【转】HTTPS浅析与抓包分析

0x00 HTTP之殇

  • 数据明文传输,易嗅探
  • 数据完整性无验证,易篡改
  • 网站身份无认证,易假冒

由此诞生HTTPS。

 

0x01 什么是HTTPS

HTTP + SSL/TLS

TLS是SSL的升级版

二图胜千言:

//图片来源于网络

https

https
作用:防嗅探,防篡改,身份认证

 

0x02 https握手过程

建立https连接(明文),再用对称加密传输数据。

TCP三次握手

C->S:[client hello] C发送hello消息(协议版本,随机数c,加密组件列表等)给S,请求建立SSL会话。

S->C: [server hello]返回响应(确认加密组件,随机数s等)。

S->C: [certificate]返回响应certificate(网站证书)。

S->C: [server key exchange]指定密钥协商(交换)协议(密钥协商方式),发送密钥协商(交换)算法的公钥给C。

S->C: [server hello done]发送serverhellodone,开始C的密钥协商。

C->S: [clientkeyexchange]C生成密钥协商(交换)算法公私钥,发送公钥给S,此时C和S可以协商出相同的密钥pre master secret,现在C和S可以通过c,s,pre master三个随机数算出对称加密的密钥。(这里本人还看到一个版本是C生成pre master secret 后用密钥交换/协商算法加密发送到S,本人认为不需要发送,S通过C发送的密钥协商的公钥和自己生成的一个随机数xs可以自己计算出这个pre master secret。还有一个版本是对称加密的密钥是C用S的证书公钥加密给S用私钥解密获得,这里本人认为此对称密钥S也可由c,s,pre master自己生成不需要C发送。)

C->S: [changecipherspec]通知S此消息以后C以加密方式发送数据。

C->S: C用生成的对称密钥加密之前所有握手消息hash,发送给S解密验证hash。

S->C: [changecipherspec]通知C此消息后S以加密方式发送数据。

S->C: S用对称密钥加密之前所有握手消息hash,发送给C进行解密验证hash。

========================================

开始对称加密传输数据……(Application Data)

========================================

 

0x03 抓包分析https握手流程

以浏览器打开https://www.52pojie.cn为例

1. dns解析和tcp三次握手

2. clienthello:

 

2. clienthello:

 

2. clienthello:

可以看出浏览器发送了支持的协议版本TLS1.2,32字节随机数c,加密组件cipher等信息给S。

3. serverhello:

【转】HTTPS浅析与抓包分析

可以看出S选择了TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384加密组件,解释如下:
密钥交换算法,用于决定客户端与服务器之间在握手的过程中如何认证,用到的算法包括RSA,Diffie-Hellman,ECDH,PSK等,这里选择了ECDHE。

加密算法,用于加密消息流,该名称后通常会带有两个数字,分别表示密钥的长度和初始向量的长度,比如DES 56/56, RC2 56/128, RC4 128/128, AES 128/128, AES 256/256。这里选择了AES。

报文认证信息码(MAC)算法,用于创建报文摘要,确保消息的完整性(没有被篡改),算法包括MD5,SHA等。这里选择了SHA384。

PRF(伪随机数函数),用于生成“master secret”。

S还发送了32字节随机数s。

 

4.certificate:

【转】HTTPS浅析与抓包分析

 

第一个cert是52pojie网站的证书,第二个cert是颁发者trustasia机构的证书。

 

【转】HTTPS浅析与抓包分析

这里可以获得证书的详细信息

 

5. serverkeyexchange和serverhellodone:

【转】HTTPS浅析与抓包分析

 

可以看出使用ECDH密钥交换算法,指定椭圆曲线secp256r1,还有发送了DH算法协商的公钥给C。

 

6. Clientkeyexchange和client change cipher spec:

【转】HTTPS浅析与抓包分析

这里C发送了DH算法协商的公钥给S,以及加密了握手消息给S进行验证。

 

7. server change cipher spec:

【转】HTTPS浅析与抓包分析

服务端使用Ticket方式存储session状态,在Server Change Cipher Spec之前就需要发送New Session Ticket消息,这部分就不细说了。这里S加密握手消息给C进行验证。

 

8. application data:

【转】HTTPS浅析与抓包分析

这里可以看出双方握手完毕,以后的消息都进行对称加密,已经无法看出明文了。

 

0x04 其他

  • 由于握手流程导致https速度比http慢,本人认为其带来的安全性更为重要,而速度虽然较慢,但是用户几乎感觉不到,而且有很多优化措施可以提升速度。
  • 有了https并不能完全保证网站安全,安全是多因素,多环节的,即使有https,某个‘短板’就可以沦陷一个网站,并且https自身也非安全,如著名的心脏出血漏洞。
  • https也非绝对防止MITM,如伪造证书,导出明文密码等。

 

0x05 结语

简言之,能用https还是用https吧。由于时间仓促,可能有些细节遗漏或不准确,欢迎指正!

 

0x06 参考资料

https://xianzhi.aliyun.com/forum/read/2037.html

www.droidsec.cn/浅析https中间人攻击与证书校验/


https://klionsec.github.io/2017/07/31/https-learn/

kb.cnblogs.com/page/530044/

原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/4100.html

(0)
上一篇 2017-10-17 19:07
下一篇 2017-10-17 21:26

相关推荐

  • 普及下电信直连、CN2(GIA)、本土运营商

    最近骨干网实在是太渣了,把我了解的一些情况介绍给大家,主要讲到中国方向,希望能解释大家的一些疑惑,如果有不准确的地方还望 指教。 先说说中国电信吧。中国电信目前有4个IPT产品,由…

    2017-10-30
    40.4K200
  • 网易邮箱大师 代收/发 Gmail 邮件教程

    由于由于众所周知的原因,很多一直用谷歌的Gmail作为工作邮箱或者作为帐号邮箱地址,而最近的情况大家也懂的,很多$$(55)、“小飞机”“飞机场”、hosts都不怎么好使了,无法打…

    2017-11-03
    66.9K450
  • Chrome 升级至新版本后,本地项目都无法访问

    症状# 本地开发改 hosts, chrome 不支持 xxx.app 改成 xxx.local 就正常了 chrome地址栏输入:xxx.app,回车后页面显示结果: This …

    2017-12-08
    181.3K170
  • 我国首个IPv6公共DNS正式发布

    下一代互联网国家工程中心正式宣布推出IPv6公共DNS:240c::6666。通过免费提供性能优异的公共DNS服务,为广大IPv6互联网用户打造安全、稳定、高速、智能的上网体验,助…

    2017-11-29
    138.6K470
  • Origin(烂橘子)战地系列 HOSTS 解决下载龟速问题

    Origin(烂橘子)起源 战地系列、生化危机系列、FIFA系列、模拟人生系列、孤岛危机等EA游戏… 通过修改HOSTS 解决下载龟速问题。 在hosts文件加入以下条…

    2016-07-07
    87.1K230
  • [收集贴]关于IOS系统 iPhone修改hosts无效的问题

    最近一段时间有好几个童鞋反映iPhone的IOS系统修改了最新hosts都不管用了,而用以前的却可以… [email protected] 留言写到:我似乎发现了12月5日和12月8…

    2016-12-16
    19.7K320
  • 访问YouTube提示:Google sorry… We’re sorry…

    Google Sorry… We’re sorry… … but your computer or network may be s…

    2017-06-16
    125.2K250
  • 系统Hosts文件原理和应用

    Hosts的概念 Hosts是一个没有扩展名的系统文件,可以用记事本等工具打开,其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”,当用户在浏览器中输入一个需要…

    2019-11-22
    60.8K51
  • Android修改hosts文件的方法介绍

    本文介绍三种Android手机修改hosts文件的方法,但修改hosts文件一定要谨慎:Android手机hosts文件的换行符必须是n而不是windows的rn,使用Notepa…

    2015-06-03
    183.4K590
  • 华硕路由器修改 Hosts 以达到局域网内自定义解析

    针对情况 在路由器上设置了端口转发以及域名解析后,家里的 NAS 可以很方便地从互联网访问到。但解析使用了家中网络的公网 IP 地址,在一些使用环境不断变化的设备上(平板 / 笔记…

    2019-03-20
    76.1K31

发表回复

登录后才能评论

评论列表(14条)

  • zhiming
    zhiming 2018-09-24 17:53

    太复杂了啊!!!

  • nulimvgg
    nulimvgg 2018-06-07 16:48

    学习了

  • SNNET
    SNNET 2017-12-09 04:17

    HTTPS抓包可比HTTP的抓包复杂。相关的文章网上也比较少。

  • ivancheng458
    ivancheng458 2017-10-22 21:58

    laod,小弟又涨见识了,期望能从你这里学到越来越多的知识,多谢!!!

  • oooss
    oooss 2017-10-21 11:37

    我来试试评论~

  • huruiyang
    huruiyang 2017-10-19 20:40

    老D,有没有免费的证书

  • youyi
    有一 2017-10-19 17:29

    注册好了,评论一下,哈哈哈哈哈

  • loligogo
    loligogo 2017-10-19 15:43

    一直以为HTTPS加密是在传输层,学习了,简明易懂!

  • 2Broear
    2Broear 2017-10-18 23:50

    现在普及程度怎么样了

    • 老D
      老D 2017-10-19 15:26

      @2Broear根据统计 16%的网站已启用https,个人小站比较重视,在过两年,估计可以32左右

  • jphilmarx
    jphilmarx 2017-10-18 19:55

    hosts文件在哪里下载