- 1华为OD机考统一考试C卷 悄悄话(C++题解)_od 悄悄话
- 2Windows+Apache+mod_wsgi部署Django项目,出现页面一直加载不出来的情况_django wsgi导致网页无法访问
- 3MySQL远程连接 ERROR 2003 Can‘t connect to MySQL server (10060) 解决办法_2003:can't connect to mysql server on '192.168.43.
- 4正确解决org.springframework.beans.ConversionNotSupportedException异常的有效解决方法_spring 类型转换异常
- 5【运维】macOS-安装应用-无法打开,因为Apple无法检查其是否包含恶意软件_macos无法验证此app是否包含恶意软件
- 6linux退出热键_Linux最常用命令及快捷键整理
- 7Android studio下载及汉化_juck studio游戏
- 8Python+Selenium+Unittest 之selenium10--元素定位9-find_elements()_selenium find elements的返回怎么选择
- 9《古代汉语》上下册课后习题答案_阮元十三经注疏云唐石经标点
- 10FPGA图像处理HLS实现RGB转灰度,提供HLS工程和vivado工程源码_hls 图像处理 csdn
SSL / TLS协议解析!SNI 识别_tls sni
赞
踩
自Web诞生以来,我们所接触的互联网时代,都有可能存在信息的截断,而SSL协议及其后代TLS提供了加密和安全性,使现代互联网安全成为可能。
这些协议已有将近二十多年的历史,其特点是不断更新,旨在与日趋复杂的攻击者保持同步。
什么是SSL!什么是TLS!
SSL代表安全套接字层,该协议是由Netscape于1990年代中期开发的,Netscape是当时最受欢迎的Web浏览器。SSL 1.0从未向公众发布,而SSL 2.0具有严重的缺陷。1996年发布的SSL 3.0进行了彻底的改进,为后续工作奠定了基础。
而TLS与SSL,当一版本于1999年发布时,它由Internet工程任务组(IETF)进行了标准化,并被赋予了一个新名称:传输层安全性( TLS)。
正如TLS规范指出的那样,“此协议与SSL 3.0的区别并不明显。” 因此,TLS和SSL并不是真正的问题。而是,这两者形成了一系列不断更新的协议,并且经常被合并为SSL / TLS。
这样我们就明白了TLS(传输层安全性)只是SSL的更新,更安全的版本。目前已经升级到TLS1.3版本,TLS协议对所有类型的Internet通信进行加密。最常见的是网络流量;
简而言之,它们是保持Internet连接安全并保护两个系统之间发送的任何敏感数据的标准技术,可防止犯罪分子读取和修改所传输的任何信息,包括潜在的个人详细信息。
SSL/TLS握手过程
握手过程非常复杂,并且协议允许有多种变体。以下步骤提供了一个大致的概述。
第一
- 客户端与服务器联系并请求安全连接。服务器以密码套件列表(即创建加密连接的算法工具包)答复
- 客户端将其与其自己的受支持密码套件列表进行比较,选择一个,然后让服务器知道它们都将使用它。
第二
- 服务器提供其数字证书,该数字证书是由第三方机构颁发的确认服务器身份的电子文档。包含服务器的公共加密密钥等等。
- 客户端收到证书后,便会确认证书的真实性。
第三
-
客户端和服务器使用服务器的公共密钥,建立会话密钥,这两个会话密钥将用于会话的其余部分以加密通信。有几种技术可以做到这一点。
-
客户端可以使用公共密钥对随机数进行加密,然后将其发送到服务器进行解密,然后双方都可以使用该数字来建立会话密钥。
-
或者,两方可以使用所谓的Diffie-Hellman密钥交换来建立会话密钥。
TLS1.2和TLS1.3比较
TLS1.2它也允许使用较旧的加密技术,以支持较旧的计算机。不幸的是,这使它容易受到攻击,在中间人攻击中,黑客拦截了通信中的数据包,并在读取或更改数据包后将其发送出去。
幸运的是,TLS1.3通过抛弃对旧加密系统的支持,填补了许多此类漏洞。使通信中的数据包受到了保护。
什么是SNI
Server Name Indication (SNI) 是TLS协议(以前称为SSL协议)的扩展,该协议在HTTPS中使用。它包含在TLS/SSL握手流程中,以确保客户端设备能够看到他们尝试访问的网站的正确SSL证书。该扩展使得可以在TLS握手期间指定网站的主机名或域名 ,而不是在握手之后打开HTTP连接时指定。
SNI的技术原理
SNI通过让客户端发送虚拟域的名称作为TLS协商的ClientHello消息的一部分来解决此问题。这使服务器可以及早选择正确的虚拟域,并向浏览器提供包含正确名称的证书。
这样要说一下,服务器名称指示(SNI)有效负载未加密,因此客户端尝试连接的服务器的主机名对于被动的窃听者是可见的。
TLS的SNI扩展有什么作用?
- Web服务器通常负责多个主机名–或域名。如果网站使用HTTPS 则每个主机名将具有其自己的SSL证书。
- 在HTTPS中,先有TLS握手,然后才能开始HTTP对话。如果没有SNI,客户端将无法向服务器指示正在与之通信的主机名。
- 如果服务器可能为错误的主机名生成SSL证书。那么SSL证书上的名称与客户端尝试访问的名称不匹配,则客户端浏览器将返回错误信息,并通常会终止连接。
- 通过 SNI,拥有多虚拟机主机和多域名的服务器就可以正常建立 TLS 连接了。
下面,我们就开始对TLS协议的SNI进行解析。
TLS协议的SNI识别
这里给出的只是一部分代码实现。
int main(int argc, char* argv[])
{
char errbuf[1024];
pcap_t *desc = 0;
char *filename = argv[1];
if (argc != 2)
{
printf("usage: ./dissect_tls [pcap file]\n");
return -1;
}
return 0;
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
编译运行:
在客户端到服务端方向的 ClientHello 包中,提取 SNI 扩展字段中的 SNI_NAME 字段,通过数据包偏移量进行逐步匹配得到 SNI_NAME。对 SNI_NAME 进行规则匹配。
总结
这篇文章只是对SSL/TLS做一些简单的介绍,想通过更多认识,可以阅读官方的RFC文档,对于SNI(Server Name Indication)是 TLS 的扩展,它主要是用来解决一个服务器拥有多个域名的情况。通过 SNI,拥有多虚拟机主机和多域名的服务器就可以正常建立 TLS 连接了。
欢迎关注微信公众号【程序猿编码】,需要SSL/TLS源码和报文的添加本人微信号(17865354792)
