【转载】HTTPS报文抓包

最新推荐文章于 2024-05-18 13:56:01 发布
最新推荐文章于 2024-05-18 13:56:01 发布
阅读量861 收藏 2
点赞数
分类专栏: 请叫我攻城狮 文章标签: https 报文抓包
原文链接:https://zhuanlan.zhihu.com/p/24872509
版权

HTTPS简单来说,就是使用SSL对HTTP报文进行加密传输。
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
 

一、密文解析方法:

HTTPS报文本身是加密的,wireshark也无法解析。因此需要将HTTPS生成的随机数(premaster-secret)提供给wireshark,wireshark才能正确解读密文。
具体配置方法(WINDOWS):

建立path变量 SSLKEYLOGFILE=c:\ssl.key
重启firefox/chrome,访问https网站会自动生成ssl session key
在wireshark中配置:编辑-首选项-Protocol-SSL-(Pre)-Master-Secret log filename 设置为之前配置的ssl.key文件,即可解密抓到的SSL密文
 

二、准备过程(DNS、TCP与302跳转):

在电脑浏览器输入www.baidu.com,此时请求的是HTTP报文。

2.1 DNS解析:获得baidu网站IP地址

2.2 TCP建立连接:HTTP服务基于TCP连接,根据前述DNS解析结果建立连接。

2.3 HTTP请求与响应:可见,服务器响应了一个302 Moved Temporarily 重定向报文,定向到 https://www.baidu.com,接下来进入HTTPS报文请求环节。

 

三、SSL/TLS报文交互(即HTTPS如何通过非对称算法得到一个对称密钥用于加密)

 

注:此处发生了一次乱序,导致了一次SACK确认,181与180行的先后顺序颠倒了。

下图为TLS/SSL报文交互流程示意图。

 

      Client                                               Server

         ClientHello
        (empty SessionTicket extension)-------->
                                                         ServerHello
                                     (empty SessionTicket extension)
                                                        Certificate*
                                                  ServerKeyExchange*
                                                 CertificateRequest*
                                      <--------      ServerHelloDone
         Certificate*
         ClientKeyExchange
         CertificateVerify*
         [ChangeCipherSpec]
         Finished                     -------->
                                                    NewSessionTicket
                                                  [ChangeCipherSpec]
                                      <--------             Finished
         Application Data             <------->     Application Data

其中ServerKeyExchange为DH算法专有(RSA算法则无)



175报文:用户端发起Client Hello,携带版本信息与random数(客户端),并在Cipher Suites中提供了所有可用的加密协议。
由于之前未建立过连接,携带length为0的Session id,表明期待一个SessionTicket


179,181报文:服务器端答复Server Hello,选定加密协议(本次抓包为ECDH),并传递自己的certificate给客户端。

以baidu为例:其证书中最重要的两部分内容就是公钥与数字签名。其中数字签名,即确保该certificate为真百度网站所提供的证书。公钥,则用于与百度网址进行RSA不对称算法的数据交互,生成可靠密钥。

 


180: 服务器端发送Server Key Exchange与Server Hello Done

Server Key Exchange发送了DH算法中的Kb值,并使用RSA签名方式进行了签名确保身份。(如果使用RSA则无此报文)。
Server Hello Done则表明Server端的报文已结束。

 

至此,Server已经提供了证书、公钥、Kb,并发送Hello Done进行确认。如果Server端需要验证Client端的身份,则需在发送Hello Done前发起Certificate Request,Client端就会类似Server端一样,发送证书以及Client公钥(一般Client端的证书与公钥主要通过U盾模式提供,用于安全要求较高的网银等场景)。

 

184:客户端答复Client key Exchange,Change Cipher Spec Protocol,Finished

 

Client Exchange即DH算法中的Kb(由于不验证Client端身份,所以Client不需要传递Signature)。
Change Cipher Spec代表Client已经完成了全部协商,接下来的数据包将使用TLS进行封装传输。
Finished:最后发送finish报文表示结束。

 

------至此双方已经交互了所有的DH算法所需的参数,均可计算得出对称密钥s。------

187:服务器端答复New Session Ticket,Change Cipher Spec Protocol,Finished

Session Ticket用于TLS中断后重新接续Session
Change Cipher Spec 代表Server端告知Client接下来的报文将使用TLS加密进行传输
Finished表示TLS连接建立过程结束

四、HTTPS报文传输

在发送Change Cipher Spec与Finished报文后,客户端即向服务器端发送加密的HTTP over TLS 报文;
服务器端在发送Change Cipher Spec与Finished报文后,同样使用HTTP over TLS应答HTTP 200 OK报文。

使用前述抓包方法可以在wireshark中解开加密的字符串,看到其中的密文:HTTP 200 OK响应报文

注:wireshark用于解密HTTPS报文的本地key,应该是指本地生成的随机数(RSA中的premaster随机数或DH中的a随机数),而非RSA公钥/私钥

 



相关参考RFC:
RFC5246:The Transport Layer Security (TLS) Protocol Version 1.2
RFC2818:HTTP over TLS
RFC3526:More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)
RFC5077:Transport Layer Security (TLS) Session Resumption without Server-Side State

鲱鱼罐头配白花蛇草水
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rdma报文抓包RoCE、RRoCE
06-21
rdma报文抓包RoCE、RRoCE
https(ssl)协议以及wireshark抓包分析与解密
热门推荐
Q1n6
11-30 11万+
根据之前一篇安全协议的分析中分析了ssl协议,先回顾下ssl协议的内容然后用wireshark来抓包看具体流量包内容。          SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。S
https的包该怎么抓?
陈娟的博客
05-14 1万+
很多新手学习fiddler抓包都会对https网站抓包难或者抓不起来的问题无所适从,想寻求解决办法,下面我进行简单介绍一下https抓包的方法。 有的网站是https类型的,使用fiddler抓包的时候会提示证书有问题,甚至无法访问,这时候该怎么办呢? 最典型的网站就是目前的百度网站了,百度在近些年采用了https的技术,也算是前沿领域的一个先导者吧,所以我们还是有必要向它看齐的,今天咱们的任...
HTTPS流量抓包分析解密(TLS1.2)
Mmmidsummer的博客
06-07 3749
抓取https流量包,分析并解密数据
HTTPS抓包详细分析
上善若水,水善利万物而不争。
01-22 2万+
专题二:实际抓包分析本文对百度搜索进行了两次抓包,第一次抓包之前清理了浏览器的所有缓存;第二次抓包是在第一次抓包后的半分钟内。百度在2015年已经完成了百度搜索的全站https,这在国内https发展中具有重大的意义(目前BAT三大家中,只有百度宣称自己完成了全站HTTPS)。所以这篇文章就以www.baidu.com为例进行分析。同时,作者采用的是chrome浏览器,chrome支持SNI (s
使用fiddler抓HTTPS包及原理解析
lianup的博客
07-18 8829
网上已经有许多教程了,大部分都差不多,如果是首次安装并且步骤齐全的话,应该是比较容易抓到HTTPS包的。但是我找的教程不全,导致后面踩了很多坑,故记录一下以免后人踩坑。顺便科普了一下HTTPS和中间人攻击,如有误欢迎指出~ 修正:本文中的HTTPS握手过程仅为小白科普所用,旨在用最简单的方式描述整个流程,真实场景要更为复杂,大家如果想要了解更多可以查找相关书籍资料哦。 首次装fiddler过程...
看什么看啊,你不会还不会抓HTTPS请求报文吧?
默默不代表沉默
04-29 3076
前言 作为一名合格的开发, 抓请求报文是比较基础的操作; 当然,如果你是一个测试人员,你不会抓,那你...也没事,看完这篇文章你就会了。 前排给网盘地址: Fiddler下载 链接:https://pan.baidu.com/s/1qaacQG-dvfV-mDcZZBBd5Q 提取码:r9mz 正文 下载按照完,打开: (一言不合就开抓了,我还没动手呢) ...
https 抓包解密
Conny
11-21 4527
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
所有数据包报文抓包.rar
04-19
wireshark抓包参考,各种网络实验参考,供学习网络的时候更加直观的看到报文的具体内容,协议比较全
各类协议及报文抓包分析.zip
02-27
wireshark各类数据包,AH ARP BGP CDP CHAP DNS DTP EAP HTTP ICMP IP IPV6 ISIS LCP LDP TCP UDP TELNET VLAN VTP WCCP CRRP等各类协议抓包数据。
ARP报文抓包
09-19
arp报文抓包分析,从报文分析中可详细了解到实际场景中的报文流向及内容。
TCP与TLS数据报文抓包
03-18
使用 tcpdump 抓包工具,抓取 “https get”请求数据包: 1、生成 wireshark 工具可读取的 capture.pcap 抓包文件; 2、学习 “DNS解析步骤”报文结构; 3、学习 “TCP三次握手”报文结构; 4、学习 “TLS握手与秘钥...
关于抓包的碎碎念--https抓包总结的很全面
zhangmiaoping23的专栏
07-28 1658
0x01 抓包是作为apk分析的首要切入点,获取apk的通信协议的必要手段。常见的抓包手段是基于中间人攻击来进行的,还有另外一种抓包手段是基于手机VPN进行的。这里将罗列常见的抓包手段,以及SSL Pinning手段的对抗。 正文 基于中间人攻击的抓包 比较常规的抓包手段,常用的抓包工具有Burpsuite、Charles、Fiddler、Mitmproxy等等。通常在手机端安装工具的证书,如若抓取的手机客户端未做SSL pinning便可直接进行抓包。 手机APP不走代理 通常有些APP为了防
HTTPS报文分析(Wireshark)
抽象的螺旋
08-22 7022
https报文分析
Fiddler抓包之【 抓取https请求 】详解教程
m0_70618214的博客
03-16 2万+
抓包之前,先了解一下Fiddler。   Fiddler是一款免费且功能强大的数据包抓取软件。它通过代理的方式获取程序http通讯的数据,可以用其检测网页和服务器的交互情况,能够记录所有客户端和服务器间的http请求,支持监视、设置断点、甚至修改输入输出数据等功能。fiddler包含了一个强大的基于事件脚本的子系统,并且能够使用.net框架语言扩展。
抓包分析https的传输过程
lyztyycode的博客
07-28 5748
参考:https://www.jianshu.com/p/7158568e4867 1. 首先,浏览器和服务器三握手,建立连接。 下面是https的发包过程: 2.浏览器发送client hello: 客户端给服务器发送一个随机值random1,和加密(暗号)套件。 3. 服务器ack,意思是,你的hello数据包我收到了。 4. 服务器给浏览器(客户端)发送serv...
HTTPS工作原理及报文讲解
echo
07-27 1万+
1 HTTPS 1.1 HTTPS简介 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。 SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务..
深入理解HTTPS工作原理
weixin_33920401的博客
04-26 1594
前言 近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了“HTTPS加密时代”,HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。 读完本文,希望你能明白: HTTP通信存在什么问题 HTTPS如何改进HTTP存在那些问题 HTTPS工作原理是什么 想阅读更...
客户端验证 证书解析
最新发布
m0_66993332的博客
05-18 720
关于数字证书和CA机构的一些介绍和个人理解
moubs 485报文抓包
09-05
Moubs 485报文是指使用Modbus RTU协议进行通讯时的数据报文。Modbus是一种通信协议,常用于工业领域的自动化控制系统中,用于设备之间的数据交换。而485则是一种通信物理层标准,用于建立Modbus通信时的电气连接。 当我们进行Moubs 485报文抓包时,通常是为了分析和监控Modbus通信过程中的数据传输情况,以便进行故障排查、性能优化或数据分析等工作。 抓包可以通过使用网络抓包软件或物理层协议分析仪来实现。对于网络抓包软件而言,我们需要在通信过程中的某个节点上进行抓包操作,以便捕获并记录报文的内容。而物理层协议分析仪则是将其连接到通信线路上,直接读取和分析报文。 Moubs 485报文的结构通常包括起始位、从站地址、功能码、数据区和校验位等。起始位是标记报文传输开始的信号,而从站地址用于表示接收方的设备。功能码则用于标识报文的目的和类型,例如读取数据、写入数据或执行命令等。数据区是用于携带具体数据的部分,其格式和内容依赖于具体的Modbus应用。最后,校验位是一种错误检测码,用于验证报文的完整性和准确性。 通过抓包分析,我们可以获取Moubs 485报文的具体内容、发送和接收时间、报文之间的顺序关系以及传输过程中的错误情况等信息。这对于诊断通信故障、优化通信性能以及进行数据分析和监控都是非常有帮助的。 总之,Moubs 485报文抓包是一种分析和监控Modbus RTU通信过程的方法,能够为我们提供报文相关的详细信息,帮助我们解决通信问题并优化系统性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值