wireshark分析https
0x01 分析淘宝网站的https数据流
打开淘宝 wireshark抓取到如下
第一部分:
因为https是基于http协议上的,可以看到首先也是和http协议一样的常规的TCP三次握手的连接建立,请求的是服务器的443端口。
1.客户端向443端口发送SYN信号
2.服务端回应连接,ACK
3. tcp/ip三次握手完成
第二部分:
接下来从第4个数据包开始,其实就是SSL握手过程中所产生的数据包,也就是使用HTTPS协议加密的信息。
1、 初始化阶段。客户端创建随机数,发送ClientHello 将随机数连同自己支持的协议版本、加密算法和压缩算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法和压缩算法给客户端:
2、 认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端(Certificate),并请求客户端的证书(Certificate Request)。
3、 密钥协商阶段。客户端验证证书,如果收到Certificate Request则发送包含自己公钥的证书,同时对此前所有握手消息进行散列运算,并使用加密算法进行加密发送给服务器。同时,创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用1阶段的随机数,能够计算得出master-secret。
2、 握手终止。服务器和客户端分别通过ChangeCipherSpec消息告知伺候使用master-secret对连接进行加密和解密,并向对方发送终止消息(Finished)。
0x02 RSA在https中如何分发密钥
密钥管理和分发
密钥管理要求
- 对于一个密钥加密方案,双方必须共享同一密钥
- 必须保护密钥不被其他人访问
- 钥匙应该定期更换
- RSA位于ssl(这里暂且叫它为安全协议),协商机制之间,是为了加密非对称算法的密钥,非对称密钥是为了加密后来传输信息的对称加密的密钥。
- RSA的密钥分发,RSA作为非对称加密算法,只有一个私钥,公钥虽多,但是通过公钥加密的信息只有私钥拥有者(服务器)才可以解开,这样就可以保证安全性。
0x03为什么有的数据包大于1500字节
在测试的时候,发现有些时候用wireshark抓到的包中含有很多大于mtu的数据包。查资料得知,这是因为网卡有设置tcp-segmentation-offload。这是操作系统为了减轻负担,提高处理效率的一种方法。
tcp-segmentation-offload(TSO):
TSO (TCP Segmentation Offload) 是一种利用网卡替代CPU对大数据包进行分片,降低CPU负载的技术。如果数据包的类型只能是TCP,则被称之为TSO。此功能需要网卡提供支持。TSO 是使得网络协议栈能够将大块 buffer 推送至网卡,然后网卡执行分片工作,这样减轻了CPU的负荷,其本质实际是延缓分片。
比如我自己再linux环境下测试开启TSO和关闭TSO的区别
查看网卡是否支持TSO
用到的是ethtool命令,ethtool 是用于查询及设置网卡参数的命令
首先查看网卡
在用ethtool -k ens33命令查看网卡TSO功能状态
是关闭的 这时候抓包,发现大小都没有超过MTU值的
现在打开网卡的TSO,官方用法
不过我的虚拟机网卡不支持这个功能,打开后应该会捕获到超过MTU值大小的数据包