TLS 报文分析记录

最新推荐文章于 2025-05-11 12:03:52 发布
最新推荐文章于 2025-05-11 12:03:52 发布
阅读量743 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mqbest2000/article/details/50737263
struct {


ProtocolVersion client_version;


Random random;


SessionID session_id;


CipherSuite cipher_suites;


CompressionMethod compression_methods;


select (extensions_present) {


 case false:


 struct {};


 case true:


 Extension extensions;


};


} ClientHello; http://tools.ietf.org/html/rfc5246#section-7.4.5






Transport Layer Security (TLS) Extensions


http://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xml


Transport Layer Security (TLS) Parameters


http://www.iana.org/assignments/tls-parameters/tls-parameters.xml


16 03 01 00 6B 01 00 00 67 03 01 51 71 67 53 7E F2 BF 7F F2 EA F3 8D 85 5E 23 85 C3 34 7D 31 88 C9 2D 33 85 5F 8E C1 31 32 05 54 00 00 2C 00 FF 00 39 00 38 00 35 00 66 00 33 00 32 00 05 00 04 00 2F 00 16 00 13 FE FF 00 0A 00 15 00 12 FE FE 00 09 00 64 00 62 00 03 00 06 01 00 00 12 00 00 00 0E 00 0C 00 00 09 67 6D 61 69 6C 2E 63 6F 6D 

Package total length = 112

16    --> Tls Header   ( 16 : Plaintext   17 : ciphertext)

03 01 --> TLS Version (v1.0)  03 02 (v1.1)

00 6B --> Following data length = 107 = (112-5)

01 00 --> ClientHello Header 01:Client 02:Server

00 67 --> Following data length= 103 = (107-4)

03 01 --> TLS Version


struct {


 uint32 gmt_unix_time;


 opaque random_bytes[28];


} Random;


51 71 67 53 --> gmt_unix_time

7E F2 BF 7F F2 EA F3 8D 85 5E 23 85 C3 34 7D 31 88 C9 2D 33 85 5F 8E C1 31 32 05 54  (28+4 = 32Byte) --> ClientHello field: random

20    --> ClientHello field: session length (32)

51 71 67 59 C9 A6 6E 17 C1 B4 

96 CF 66 87 D9 91 88 6D A7 3B 

6F 3B 63 77 30 1F 71 4C 7B C1 70 B4 --> ClientHello field: session id

00 2C --> ClientHello field: cipher suite length (44 = 2*12)

00 FF 00 39 00 38 00 35 00 66 

00 33 00 32 00 05 00 04 00 2F 

00 16 00 13 FE FF 00 0A 00 15 

00 12 FE FE 00 09 00 64 00 62 00 03 00 06  --> ClientHello field: cipher suite(s)

01 --> ClientHello field: compression support, length (1)

00 --> ClientHello field: compression support, no compression (0) 

00 12 -->ClientHello field: extension length (18)

00 00 00 0E 00 0C 00 00 09 67 6D 61 69 6C 2E 63 6F 6D --> externsion content


---Server respond hello ---


struct {


  ProtocolVersion server_version;


  Random random;


  SessionID session_id;


  CipherSuite cipher_suite;


  CompressionMethod compression_method;


  select (extensions_present) {


 case false:


 struct {};


 case true:


 Extension extensions<0..2^16-1>;


  };


} ServerHello;


Package total length = 2099


16    --> Tls Header

03 01 --> TLS Version (v1.0)  03 02 (v1.1)

08 2E --> Following data length (2049)

02 00 --> ServerHello Header 01:Client 02:Server

00 4D --> Data Length = 77

03 01 --> TLS Version 

51 71 67 59 --> gmt_unix_time



84 9E 59 7B 4B 12 C6 6C 8E 34 30 86 1A 22 2A A9 00 0B FE 3C 0B 66 BB DB 44 62 B0 70 --> ServerHello field: random

20 --> ServerHello field: session length (32)

51 71 67 59 C9 A6 6E 17 C1 B4 

96 CF 66 87 D9 91 88 6D A7 3B 

6F 3B 63 77 30 1F 71 4C 7B C1 70 B4 --> ServerHello field: session id (32)

00 39  --> selected cipher suite

00 00 05 FF 01 00 01 00 

................................

数据的抓取是从与 gmail.com TLS的握手过程
乐在程上
关注
【网络协议】【SSL/TLS】精讲SSL/TLS概念和报文结构,图解超赞超详细!!!
风云说通信
05-12 1010
​ 1. 欢迎大家订阅和关注:精讲网络通信协议(OSI、TCP、IP、UDP、ARP、ICMP、DHCP、HTTP、MQTT、SSL等)知识点,专栏会持续更新中.....敬请期待!
《网络安全自学教程》- SSL/TLS协议详解
wangyuxiang946的博客
04-16 1万+
讲解SSL协议执行原理、报文格式,使wireshark抓包分析ssl协议工作过程。
TLS握手及其报文详细分析,服务器视角
知识改变命运的博客
06-27 2232
TLS(传输层安全协议)握手是建立安全通信通道的关键过程。这个过程涉及客户端和服务器之间交换一系列消息,以协商加密算法、验证身份并生成会话密钥。以下是TLS握手过程及其报文的详细分析
2020年6-8月总结——解析“代理”流量中的TLS报文、网络安全初瞰
fwhdzh的博客
09-22 1037
起 大概6月份的时候,那时候保研的各个事情都还没有开始,有一天辅导员突然在保研群里发布了北大信息工程学院的李挥教授的招生PPT。 李挥教授的研究方向其实和我的兴趣还是挺合拍的,但这位老师的口碑实在是差到爆炸。不过当时正好赶上要在大概一周之内确定我们大三的暑期实训的内容。我在跟着学院做开发项目、找本校老师做项目之间想了想,觉得还是应该选择去李挥教授这里做这次实训。把保底留在李挥教授那里相对于我来说还是比留在武大随机一个老师好些。 李挥教授的主要成果在于一个多标识MIN网络,大概可以理解为各种未来网络体系结构的
TLS加密协议的记录协议格式
最新发布
2401_89847635的博客
05-11 125
如果2字节负载长度的值是200,那么后面的加密数据的字节个数就是200个。记录协议用来封装TLS的握手报文和加密后的高层应用数据。2字节协议版本(值为0x0303是1.2版本,0x0304是1.3版本)1字节内容类别(0x15是警报,0x16是握手,0x17是应用数据)2字节负载长度(最大16 * 1024字节)加密的高层应用负载数据(可变长度)二、主要协议格式内容。
TLS认证流程及报文解析
qq_42288975的博客
08-23 3919
介绍了TLS单向认证、双向认证、会话恢复流程,根据报文解析深入理解上述流程。
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1763
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
C语言使用openssl库解析TLS报文(SNI和证书)
Chuancey的博客
02-15 7901
项目中需要对TLS报文中SNI和证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI和证书,TLS报文的版本为1.2。使用版本为1.0.2k的openssl库进行C编程。
深入解析SSL/TLS协议:原理、报文格式与抓包分析
qq_44103359的博客
05-16 918
Wireshark是一个流行的网络协议分析工具,可以捕获和显示网络上传输的数据包。
【网络技术】【Kali Linux】Wireshark嗅探(十六)TLS(传输层安全协议)报文捕获及分析
weixin_43031313的博客
06-03 1435
传输层安全性协议(英语:Transport Layer Security,缩写:TLS),前身称为安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。
TLS/SSL报文格式探究
热门推荐
村中少年的专栏
09-30 1万+
本文简单介绍一下实际通信场景中HTTPS的报文结构。 图1 图1出自这里,很好的解释了HTTPS和HTTP在协议栈中的关系。可以看出HTTS总体上是由两部分来构成的,TLSRecord Layer Protocol和其他的一些子层协议,例如握手协议和http协议等。由图1可以看出Record Layer层作为低一层的协议来承载上层的数据,但是该层与上层(以握手协议层为例)到底在报文中是...
TLSA记录轮转-------------
05-14
python 代码,使用dnspython库,完成TLSA记录的轮转。 动态更新。-----------------------------------
tlsa-survey:用于进行 DNS TLSA 记录调查的 Python 脚本
05-31
这是一组脚本,用于对 DNS 中的 TLSA 记录进行调查。 该代码最初由 UCS/ISI 的 Liang Zhu 和 Verisign Labs 的 Duane Wessels 编写和开发。 依赖项: - Python - sqlite3 - dnspython 用法: $ sh tlsa_survey.sh list-of-domains name-server Where list-of-domains is a text file containing domains to be tested for the presence of TLSA records and name-server is a resolver DNS server name or IP. 手术: For each input domain, the script issues queries
SSL、TLS协议格式入门学习
03-09
SSL、TLS协议格式入门学习 SSL(Secure socket Layer 安全套接层协议)指使用公钥和私钥技术组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的至于WEB应用 的安全协议,SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为 TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,主要用千提高应用程序之间数据的安全性,对传送的数据进行加密 和隐藏,确保数据在传送中不被改变即确保数据的完整性。
Wireshark分析实际报文理解SSL(TLS)协议
村中少年的专栏
12-19 4328
通过实际的报文数据分析SSL,TLS协议,加深对于协议流程的理解
实验六 TLS协议报文解析
weixin_30823227的博客
11-19 1794
一、实验目的 1.访问一个https://....的网站,捕TLS包并分析报文序列。 2.分析连接建立的完整过程,如:TCP三次握手、SSL安全连接,使用TLS协议连接、协商过程,加密传送的状态、TCP挥手等。 3.分析包中handshake握手、协商过程,说明完成了什么功能。 二、实验准备 1.笔记本电脑一台,安装wireshark软件。 2.实验参考了几篇csdn博客:https://w...
解密TLS协议全记录TLS协议剖析记录
walleva96的博客
07-13 9572
引言 想要解密TLS的首当其冲的点,便是要深入了解TLS中的RFC协议文档。
SSL/TLS介绍以及wireshark抓包TLS Handshake报文
weixin_52018852的博客
10-01 6421
SSL/TLS是在应用层和传输层之间的一个安全协议,通信的双方在进行通信前需要握手,通过在通信的两端建立一个安全的通道,保护数据在传输过程中的安全性。Session Identifier 的优点是它很简单,但它的缺点是,如果服务器重新启动或者会话超时,之前的Session Identifier就会失效,需要重新建立会话。Session Ticket 的优点是它可以在服务器重启后仍然保持会话的有效性,但需要确保会话票据的安全性,以防止被恶意利用。因为这是一次单向认证的Handshake过程,故比较简单。
抓HTTPS报文分组来分析TLS/SSL协议
大力海棠的博客
04-20 1101
追踪TCP流 TLS/SSL建立在应用层和传输层TCP之间,将到达TCP前的数据都进行加密处理,前面做了那么多的工作,握手密钥协商,数字签名防抵赖等,都是为了保证数据的完整性和机密性。HTTP结合TLS/SSL协议就是HTTPS,如果HTTP消息不交由TLS/SSL协议,一旦流量被截获了,最大的问题就是隐私泄露, 如果我们在一个没有部署HTTPS的网站上登陆我们的信息,以HTTP流量方式进行发送...
tls加密流量分析方法
04-24
### TLS加密流量分析的方法和工具 #### 方法概述 TLS加密流量分析通常涉及以下几个方面:解密已知密钥的流量、分析未解密流量的行为特征以及使用机器学习或深度学习技术对未知流量进行分类。 1. **解密已知密钥的流量** 使用Wireshark这样的网络协议分析工具,配合预共享密钥(Pre-Master Secret)或其他密钥材料,可以解密并查看TLS流量的内容。这需要获取服务器的私钥或者通过合法手段获得会话密钥[^1]。 2. **行为特征分析** 对于无法解密的流量,可以通过分析其行为特征来进行研究。这些特征可能包括但不限于数据包大小分布、时间间隔模式、流持续时间和频率等。这种方法不需要访问实际内容即可推断某些信息[^4]。 3. **机器学习/深度学习模型的应用** 随着AI技术的发展,越来越多的研究者尝试利用监督或无监督学习算法来识别不同类型的服务或应用所产生的加密流量。相比传统手动提取特征的方式,DL方法能更有效地发现隐藏在网络活动背后复杂关系[^4]。 #### 推荐使用的工具 以下是几种常用的用于TLS加密流量分析的工具: - **Wireshark**: 支持多种协议解析, 并允许导入必要的密钥文件以显示明文HTTP(S)通信记录; 同时也提供了强大的过滤器功能帮助快速定位感兴趣的事件[^1]. - **tcpdump**: 虽然它本身并不具备直接展示高层语义的能力, 但它非常擅长捕捉原始IP层及以上所有层次的数据帧以便后续进一步加工处理. - **Bro/Zeek**: 这是一款专注于网络安全监控的日志生成平台, 它内置了许多针对特定场景定制化的脚本模块可以直接输出结构化结果供分析师消费. - **Scapy**: Python库形式存在的一种交互式报文构造与发送接收框架, 用户完全可以按照自己需求定义任意复杂的测试用例甚至模拟整个攻击过程. - **TensorFlow/Keras & PyTorch**: 当采用先进的人工智能策略解决难题时候必然少不了这两个主流开源项目的支持, 开发人员借助它们构建自定义神经网络架构完成目标任务比如预测恶意样本类别等等操作变得轻而易举.[^4] ```python import tensorflow as tf from sklearn.model_selection import train_test_split from sklearn.preprocessing import StandardScaler # 加载数据集... X_train, X_test, y_train, y_test = train_test_split(X, y) scaler = StandardScaler() X_train_scaled = scaler.fit_transform(X_train) X_test_scaled = scaler.transform(X_test) model = tf.keras.Sequential([ tf.keras.layers.Dense(64, activation='relu', input_shape=(input_dim,)), tf.keras.layers.Dropout(0.5), tf.keras.layers.Dense(1, activation='sigmoid') ]) model.compile(optimizer='adam', loss='binary_crossentropy', metrics=['accuracy']) history = model.fit(X_train_scaled, y_train, epochs=10, validation_data=(X_test_scaled, y_test)) ``` #### 注意事项 在执行任何类型的流量拦截之前,请务必确认拥有适当权限或许可证,以免违反隐私政策及相关法律法规规定。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值