记)
最新发布
HinsCoder的博客
11-12 749
为保证网络应用,特别是应用广泛的Web应用数据传输的安全性(机密性、完整性和真实性),可以在多个网络层次上采取安全措施。本篇主要介绍传输层提供应用数据安全传输服务的协议,包括:安全套接字层(SSL)、传输层安全协议(TLS)以及SSL/TLS VPN。
Wireshark抓包并解析SSL数据
09-11
你可以使用Wireshark抓取网络流量并分析SSL数据。以下是一些步骤: 1. 下载并安装Wireshark:从Wireshark官方网站(https://www.wireshark.org/)下载并安装Wireshark。 2. 打开Wireshark:启动Wireshark应用程序。 3. 选择网络接口:在Wireshark界面的主窗口中,选择要抓取流量的网络接口。例如,如果你要抓取无线网络流量,选择相应的无线网卡接口。 4. 开始抓包:点击“开始”按钮开始抓包Wireshark将开始捕获来自所选网络接口的数据包。 5. 过滤SSL流量:为了只显示SSL流量,可以使用过滤器来过滤数据包。在过滤器框中输入“ssl”,然后按下Enter键。 6. 选择SSL数据包:在抓包结果列表中,你将看到过滤后的SSL数据包。选择你感兴趣的SSL数据包,然后双击它以查看详细信息。 7. 解析SSL数据:在数据包详细信息窗口中,展开“传输层安全性协议”部分,你将看到SSL协议的各个字段和值。这些字段包括SSL版本、密钥交换算法、加密套件、证书等。 通过以上步骤,你可以使用Wireshark抓取并解析SSL数据。请注意,解析SSL数据可能需要一定的网络和安全知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值