WireShark 抓包理解 TLS 建立加密连接的过程

最新推荐文章于 2024-10-09 23:02:26 发布
最新推荐文章于 2024-10-09 23:02:26 发布
阅读量8.9k 收藏 41
点赞数 9
分类专栏: 网络 wireshark 文章标签: WireShark抓包 TLS加密连接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yetugeng/article/details/100554653
版权
本文详细介绍了使用WireShark抓包工具理解TLS加密连接建立的过程,包括实验环境、服务端证书、TLS握手原理、操作步骤和具体的握手阶段。通过对Client Hello、Server Hello、Certificate等步骤的分析,揭示了TLS如何确保身份验证、密钥交换和数据加密的安全性。
摘要由CSDN通过智能技术生成

一、实验环境

服务端:web容器 glassfish 部署了一个可以访问的web包

              keystore.jks里添加的SSL证书,可参见 https://blog.csdn.net/yetugeng/article/details/81416320

客户端:一台笔记本,安装好wireshark

 

二、服务端的证书

在服务端keystore.jks内容如下,主要省略了Extensions部分内容

[dev@localhost config]$ keytool -list -v -keystore keystore.jks -storetype jks -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 2 entries

Alias name: glassfish-instance
Creation date: Dec 24, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=localhost.localdomain-instance, OU=GlassFish, O=Oracle Corporation, L=Santa Clara, ST=California, C=US
Issuer: CN=localhost.localdomain-instance, OU=GlassFish, O=Oracle Corporation, L=Santa Clara, ST=California, C=US
Serial number: 78ef63eb
Valid from: Mon Dec 24 12:12:29 HKT 2018 until: Thu Dec 21 12:12:29 HKT 2028
Certificate fingerprints:
	 MD5:  6C:5C:F1:FA:79:65:7F:1B:09:9F:D7:91:5B:63:C9:D5
	 SHA1: 78:B6:B9:27:9D:31:5B:D6:C1:24:04:A8:AD:F3:46:71:CA:30:C7:72
	 SHA256: 9F:06:23:E9:30:FB:3E:E5:AC:3A:01:40:12:78:56:72:36:38:62:C2:C2:0F:64:45:12:65:6A:88:2E:4E:2F:54
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 
....此处略.....

*******************************************
*******************************************

Alias name: s1as
Creation date: Jul 21, 2019
Entry type: PrivateKeyEntry
Certificate chain length: 3   #表明证书链有三条
Certificate[1]:               #第一条证书
Owner: CN=*.axxxxxxxxing.com, OU=PositiveSSL Wildcard, OU=Domain Control Validated
Issuer: CN=Sectigo RSA Domain Validation Secure Server CA, O=Sectigo Limited, L=Salford, ST=Greater Manchester, C=GB
Serial number: 488f8b186f0fc7b5949f566e5cd6a1c2
Valid from: Sat Jul 20 08:00:00 HKT 2019 until: Mon Jul 20 07:59:59 HKT 2020
Certificate fingerprints:
	 MD5:  25:C0:F6:C3:5A:41:BF:B6:B2:A9:7A:B4:6B:DD:9A:DC
	 SHA1: 22:7A:AD:A6:2F:5A:A5:C1:C9:E0:C6:B6:35:55:56:14:D1:CC:5F:6E
	 SHA256: 38:81:F8:0B:FD:9F:97:F2:68:C1:53:7F:32:5F:AB:D3:C6:A0:86:7F:A3:8A:10:CB:98:F1:CD:93:BF:7E:34:09
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 

....此处略.....


Certificate[2]:           #第三条证书
Owner: CN=Sectigo RSA Domain Validation Secure Server CA, O=Sectigo Limited, L=Salford, ST=Greater Manchester, C=GB
Issuer: CN=USERTrust RSA Certification Authority, O=The USERTRUST Network, L=Jersey City, ST=New Jersey, C=US
Serial number: 7d5b5126b476ba11db74160bbc530da7
Valid from: Fri Nov 02 08:00:00 HKT 2018 until: Wed Jan 01 07:59:59 HKT 2031
Certificate fingerprints:
	 MD5:  AD:AB:5C:4D:F0:31:FB:92:99:F7:1A:DA:7E:18:F6:13
	 SHA1: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
	 SHA256: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
Signature algorithm name: SHA384withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 

....此处略.....


Certificate[3]:        #第三条证书
Owner: CN=USERTrust RSA Certification Authority, O=The USERTRUST Network, L=Jersey City, ST=New Jersey, C=US
Issuer: CN=AddTrust External CA Root, OU=AddTrust External TTP Network, O=AddTrust AB, C=SE
Serial number: 13ea28705bf4eced0c36630980614336
Valid from: Tue May 30 18:48:38 HKT 2000 until: Sat May 30 18:48:38 HKT 2020
Certificate fingerprints:
	 MD5:  DB:78:CB:D1:90:95:27:35:D9:40:BC:80:AC:24:32:C0
	 SHA1: EA:B0:40:68:9A:0D:80:5B:5D:6F:D6:54:FC:16:8C:FF:00:B7:8B:E3
	 SHA256: 1A:51:74:98:0A:29:4A:52:8A:11:07:26:D5:85:56:50:26:6C:48:D9:88:3B:EA:69:2B:67:B6:D7:26:DA:98:C5
Signature algorithm name: SHA384withRSA
Subject Public Key Algorithm: 4096-bit RSA key
Version: 3

Extensions: 

....此处略.....


*******************************************
*******************************************
[dev@localhost config]$

我们重点需要看的是别名为s1as的这部分,其中s1as下包含了3条证书

分别是泛域名*.axxxxxxxxing.com的证书以及上两级的签名授权商的证书。

三、TLS握手原理

(1)为了在握手协议解决降级攻击的问题,TLS协议规定:client发送ClientHello消息,server必须回复ServerHello消息,否则就是fatal error,当成连接失败处理。ClientHello和ServerHello消息用于建立client和server之间的安全增强能力,ClientHello和ServerHello消息建立如下属性:
Protocol Version
Session ID
Cipher Suite
Compression Method
(2)另外,产生并交换两个random值 ClientHello.random 和 ServerHello.random
(3)密钥协商使用四条: server的Certificate,ServerKeyExchange,client的Certificate,ClientKeyExchange 。TLS规定以后如果要新增密钥协商方法,可以订制这4条消息的数据格式,并且指定这4条消息的使用方法。密钥协商得出的共享密钥必须足够长,当前定义的密钥协商算法生成的密钥长度必须大于46字节。
(4)原理类似下图(实验步骤中会详细介绍)

图 3-1
表 3-1
握手消息 动作描述 消息内容

1. Client —> Server

    Client Hello

客户端(浏览器)发送一个hello消息给服务端,发起建立SSL会话的请求。并告诉服务端,自己支持哪些加密算法(Cipher Suite List)。除此之外,还需要产生一个随机数(第一个随机数,用于以后生成对称密钥),发送给服务端。

1)支持的协议版本,如TLS 1.0版

2)由客户端生成的随机数,用于生成后面的“对称密钥”

3)支持的加密方法,比如RSA公钥加密

4)支持的压缩方法

5)请求的域名

2. Server —> Client

    Server Hello

 服务端的首次响应,会确定加密协议版本,以及加密的算法,也会生成一个随机数(第二个随机数)给客户端。

1)协议的版本

2)加密的算法

3)服务端生成的随机数

3. Server —> Client

    Certificate

 还会把自己的证书发送给客户端,让客户端进行校验。服务端证书中的公钥也可被用于加密后面握手过程中生成的对称密钥。

1)服务端证书

证书颁发机构的名称

证书本身的数字签名

证书持有者公钥

证书签名用到的Hash算法

4. Server —> Client

    Server Key Excha
最低0.47元/天 解锁文章
庚庚911
关注
专栏目录
TLS抓包分析
神童i的博客
12-01 7047
TLS(Transport Layer Security, 传输层安全):用于保证Web通信以及其他流行协议的安全。 TLS的前身是安全套接字层(SSL)。 TLSv1.2版本运行在面向流的协议(如TCP)之上。 记录协议提供分片、压缩、完整性保护以及对客户端与服务器之间所交换数据的加密服务。 信息交换协议负责建立身份,进行认证,提示警报,以及为用于每一条连接的记录协议提供唯一的密钥材料。 TL...
TLS握手过程wireshark抓包分析
weixin_46775266的博客
08-05 3515
TLS握手过程wireshark抓包分析 1.TLS的发展 1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。 1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。 1996年,SSL 3.0版问世,得到大规模应用。 1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。 2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2
wireshark抓包分析TLS协议
m0_50084718的博客
01-29 1万+
一、SSL/TLS简介 1、协议介绍 SSL/TLS是保护计算机网络通讯安全的一类加密协议,它们在传输层上给原先非安全的应用层协议提供加密保护,如非安全的HTTP协议即可被SSL/TLS保护形成安全的HTTPS协议。 SSL、TLS协议其实是有所差异的,TLS协议是继承了SSL协议并写入RFC,标准化后的产物。因此,通常使用SSL来指代SSL协议和TLS协议。 SSL (Secure Socket Layer)安全套接字层协议 • SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客
TLS 加密的原理和过程
最新发布
Clear Code
10-09 370
TLS(Transport Layer Security,传输层安全协议)是一种为网络通信提供安全及数据完整性保障的安全协议。TLS 的主要目的是在两个通信应用程序之间提供保密性和数据完整性。它通过使用对称加密、非对称加密和哈希函数等多种加密技术来实现这一目标。通过以上过程TLS 实现了在不安全的网络环境中安全地传输数据。
使用Wireshark抓包分析TLS协议
m0_65890285的博客
04-22 4569
TLS(Transport Layer Security,传输层安全)是一种用于保护网络通信安全的协议。它建立在SSL(Secure Sockets Layer,安全套接层)协议之上,用于在客户端和服务器之间创建加密连接,确保通信的保密性、完整性和认证性。
网络|使用 Wireshark 分析 TLS/SSL 协议
thlzjfefe的博客
09-19 5574
第一个阶段是客户端发给服务端请求连接 Client Hello第二个阶段就是服务端回复客户端对应的证书、公钥信息、加密压缩算法第三个阶段是客户端告诉服务端自己的证书和公钥信息第四个阶段确认好对应的对称密钥后,让其生效测试下好不好使。握手的目的是协商对称加密密钥,由于加密前数据包都是明文,所以如果一开始就亮出密钥就不安全,所以握手期间是通过非对称加密的方式进行协商密钥。单向认证握手流程双向认证握手流程如下图所示:单向认证比双向认证少了 服务端对客户端进行认证的阶段。作者:高冷的白帽子。
使用wireshark分析TLSv2(详细)
ChainingBlocks
11-09 3万+
握手阶段如上图所示,可分为5步(使用Diffie – Hellman算法): 第一步,浏览器给出协议版本号、一个客户端生成的随机数(Client random),以及客户端支持的加密方法。 第二步,服务器确认双方使用的加密方法,使用的tls版本号和一个随机数。 第三部,并给出数字证书、以及一个服务器运行Diffie-Hellman算法生成的参数,比如pubkey。 第四部,浏览器获取服务器
基于wireshark抓包解析TLS1.2的通讯过程
biqu5401的博客
08-17 5737
以访问www.sina.com.cn为例,抓包解析TLS1.2到底是如何通信的;wireshark抓包内容及简单说明:10 0.042384 192.168.10.97 101.71.100.123 TLSv1.2 264 ClientHello 12 0.059895 101.71.100.123 192.168.10.97 TLSv1.2 1506 ServerHel...
wireshark 抓包学习TLS握手(ECDHE)
m0_61209018的博客
11-19 1661
首先放出经典的流程图: TLS 握手共分四个阶段,为了便于理解,我用wireshark抓了包来分析每一个阶段: Client Hello(第一次握手): 客户端首先会发一个「Client Hello」消息,消息里面有客户端使用的 TLS 版本号、支持的密码套件列表,以及生成的随机数(Client Random) Server Hello(第二次握手) 服务器收到client hello 之后,会回复要给server hello的消息,这个消息中会包含有服务端确认的 TLS 版本号,一个..
Wireshark抓包全集(85种协议、类别的抓包文件).zip
11-30
本资源"Wireshark抓包全集(85种协议、类别的抓包文件).zip"包含了85种不同协议和类别的抓包文件,对于学习和理解各种网络协议有极大的帮助。 首先,让我们了解Wireshark的基本操作和功能。Wireshark提供了图形化...
使用wireshark抓包理解tcp协议和tls
Z网球的博客
04-24 2319
首先下载安装打开软件1.选则自己连结的网络;此时就会捕获的数据2.加上端口过滤。3.启动一个本地的http服务(这里采用的nodejs4.一个TCP报文段的最大长度为65495字节.TCP封装在IP内,IP数据报最大长度2^16-1,头部最小20TCP头部长度最小20,所以最大封装数据长度为TCP固定首部20个字节,即除去选项及填充同步序列编码;当前包序列号;==SynSeq;下一个包的的序列号 ==Seq确认序号==确认序号 + (对方)数据包长度点击SEQ=0。
TLS 详解
summer_fish的专栏
06-15 2万+
SSL(Secure Sockets Layer) 安全套接层,是一种安全协议,经历了 SSL 1.0、2.0、3.0 版本后发展成了标准安全协议 - TLS(Transport Layer Security) 传输层安全性协议。TLS 有 1.0 (RFC 2246)、1.1(RFC 4346)、1.2(RFC 5246)、1.3(RFC 8446) 版本。TLS 在实现上分为 记录层 和 握手层 两层,其中握手层又含四个子协议: 握手协议 (handshake protocol)、更改加密规范协议 (c
Android密钥证书管理相关介绍
doomvsjing的博客
06-09 1万+
深入理解Android之Java Security第一部分 http://blog.csdn.net/innost/article/details/44081147 Android的数字证书安装过程概述 http://blog.chinaunix.net/uid-26017891-id-4115659.html Android导入.cer数字证书 http://blog.sina.co
SSL通信过程分析
hpp205的专栏
10-09 4936
        SSL通信过程分析 一、SSL建立握手连接目的 1.身份的验证,client与server确认对方是它相连接的,而不是第三方冒充的,通过证书实现。 2.client与server交换session key,用于连接后数据的传输加密和hash校验。 二、简单的SSL握手连接过程 (仅Server端交换证书给client): 1.client发送ClientHell...
android. rsa指纹验证,查看签名指纹的方法(.keystore .RSA .APK)
weixin_30273263的博客
05-28 536
直接进入你本身的系统JDK版本bin目录下。用cmd打开进入。 可查看 MD5 SHA1 SHA256算法签名。android一、查看 keystore$ keytool -list -v -keystore debug.keystore(debug.keystore 表明你的签名文件)算法结果:Keystore type: JKSKeystore provider: SUNYour keysto...
Android平台签名证书.keystore生成指南
sinat_41830278的博客
04-28 531
Android平台签名证书.keystore生成指南android证书安装JRE环境(如已有可跳过)生成签名证书查看证书信息 android证书 1.Android平台打包发布apk应用,需要使用数字证书(.keystore文件)进行签名,用于表明开发者身份。 2.Android证书的生成是自助和免费的,不需要审批或付费。 3.可以使用JRE环境中的keytool命令生成。以下是windows平台...
uni-app 系列(二十一):Android平台签名证书(.keystore)生成
Mr_chen的博客
09-17 2595
????摘要 今天分享下 —— uni-app 系列(二十一):Android 平台签名证书( .keystore )生成 的一些基本知识,欢迎关注! 欢迎阅读,总结系列:野蛮生长的 uni-app 学习之路 相关文章:uni-app系列(十三):uni-app运行环境判断 uni-app 系列(十九):uniapp在app、H5、微信小程序中打开地图及打开权限设置,实测可用 Android 平台打包发布apk应用,需要使用数字证书( .keystore 文件)进行签名,用于表明开发者身
解密TLS协议全记录之TLS协议剖析记录
walleva96的博客
07-13 8481
引言 想要解密TLS的首当其冲的点,便是要深入了解TLS中的RFC协议文档。
iOS Provisioning Profile(Certificate)与Code Signing详解
热门推荐
曾梦想仗剑走天涯
01-13 42万+
关于开发证书配置(Certificates&Identifiers&Provisioning Profiles),相信做iOS开发的同学没少被折腾,本文将对相关概念做个系统的梳理。
Wireshark抓包分析微信功能教程及期末大作业报告
Wireshark抓包过程是将网络接口设置为监听模式,捕获经过该接口的所有数据包,并允许用户对这些数据包进行过滤、保存和分析。 2. TCP/IP协议 TCP/IP协议是一组用于数据交换的规则和标准,它定义了计算机网络中...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值