关于 TLS Client_Hello 版本的问题分析

最新推荐文章于 2024-05-14 00:16:37 发布
最新推荐文章于 2024-05-14 00:16:37 发布
阅读量1.9k 收藏 4
点赞数 1
文章标签: 网络 网络协议 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44184325/article/details/129625807
版权

关于 TLS Client_Hello 版本的问题分析
一、 报文结构
在这里插入图片描述

如上图,TLS 数据结构由Content Type 、Version、 Length、fragment四部分构成,Version在 Record Layer 和Handshake Protocol中均有出现。
RFC 5246 6.2.1 定义的数据结构
RFC 5246 6.2.1 定义的数据结构

Record Layer中的version定义如下:
RFC 5246 6.2.1 record layer Version的描述
RFC 5246 6.2.1 record layer Version的描述
Record Layer 中的Version为此报文所采用的TLS 协议版本:
在这里插入图片描述

Client Hello中的client_version定义如下:
RFC 5246 7.4.1.2 record layer Version的描述
RFC 5246 7.4.1.2 record layer Version的描述
Client_version为客户端所希望采用的通信协议。

二、 报文解析
原始报文 原始报文
科来改变两处version的值

                         **科来改变两处version的值**

加工报文
加工报文

Client报文的封装和解析与Version协议版本无关,即使上下version均修改后,报文仍然可以得到正确的解析。
与之对应的,DTLS报文的封装与解析,与Version相关,修改为无法识别的Version后将无法正确解析,如下图:
原始报文
原始报文
科来改变record layer version的值
科来改变record layer version的值
加工报文
加工报文

对此,RFC 5246 E.1中解释如下:
RFC 5246 E.1
RFC 5246 E.1
SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2保持兼容的clienthello数据格式,只要保持兼容的数据格式,即使未来出现更高的tls 协议版本,服务器也能够进行处理。

三、 Version 版本问题
以上可知,因为client_hello的兼容性,无论Record Layer使用哪种TLS协议版本,client_hello数据报文均能够得到有效的解析,最终完成数据通信过程中的TLS协议版本协商。
对于Record Layer常使用TLS 1.0版本的协议,RFC 5246 E.1解释如下:
RFC 5246 E.1
RFC 5246 E.1
一些服务器没有正确的实现version协商,有一些有问题的TLS 1.0服务器,当客户提供比TLS 1.0更高的版本时,它们会简单地关闭连接。
结论:ClientHello报文的解析与tls版本无关,客户端与服务器进行TLS握手时,因需考虑服务器兼容问题,会先以TLS 1.0发送client hello完成version协商。

暮日晨光
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TLS handshake过程中的Hello消息
xiao_bodian的专栏
03-12 1975
TLS标准中关于hello消息的一些问题及解答
Wireshark抓包TLS协议栏显示版本不一致问题
weixin_43487849的博客
06-30 2553
进行APP安全测试时遇到一个问题,在协议显示栏里一堆TLS1.2版本的包中**出现几个TLSv1,并且都是client hello包,**我们知道TLSv1是不安全的,那这是不是安全漏洞呢? 下面为TLS协商过程: 1.客户端发送 生成随机数(client random)和支持的加密方法 给 服务器 第一个握手包,因为是握手过程,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息,因为密钥还没协商,这里还是使用明
HTTPS详解
m0_55641973的博客
06-20 272
Certificate Verify ,该消息只有在 Client Certificate message 消息发送时才发送,客户端通过自己的私钥签名从开始到现在的所有发送过的消息,然后服务端会用客户端的公钥验证这个签名。客户端计算生成对称密钥,然后使用该对称密钥加密之前所有收发握手消息的 Hash 值,发送给服务器,服务器将用相同的会话密钥(使用相同方法生成)解密此消息,校验其中的Hash 值。http明文传输,有窃听,篡改,冒充的风险,所以在HTTP与TCP层中加入了TLS协议, 解决这个问题
漏洞修复:TLS Client-initiated重协商攻击(CVE-2011-1473)
最新发布
u012785397的博客
05-14 2301
修复通过jsse实现的ssl/tls不安全的重协商漏洞。
TLS1.3抓包分析(1)——ClientHello
汪哈哈zzz
03-12 7967
TLS1.3抓包分析(1)——ClientHello 抓包使用的是WireShark2.6.7,抓包内容为https://tls13.crypto.mozilla.org/(Mozilla的TLS1.3测试页面),浏览器为chrome(需开启TLS1.3),这里我先给出抓包结果: 本次从握手的第一步开始分析,即ClientHello,下面是ClientHello的报文内容: 我们需要关注的是S...
TLS client连接百度(www.baidu.com)
Amazing
07-13 1710
#include <sys/types.h> #include <sys/socket.h> #include <netdb.h> #include <string.h> #include <errno.h> #include <netinet/in.h> #include <arpa/inet.h> #include <openssl/ssl.h> #include <openssl/err.h&gt.
TLS1.3实现篇---模拟clienthello
qq_35324057的博客
04-18 3741
前言 前面我已经写过一些有关TLS1.3协议的文章,主要是从理论出发去了解TLS1.3协议,为了更加深入的理解TLS1.3协议,我将尝试去实现它,目前有部分站点已经开始支持TLS1.3,我们可以利用这些站点来进行测试代码是否成功实现TLS1.3的部分结构,我现在主要实现了ClientHello的整体结构和部分扩展,但是在进行测试的时候不尽如人意,我们先来看一下测试情况。 测试站点www.git...
tls协议|tls客户端|tls模拟|tls指纹|浏览器指纹|akamai
hanli_lifeiyu的博客
10-10 650
tls协议|tls客户端|tls模拟|tls指纹|浏览器指纹
TLS/SSL 协议详解 (9) Client hello
叼哥的博客
11-14 5923
  SSL报文格式可以大致分为2部分,Record层 和 Handshake层,Record层中指定了后续数据的类型,SSL版本(一般来说固定),以及后续数据的长度。Handshake层欧威Record层的负载,其关系类似TCP层的数据作为IP层的负载。 例如上图中显示的那样,SSL报文头部是TVL格式:   Content Type: Handshake   Version: TLS 1...
记录基于scapy构造ClientHello报文的尝试(二)
ftzchina的博客
11-19 482
最近有个需求就是用scapy构造https的client hello报文,由用户指定servername构造对应的报文。网上对于此的资料甚少,有的也是怎么去解析https报文,但是对于如果构造基本上没有找到相关的资料。一直觉得最好的老师就是Python的help功能和dir功能,对于这种资料比较少的最好也是去看看源码,我们可以先看看scapy对于TLS的支持能力有handshake,extensions等,说明基础的能力肯定是具备的,在上一篇文章中。
hello-tls:解析TLS ClientHello消息
04-30
解析TLS ClientHello消息 关于 编写该解析器是为了支持基于子域(类似于apache虚拟主机)构建具有TLS功能的代理。 TLS具有名为服务器名称标识(SNI)的扩展名,以支持此类应用程序。 client_hello框架包含TLS ...
tls.rar_TLS_openssl TLS_openssl server_openssl t
09-24
1. **TLS协议流程**:理解TLS握手过程,包括ClientHello、ServerHello、证书交换、密钥协商和确认等步骤。 2. **OpenSSL API**:学习如何使用OpenSSL库提供的函数来初始化SSL_CTX上下文、加载证书和私钥、设置加密...
client2_websocket_client_
09-29
WebSocket是一种在客户端...以上就是关于"client2_websocket_client_"项目和"client1.py"文件中可能涉及的Python WebSocket客户端编程的知识点。通过理解这些内容,你可以更好地理解和实现自己的WebSocket客户端程序。
SSL_TLS Client Fingerprinting for walware detection
03-21
JA3的工作原理是捕获并分析SSL Client Hello报文中的特定字段,如支持的加密套件、协议版本、扩展等。这些信息组合成一个唯一的哈希值,即JA3指纹。例如,运行在OSX上的Chrome浏览器(JA3=94c485bca29d5392be53f2b8...
java_ssl.rar_JAVA SSL _The Client_ssl_ssl java
09-23
客户端会发送一个“ClientHello”消息,其中包括支持的SSL版本信息和加密算法。服务器回应“ServerHello”,选择双方都支持的最高版本和加密套件。接着,服务器会发送其证书,该证书通常由权威的证书颁发机构签名,...
探索 TLS-Client: 安全网络通信的新工具
gitblog_00060的博客
04-18 386
探索 TLS-Client: 安全网络通信的新工具 项目地址:https://gitcode.com/bogdanfinn/tls-client 在数字化的时代,安全的网络通信变得越来越重要。今天,我们想向您介绍一个开源项目——tls-client,它是一个强大的TLS(Transport Layer Security)客户端实现,旨在帮助开发者构建更安全、更可靠的网络应用程序。 项目简介 tl...
https TSL (SSL) client hello server hello浅析。
2019想做自己的游戏的人加群95303036
05-04 7760
因为要做个拨测,需要拨测https,也就是要看是否能与https服务器正常通讯。所以查了资料,结合wireshark分析了下,client hello 、server hello内容。两个hello通讯的前43个字节,意义是相同的://https tls struct ProtocolVersion{ uint8_t major; uint8_t minor; }; enum Conten...
TLS协议
CATCH A FIRE
10-18 1641
TLS简介TLS协议基于面向连接的TCP协议,它可被看作由两个主要部分组成:TLS记录协议(TLS Record Protocol)和TLS握手协议(TLS Handshake Protocol)。它可以实现传输应用数据前的通信双方身份的认证,加密套件(对称加密算法,签名算法等)的协商,会话密钥的协商,以及握手完成后的数据加密、压缩传输、以及数据完整性的校验。TLS握手具体的过程1.TCP三次握手T
TLS:总结下ClientHello和ServerHello中的扩展项
大力海棠的博客
04-06 5003
目录 TLS/SSL协议扩展 SNI服务器名称指示 Max Fragment Length分块最大数量 Status Request证书状态请求 Signature Algorithm签名和摘要算法 ALPN应用层协议协商扩展 以前的我一直很少在意扩展项这部分(除了证书扩展外),但是后来接触的TLS/SSL协议越多,发现扩展项很多地方都出现,而且挺重要的,如证书链结构里的CRL分发点...
c语言 提取 clienthello 里的 server_name
05-23
TLS协议中,ClientHello消息包含了客户端支持的加密算法、随机数、会话ID以及请求的服务端主机名(server_name)等信息。如果你想在C语言中提取ClientHello里的server_name,可以按照以下步骤进行: 1. 解析TLS握手协议,获取ClientHello消息。 2. 在ClientHello消息中查找“扩展”字段。 3. 在扩展字段中查找“server_name”字段。 4. 解析server_name字段,获取主机名。 以下是一个简单的示例代码,仅供参考: ```c #include <stdio.h> #include <string.h> #include "tls.h" int main() { // 假设client_hello消息已经获取到了 char client_hello[] = "..."; int client_hello_len = strlen(client_hello); // 解析TLS握手协议 struct tls_handshake *handshake = (struct tls_handshake *)client_hello; int handshake_len = client_hello_len - sizeof(struct tls_record); // 获取ClientHello消息 struct tls_client_hello *client_hello_msg = (struct tls_client_hello *)handshake->msg_body; int client_hello_msg_len = handshake_len - sizeof(struct tls_handshake); // 查找扩展字段 struct tls_extension *ext = (struct tls_extension *)client_hello_msg->extensions; int ext_len = client_hello_msg_len - sizeof(struct tls_client_hello); while (ext_len > 0) { // 找到server_name字段 if (ext->type == TLS_EXT_SERVER_NAME) { // 解析server_name字段,获取主机名 struct tls_server_name *server_name = (struct tls_server_name *)ext->data; int server_name_len = ntohs(server_name->name_length); char *host_name = (char *)server_name->name; printf("server_name: %.*s\n", server_name_len, host_name); } ext_len -= sizeof(struct tls_extension) + ntohs(ext->data_length); ext = (struct tls_extension *)((char *)ext + sizeof(struct tls_extension) + ntohs(ext->data_length)); } return 0; } ``` 需要注意的是,以上代码仅适用于TLS 1.2版本及以下的协议。在TLS 1.3中,ClientHello消息结构有所改变,需要进行相应的调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值