使用wireshark分析HTTPS流程的建立.docx

: .
使用wireshark分析HTTPS流程的建立
LT
客户端向服务端发送202个字节的数据，并且客户端此时的 seq num 为1 ，tcp三次握手已经通过了，所以客户端ack num 确认的是服务端的tcp的最后一次信息。由于这次发送的长度是202个字节，所以给服务端说，下一个字节序列号是从203开始的。
标志位为ACK和PSH
但是这次多了一个 Secure Socket layer层。协议使用的时候，用的是Handshake Protocol，给服务端发消息ClientHello
详细的信息如下：
Secure Socekts layer层使用的是版本是TLS  
HandShake Type的类型，是客户端打招呼 client hello
HandShake protocol 协议使用的是TLS
发送的信息还有客户端在本地生成的随机码（Random）
然后客户端声明自己所支持的加密套件（Cipher Suites）这个客户端支持15种加密套件
加密套件中表明了使用的对称加密算法，非对称加密算法，摘要算法以及使用的是TLS或者是SSL
还有一些其他的信息
第一行指明是否进行了压缩以及使用的压缩算法，第二行null表明未进行压缩，以及选用相关的压缩算法或者压缩工具
剩下的就是一些扩展的字段了
总结下来，客户端向服务端第一次打招呼（client Hello）的时候实际上主要发送了以下主要的信息
客户端的随机数
客户端所支持的加密套件
以及客户端和服务器之间的sessionId
接下来就是服务端对客户端Hello的第一次回应，也就是编号19372
可以看到 服务端使用的是443端口，序列号（Sequence number）也是1 ，并且回应客户端说我已经确认收到你的202个自己的数据（203-1），Flags表明本次是服务端反馈给客户端请求的应答（蓝色的文字也写出来了，这是一个队19371编号的应答）
从图1可以看出这是一个TCP连接
Server Hello
接下来不等客户端反应，服务端又给客户端发送了19373的数据，。
摘要信息中说明了这是服务端的的hello,Server hello,服务端秘钥交换，服务端hello done。接下来看服务端发过来的具体都有什么。
传输控制层（transmission control protocol）和上面一样，主要是一些Flags，端口以及数据长度的确认等等，主要看一下安全套接字层的东西（Secure Sockets Layer）中的东西。
通过上图，可以看出服务端主要返回四种内容。
* Server Hello 服务端的回应客户端的hello信息
* Certificate  服务端证书
* Server key Exchange 服务器秘钥交换
* Server Hello Done 服务器信息发送完毕
详细看一下各个Record layer中的具体内容
Server Hello
在Server Hello中，服务器返回的服务端的随机数，所选用的TLS 版本，以及服务器最终选用的客户端和服务端交互的加密套件（TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)），最终选用的加密套件是RSA非对称加密算法以及AES对称加密算法，用的是SHA384做摘要，注意，这个值必须是客户端发给服务端的列表中选出来的。实际上如果客户端只能支持版本和安全性比较低的加密套件，这样服务端选择和客户端交互的时候也被迫只能使用低版本的加密套件，其安全性就会降低。除了以上这些，服务端Server Hello时发送回来的还有是否使用了压缩以及一些其他的扩展字段
Certificate
Server Hello以后，服务端会发送公钥证书给客户端
Certificates (953 bytes)
Certificate Length: 950
Certificate: 308203b23082029aa003020102020101300d06092a864886... (id-at-commonName=,id-at-organizationName=JD,id-at-stateOrProvinceName=BJ,id-at-countryName=CN)
s