在本实验中,我们将研究安全套接层(SSL)协议,我们将会重点关注通过 TCP 连接发送的 SSL 记录。我们将会通过您的主机和电子商务服务器发送的 SSL 记录 的跟踪来实现。 我们将研究各种 SSL记录类型以及 SSL 消息中的字段。您可能会需要重新查看课本中的 8.6节。
我这里访问的是淘宝,其实只要访问ssl加密的网站都可以(也就是以
https开头的网站)。
您使用的 Wireshark界面应该仅仅显示含有 SSL记录的以太网帧。建议您记住:每个以太网帧可能包含一个或多个的 SSL记录,这点很重要。(这与 HTTP消息不 同,每个以太网帧包含一个完整的 HTTP消息或者仅仅包含 HTTP消息的一部分) 因此,一个SSL记录可能会被多个以太网承载。
回答问题:
答:
帧的来源直接可以通过Source和Destination可以看出,每个帧包含的SSL记录的数量可以在每个帧的Transport Layer Security可以看到,SSL记录的类型可以从Info看出。
时序图可以直接看WireShark自己绘制的,点击统计 -> 流量图 -> 限制显示过滤器:
客户端发出请求 (ClientHello) 记录(ClientHello Record:) :
2. 每个 SSL记录都以相同的三个字段(可能具有不同的值)开头。 其中一个 字段是“内容类型”,长度为一个字节。 请列出所有三个字段及其长度。
答:
Content Type字段为1字节,Version字段为2字节,Length字段为2字节:
答:如上图:
Content Type: Handshake(22)
答:包含,也就是下面的
Random,太长了,就不写出来了。
答:
以下为别人总结的知识点:
服务器回应(ServerHello) 记录 (ServerHello Record):
6. 找到 ServerHello SSL记录。 此记录是否指定了之前的密码套件之一? 选择的密码套件中有哪些算法?
答:指定了哈希加密算法(SHA哈希函数)。
答:
包含,有32字节,也就是用64个16进制数来表示。
多次随机数生成为未来生成对话密钥提高安全性能。
答:包含(有的可能不会包含,也就是可以有也可以没有)
目的:用一定时间内端口连接快速恢复连接过程。
答:此记录不包含证书,但是可以看到后面的一个
Server Hello是包含证书的,而且包含在单独的记录内。
适合在一个单独的以太网帧传输。
客户端密钥交换记录(Client Key Exchange Record):
10. 找到客户端密钥交换记录。 此记录是否包含前主密钥(pre-master secret)? 这个前主密钥用于什么? 前主密钥加密了吗? 如果是这样,为什么? 加密的前主密钥有多长?
答:1)包含
2)
3)使用EC Diffie-Hellman(ECDH加密算法)进行加密传输,使用的是服务器公钥加密,用以给服务器让服务器用私钥解密并且使用前面两个hello过程的随机数生成本次的会话加密密钥。
4)32个字节
由客户端发送编码改变记录和加密握手记录:
11. 编码改变记录目的是什么?在您的跟踪中本记录有多少字节。
答:告诉服务器已经计算好加密密钥,以后将会用商定的加密方式和密钥加密传输了,在我的跟踪中该记录有6个字节。
答:消息校验码是加密的,这个校验码是包含之前所有连接消息的摘要加密格式,只有服务器可以解开,因为在建立连接中,存在可能连接消息被侦听和更改的情况,因此还需要进行信息摘要计算和加密传输,判断是否存在异常,如果异常,将会直接关闭连接。
答:如下可以看出,服务器向客户发了。没有啥不同,加密握手记录中同样是包含之前所有连接消息摘要的加密形式,用以供客户端解密,判断是否存在异常选择处理。
应用数据(Application Data )
14. 如何加密应用程序数据? 包含应用程序数据的记录是否包含消息认证码 MAC? Wireshark是否区分加密的应用程序数据和消息认证码 MAC?
答:使用本次对话协商和交换好对称加密密钥应用程序数据,这个数据里同时包括消息本身和消息认证码,所以比消息本身要长,但是加密过,所以无法区分。
答:
Application Data报文中,没有发现其他内容。
