首页 > 其他分享 >记一次 HTTPS 抓包分析和 SNI 的思考

记一次 HTTPS 抓包分析和 SNI 的思考

时间:2023-07-31 23:56:15浏览次数:52  
标签:TLS handshake cn TLSv1.2 SNI HTTPS curl com 抓包

日常听说 HTTPS 是加密协议,那现实中的 HTTPS 流量,是真的完全加密吗?

——答案是,不一定。原因嘛,抓个包就知道了。

我们用 curl 命令触发一下:

curl -v 'https://s-api.37.com.cn/api/xxx'
*   Trying 106.53.109.63:443...
* Connected to s-api.37.com.cn (106.53.109.63) port 443 (#0)
* ALPN: offers h2
* ALPN: offers http/1.1
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* (304) (OUT), TLS handshake, Client hello (1):
* (304) (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=*.37.com.cn
*  start date: Aug 24 00:00:00 2022 GMT
*  expire date: Sep 11 23:59:59 2023 GMT
*  subjectAltName: host "s-api.37.com.cn" matched cert's "*.37.com.cn"
*  issuer: C=US; O=DigiCert, Inc.; CN=RapidSSL Global TLS RSA4096 SHA256 2022 CA1
*  SSL certificate verify ok.
* Using HTTP2, server supports multiplexing
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* h2h3 [:method: GET]
* h2h3 [:path: /api/xxx]
* h2h3 [:scheme: https]
* h2h3 [:authority: s-api.37.com.cn]
* h2h3 [user-agent: curl/7.85.0]
* h2h3 [accept: */*]
* Using Stream ID: 1 (easy handle 0x159813400)
> GET /api/xxx HTTP/2
> Host: s-api.37.com.cn
> user-agent: curl/7.85.0
> accept: */*
> 
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 404 
< date: Wed, 18 Jan 2023 09:57:12 GMT
< content-type: text/html
< content-length: 150
< 
<html>
<head><title>404 Not Found</title></head>
<body>
<center><h1>404 Not Found</h1></center>
<hr><center>openresty</center>
</body>
</html>
* Connection #0 to host s-api.37.com.cn left intact

Wireshark 使用过滤条件 ip.addr == 106.53.109.63,截图如下:

https抓包分析

可以看到,HTTPS 并没有完全加密我的访问请求,因为 Server Name 依然是明文传输的。它发生在 HTTPS 传输过程中的 Client Hello 握手阶段,在 TCP 三次握手之后。

如果不知道什么是 Client Hello,可以参考网上的一张流程图:

https流程图

这也解答了我之前用 curl 请求接口的疑惑——正常来说,我们用 http 协议,以下命令是可以访问的:

curl -v -H 'Host: s-api.37.com.cn' 'http://10.43.2.9/api/xxx'

但是你用了 https 协议,会报告证书校验失败。

curl -v -H 'Host: s-api.37.com.cn' 'https://10.43.2.9/api/xxx'
*   Trying 10.43.2.9:443...
* Connected to 10.43.2.9 (10.43.2.9) port 443 (#0)
* ALPN: offers h2
* ALPN: offers http/1.1
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* (304) (OUT), TLS handshake, Client hello (1):
* (304) (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: self signed certificate
* Closing connection 0
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

意思是证书校验失败!因为 -H 参数指定了 HTTP 头部 Host 字段,作用于 7 层。

而 HTTPS 的握手阶段,只是完成了 TCP 的三次握手,抓包分析也可以发现,看不到域名,只有一个 IP 地址。

可以使用 -k 参数跳过证书校验的过程。

有没有更好的办法呢?

curl -vs --resolve 's-api.37.com.cn:443:10.43.2.9' 'https://s-api.37.com.cn/api/xxx'

可以使用 --resolve 参数,手工指定域名解析的 IP,就不会报证书校验失败了。

但是为什么要明文传输呢?那就得说到 SNI 了!

引用维基百科的描述,它用于服务端复用 IP 地址,提供不同域名的网站服务。

服务器名称指示(英语:Server Name Indication,缩写:SNI)是TLS的一个扩展协议[1],在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的IP地址和TCP端口号上呈现多个证书,并且因此允许在相同的IP地址上提供多个安全(HTTPS)网站(或其他任何基于TLS的服务),而不需要所有这些站点使用相同的证书。它与HTTP/1.1基于名称的虚拟主机的概念相同,但是用于HTTPS。

而 TLS 1.3,也将 SNI 信息加密了。


文章来源于本人博客,发布于 2022-07-24,原文链接:https://imlht.com/archives/394/

标签:TLS,handshake,cn,TLSv1.2,SNI,HTTPS,curl,com,抓包
From: https://www.cnblogs.com/lofanmi/p/17595342.html

相关文章

  • HTTPS Everywhere Rulesets (zz)
    HTTPSEverywhereRulesets文件夹,HTTPSEverywhereUserRules//z2013-03-0414:41:[email protected][T229,L3029,R95,V3290]照这这个样子写,就可以了。不过这个add-on似乎被firefox官方网站给移除了,原因不明;使用有风险。。。。<rulesetname="Twitter"><t......
  • [UNIQUE VISION Programming Contest 2023 Summer(AtCoder Beginner Contest 312) - A
    UNIQUEVISIONProgrammingContest2023Summer(AtCoderBeginnerContest312)-AtCoderA-Chord(atcoder.jp)#include<bits/stdc++.h>#defineendl'\n'usingnamespacestd;intmain(){vector<string>str{"ACE",&qu......
  • Visual Studio Code -- 配置https
    安装liveserver插件默认OpenwithLiveServer是http,如果想用https访问,进行一些设备权限授权才能查看页面功能的时候还是需要配置一下,这样不需要每次都上传服务器:Setting-->输入liveserver-->Editinsetting.json进行配置也可以在项目目录中创建.vscode/setting.......
  • java.lang.ClassNotFoundException: javax.servlet.http.HttpServlet
    环境信息:JDK17、Tomcat10问题原因我这里编译,打包都是好的,但是一运行发现就报错。错误的原因是Tomcat10里也自带了一些lib包,可以打开Tomcat下lib文件夹,这又涉及到了包的加载顺序了一打开发现Tomcat里的是 JakartaEE,我Maven里引用的还是JavaEE导致的。JavaEE的servlet......
  • 接口测试(3)--HTTPS协议
    HTTPSHTTPS是HTTP协议+SSL/TLS(SecureSocketsLayer/TransportLayerSecurity)认证,是一个基于安全套接字的超文本传输协议HTTP与HTTPS的区别HTTP的URL以http://开头,而HTTPS的URL以https://开头HTTP是不安全的,而HTTPS是安全的HTTP标准端口是80,而HTTPS的......
  • VS 还原 NuGet 程序包时出错: 无法加载源 https://dotnet.myget.org/F/aspnetcore-dev
    错误还原NuGet程序包时出错:无法加载源https://dotnet.myget.org/F/aspnetcore-dev/api/v3解决方法在新源中添加地址:https://www.nuget.org/api/v2/......
  • php:获取https证书的信息(PHP 8.1.1)
    一,代码:123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960<?php//得到证书的信息functiongetCertInfo($url){    if(!ex......
  • https://www.w3cschool.cn/weixinapp/
    框架为开发者提供了一系列基础组件,开发者可以通过组合这些基础组件进行快速开发。详细介绍请参考组件文档。什么是组件:组件是视图层的基本组成单元。组件自带一些功能与微信风格一致的样式。一个组件通常包括 开始标签 和 结束标签,属性 用来修饰这个组件,内容 在两个标签......
  • HTTP 和 HTTPS | HTTP发展
    1.http和https的基本概念http:是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的超文本传输协议。https:是以安全为目标的HTTP通道,即HTTP下加入SSL层进行加密。其作用是:建立一个信息安全通道,来确保数据的传输,确保网站的真实性。......
  • Oracle日常性能问题查看 转载 https://www.cnblogs.com/yhq1314/p/10601630.html
    1判断回滚段竞争的sql--当Ratio大于2时存在回滚段竞争,需要增加更多的回滚段)selectrn.name,rs.GETS,rs.WAITS,(rs.WAITS/rs.GETS)*100ratiofromv$rollstatrs,v$rollnamernwherers.USN=rn.usn;2判断恢复日志竞争的sql,这句有问题不能使用--immediate_con......