使用wireshark分析HTTPS流程的建立.docx

使用wireshark分析HTTPS流程的建立
使用wireshark分析HTTPS流程的建立
摘要: https流程
一、概要
为了网站以及用户的安全性，现在很多的网站都是https，大家都知道tcp通过三次握手建立连接，并且还有很多的同学对https连接建立的流程不太明白，包括我自己，通过借助于wireshark这种抓包工具，我们可以尝试着了解一下大概的流程。
（图1）
本图是客户端（）访问服务端（）通过wireshark抓包显示出来的双方交互数据，访问是通过https访问服务器上的一台nginx服务器服务。请关注第一列的No。下文中很多时候会用no表示一次交互。
图中可以很明显的看出tcp的三次握手以及之后的TLS加密流程的建立。
二、tcp的三次握手
通过流程图可以看出（也可以看图1 的19368到19370这三个编号），首先客户端向服务端发起一个SYN的请求，序号(Seq)为0，确认号（ACK）也为0，这代表是本次是由客户端发起的首次请求。本次请求的数据长度为0
然后服务端给客户端响应，此时服务端的Seq也是0，值得是服务端的第一回应，并且给客户端说，你的请求我已经收到了（ACK=1），
最后返还给客户端以后，客户端的序号+1，并且对服务端的响应做出确认，最后回给服务端，此时ACK=1，Seq=1
tcp的握手过程建立成功。
三、ssl连接的建立
通过以上可以看出，SSL也是建立在TCP的基础上的，经过tcp的三次握手，接下来才是加密信道的建立。
客户端和服务端建立安全连接大致经过以下几个步骤
客户端：ClientHello
服务端：Server Hello，Server certificate，Server Exchange，Server Hello Done
客户端：client Exchange
客户端：Application Data
服务端：New Session
服务端：Application Data
接下来看这几个步骤中具体的每一个步骤传输的内容
ClientHello
client首先给服务端打招呼，对服务端说hello
应用层没什么特别的
然后客户端声明自己所支持的加密套件（Cipher Suites）这个客户端支持15种加密套件
加密套件中表明了使用的对称加密算法，非对称加密算法，摘要算法以及使用的是TLS或者是SSL
还有一些其他的信息
第一行指明是否进行了压缩以及使用的压缩算法，第二行null表明未进行压缩，以及选用相关的压缩算法或者压缩工具
剩下的就是一些扩展的字段了
总结下来，客户端向服务端第一次打招呼（client Hello）的时候实际上主要发送了以下主要的信息
客户端的随机数
客户端所支持的加密套件
以及客户端和服务器之间的sessionId
接下来就是服务端对客户端Hello的第一次回应，也就是编号19372
可以看到 服务端使用的是443端口，序列号（Sequence number）也是1 ，并且回应客户端说我已经确认收到你的202个自己的数据（203-1），Flags表明本次是服务端反馈给客户端请求的应答（蓝色的文字也写出来了，这是一个队19371编号的应答）
从图1可以看出这是一个TCP连接
Server Hello
接下来不等客户端反应，服务端又给客户端发送了19373的数据，。
摘要信息中说明了这是服务端的的hello,Server hello,服务端秘钥交换，服务端hello done。接下来看服务端发过来的具体都有什么。
传输控制层（transmission control protocol）和上面一样，主要是一些Flags，端口以及数据长度的确认等等，主要看一下安全套接字层的东西（Secure Sockets Layer）中的东西。
通过上图，可以看出服务端主要返回四种内容。
Server Hello 服务端的回应客户端的hello信息
Certificate  服务端证书
Server key Exchange 服务器秘钥交换
Server Hello Done 服务器信息发送完毕
详细看一下各个Record layer中的具体内容
Server Hello
在Server Hello中，服务器返回的服务端的随机数，所选用的TLS 版本，以及服务器最终选用的客户端和服务端交互的加密套件（TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)），最终选用的加密套件是RSA非对称加密