2. 程式人生 > >Wireshark入門與進階系列十一之SSL分析

Wireshark入門與進階系列十一之SSL分析

阿新 發佈:2019-01-02

0x00 前言
    Wireshark(前稱Ethereal)中文版是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,直接與網絡卡進行資料報文交換。本文著重分析wireshark捕獲SSL協議及其對SSL協議的故障分析。

0x01 基本的密碼學

1 保密性

      【加密和解密】、訊息完整性【資訊摘要和訊息簽名】、端點身份驗證和認可【證書和認證機構】

2 對稱加密

        加密和解密的金鑰相同、Computatively低消耗、短金鑰(通常為40-256位元)DES,3DES,AESxxx,RC4

3 非對稱加密

        加密是一個金鑰,解密是另外第二個金鑰(兩鍵來源於一對)、相比較“高消耗”、長金鑰(通常為512-4096位)RSA,DSA

4 訊息摘要

         不可逆【從摘要中不能復原文】
         抗碰撞【不可能建立一個訊息M',使其具有相同摘要的訊息M,MD5,SHA-1,SHA-2】

5 訊息簽名

         用私鑰認證來新建資訊摘要,訊息的傳送者可以用公鑰進行檢查真實性

6 數字證書

        以加密法,公開金鑰證書(或身份證明)是一種利用與身份的公共金鑰繫結在一起的數字簽名的電子文件。

7 證書頒發機構

        互相信任的傳送者和接收者“解決了”金鑰交換問題、CA之間能夠連結、頂鏈是“自簽名”(它稱為“根CA”)

0x01 SSL知識

1 SSL歷史

SSLv1 by Netscape (unreleased, 1994)
SSLv2 by Netscape (v2-draft,1994)
SSLv3 by Netscape (v3-draft, 1995)
TLSv1.0, IETF (RFC 2246, 1999)
TLSv1.1, IETF (RFC 4346, 2006)
TLSv1.2, IETF (RFC 5246, 2008)

2TCP/IP堆中位置

在傳輸層和應用層之間、介於HTTP和TCP之間,SSL協議獨立處於一個層段,不依賴上下層協議。

3 SSL記錄層

提供分片(最大尺寸為2 ^14)
每個SSL記錄多個SSL資訊(包括一個內容型別)允許
SSL記錄可以被分割在多個TCP段(2 ^14> MSS!)
一個TCP段可以包含多個SSL記錄(或片段)

4 SSL內容型別

握手協議(0x16)---負責認證和金鑰設定
ChangeCipherSpec協議(0×14)----通知加密開始
警報協議(為0x15)---警示和致命錯誤的報告
應用協議(0x17已)---資料的實際的加密和傳輸

0x02 分析SSL記錄層

    為了更好地過濾SSL協議的資訊並且同時排除其他協議對本次本次分析的影響,我們可以提前設定一下顯示過濾設定,詳細設定引數如下:
ip.defragment: TRUE
tcp.check_checksum: FALSE
tcp.desegment_tcp_streams: TRUE
ssl.desegment_ssl_records: TRUE
ssl.desegment_ssl_application_data: TRUE
        我們從wireshark的截圖中,通過分析,可以檢視SSL記錄層的狀態,長度,加密等,如下圖1 是建立SSL協議前,客戶端傳送了請求包,進行握手協商。


圖2.1.1 客戶端hello包


圖2.1.2 服務端hello包


圖2.1.3 證書傳輸

0x03 常規的RSA handshake

      下圖為SSL中RSA handshake建立連線的整個過程,其中客戶端和服務端之間共經過9個流程來建立一個SSL連線,連線成功後,才開始傳送資料。
1=====客戶端傳送clienthello=================================================================

2===伺服器傳送serverhello包迴應=============================================================

3===服務端傳送證書====================================================================




4====服務端證書認證完成===================================================================

5===客戶端祕鑰交換========================================================================

6====交換客戶端加密套件===================================================================

7====客戶端完成加密套件加密================================================================

8====服務端交換加密套件===================================================================

9====服務端交換祕鑰套件完成================================================================

############################################################################################

0x04短暫RSA (or DH) handshake

下圖顯示整個加密過程,明顯可以看到整個流程比RSA多了一個服務端祕鑰交換過程。
===在0x02中的第3,4之間多了一個【ServerKeyExchange】的過程=====================================

0x05 Client Authentication


====伺服器請求客戶端證書==================================================================

=====客戶端傳送自己的證書=================================================================

=====確認證書============================================================================

========================================================================================

0x06 快取SSL 會話

金鑰協6商消耗大
TCP會話之間的快取SSL會話可以從停留的地方繼續進行
SSL會話ID作為索引使用
SSL會話的ID超時是一個“絕對超時”,也不是一個“空閒超時”
舊老IE:預設是2分鐘,現在10小時

========================================================================================

========================================================================================

========================================================================================

========================================================================================
0x07 解密 SSL 流量
         提供伺服器的私鑰給wireshark;僅在追蹤檔案時,僅對完整的會話或者握手有效;在EphemeralRSA or DH ciphers無法起到作用(因為金鑰交換);在客戶端認證的情況,也能起效。要實現這個效果,首先要設定SSL的金鑰和日誌等檔案,。
操作方法:主介面--【編輯】--【首選項】--【協議】--【SSL】-->>

========================================================================================

========================================================================================

=======================================================================================

========================================================================================

========================================================================================

========================================================================================

========================================================================================

==========

========================================================================================
      解密過程中,由於各種因素,難免出現各種問題,所以這時候要檢查 SSL 除錯日誌和 核實證書的一致性,例如伺服器證書是否變動,是否更改,是否和wireshark配置的是同一個證書。

0x08 常見SSL 連線問題

1 安全連線失敗

2 無共同金鑰

3 客戶端無法驗證服務端的證書

4 證書過期

5 時間不對稱

6 虛假網站


========================================================================================

7伺服器證書


========================================================================================

========================================================================================

========================================================================================

0x09參考資料

歡迎大家分享更好的思路,熱切期待^^_^^ !

相關推薦

Wireshark入門系列SSL分析

0x00 前言    Wireshark(前稱Ethereal)中文版是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,直接與網絡卡進行資料報文交換。本文著重分析wireshar

Wireshark入門系列追蹤檔案分析

0x00 前言     Wireshark(前稱Ethereal)中文版是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用Wi

Wireshark入門系列遠端抓包

0x00 前言     我們都知道,wireshark可以實現本地抓包,同時Wireshark也支援remote packet capture protocol(rpcapd)協議遠端抓包,只要在遠端

Wireshark入門系列命令列tshark和tcpdump

0x00 前言      tshark是WireShark的命令列版本,有類似tcpdump的輸出。在捕獲流量時,使用命令列模式,可以節省主機的資源消耗,並且一邊捕獲一邊顯示過濾,也對主機資源造成效能

Wireshark入門系列常見捕獲過濾器

0x00 前言     我們都知道,wireshark可以實現本地抓包,同時Wireshark也支援remote packet capture protocol(rpcapd)協議遠端抓包,只要在遠

Python3入門筆記():基本型別

Python的基本型別Number:數字int 和 float       python3中的整型只有int,小數只有float.。type函式可以用來檢視型別。       /表示小數除法,例如2/2=1.0,type(2/2)是float。       //表示整數除法,

Wireshark入門---資料包捕獲儲存的最基本流程

Wireshark入門與進階系列(一) “君子生非異也,善假於物也”---荀子        你在百度上輸入關鍵字“Wireshark、使用、教程”,可以找到一大堆相關的資料。那麼問題來了, 為什麼我還要寫這個系列的文章?        前面你能搜到的那些

Kotlin系統入門

一、什麼是Kotlin? Kotlin就是一門可以執行在Java虛擬機器、Android、瀏覽器上的靜態語言,他與Java 100%相容,如果對Java熟悉,可以發現Kotlin擁有自己

python3入門()

最近學習了python3的語法,整理記錄一下; 語法是程式設計的先決條件,精通語法是編好程式的必要條件; 導語 在python程式設計的世界裡面,廣為傳頌的名言:Life is Simple ,I Use Python;python語言相對

Java(二)java 空字串null區別

java 空字串與null區別1、型別      null表示的是一個物件的值,而並不是一個字串。例如宣告一個物件的引用,String a = null ;      ""表示的是一個空字串,也就是說它的長度為0。例如宣告一個字串String str = "" ;2、記憶體分

SQL Server索引篇:索引碎片分析解決(上)

索引設計是資料庫設計中比較重要的一個環節,對資料庫的效能其中至關重要的作用,但是索引的設計卻又不是那麼容易的事情,效能也不是那麼輕易就獲取到的,很多的技術人員因為不恰當的建立索引,最後使得其效果適得其反,可以說“成也索引,敗也索引”。 相關有關索引碎片的問題,大家應該是聽過不少,也許也很多的朋友

思維導圖版Python3入門)基本資料型別

前言    自己也是在摸打滾爬中在慢慢的學習python3這門語言,之前是java開發,到後來轉向python的學習,因為python語言對於資料處理方面還是異常強大。學習語言,自己的心得還是要多實踐,最好是先打好基礎,然後自己嘗試著拿來使用,變成自己的東西才是最重要的。話不

《jmeter:菜鳥入門系列

ext spa 解決 jmeter 目錄 簡單 blank 則表達式 jmeter使用 jmeter是我從事軟件測試工作以來接觸的第一個測試工具,也是耗費時間精力最多的一個工具,當然,學習jmeter過程中,由於知識儲備不夠,也順帶學習了很多其他相關的一些知識。 一直有個想

AngularJS(三)AngularJS項目開發技巧獲取模態對話框中的組件ID

ng- 美圖 控件 div one 思考 span ava layui AngularJS項目開發技巧之獲取模態對話框中的組件ID 需求 出於項目開發需求,須要實現的業務邏輯是:藥店端點擊查看“已發貨”“已收貨”訂單詳情時。模塊彈出框中僅僅應出現“取消”bu

Python第三方庫jieba(結巴-中文分詞)入門(官方文檔)

修改 demo 特點 pypi nlp CA 動態修改 tag 官方文檔 jieba “結巴”中文分詞:做最好的 Python 中文分詞組件。下載地址:https://github.com/fxsjy/jieba 特點 支持三種分詞模式: 精確模式,試圖將句子最精確地

全新升級 Kotlin系統入門

pan 內部類 區間 進階 什麽是 前端 則表達式 常見 read 第1章 課程介紹(需具備Java基礎)本章主要介紹什麽是Kotlin,課程安排,以及開發環境的配置。第2章 數據類型(難度系數:☆)本章主要講解 Kotlin 的基本詞法,從類型系統入手為大家介紹 Kotl

CSS)position:fixed

容器 hid ali overflow lin 元素 -a idt fixed 固定定位元素的包含快是根元素 類似於無依賴的絕對定位,利用無依賴的固定定位也可以在元素內部實現一個fixed定位 <div class="father"> <div cla

玩轉資料結構入門——第一章:陣列

內容大綱: 使用Java中的陣列 二次封裝屬於我們自己的陣列 向陣列中新增元素 陣列中查詢元素和修改元素 包含,搜尋,刪除功能 使用泛型 動態陣列 簡單的時間複雜度分析 均攤複雜度和防止複雜度振盪 一、java中的陣列 把資

知乎live筆記03 前端工程師的入門

主講人對頁面的效果(酷炫)非常不在意,甚至是鄙視 入門方向的引導有作用,進階幫助有限 乾貨有限,比如模組化開發的問題,只回答了要注意名稱空間,不要讓變數名衝突,很不深入。 沒有主線,已回答問題為主,並且很多問題都沒有回答到點子上 如何快速成長?回答是要多學習,要加入真正技術型的公

Python3入門【筆記】

1、二、八、十六進位制轉十進位制:int('10', base=2)、int('10', base=8)、int('10', base=16); 2、八、十、十六進位制轉二進位制:bin(0o+xxx)、bin(xxx)、bin(0x+xxx); 3、二、十、十六進位制轉八進位制:oct(0b+xxx)、