DTLS-PSK算法抓包解析

最新推荐文章于 2025-05-26 22:28:44 发布
原创 最新推荐文章于 2025-05-26 22:28:44 发布 · 1.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了DTLS-PSK的完整握手流程和会话恢复过程,通过抓包分析加深了对DTLS协议的理解。内容包括ClientHello、HelloVerifyRequest、ServerHello、ClientKeyExchange等步骤的解析,以及会话恢复时的交互过程。同时,提到了Scadium这一DTLS实现,并提供了相关技术参考链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、DTLS -PSK

PSK 是DTLS 定义的密钥交换方案之一,相对于公钥证书方案(如 ECDHA_RSA) 来说,其具备更加轻量化、高效的优点;
而目前 PSK方案应用也比较广泛。 关于DTLS协议可以看看前面的文章 DTLS要点解析

本次通过模拟的DTLS程序,对DTLS-PSK 握手流程进行抓包分析,以期加深对协议本身的理解。

二、完整握手

流程

         Client                                               Server
         ------                                               ------
         1.ClientHello                 -------->

                                     <--------    2..HelloVerifyRequest
                                                   (contains cookie)

         3.ClientHello                  -------->
         (with cookie)
                                                         4.ServerHello
                                      <--------      5.ServerHelloDone
         6.ClientKeyExchange
         7.ChangeCipherSpec
         8.Finished                     -------->
                                                    9.ChangeCipherSpec
                                      <--------             10.Finished

         Application Data             <------->     Application Data

步骤解析

~1. Client 发送ClientHello

==[ DTLS Record ]==============================================
Content Type: Handshake (22)
Peer address: localhost/127.0.0.1:5684
Version: 254, 253
Epoch: 0
Sequence Number: 0
Length: 82
Fragment:
    Handshake Protocol
    Type: CLIENT_HELLO (1)
    Peer: localhost/127.0.0.1:5684
    Message Sequence No: 0
    Fragment Offset: 0
    Fragment Length: 70
    Length: 70
        Version: 254, 253
        Random: 
            GMT Unix Time: Mon Jan 30 22:45:32 CST 2017
            Random Bytes: 4B 8B 3C CF 0F 62 57 99 94 E9 86 0A 46 68 BF 44 00 D1 34 45 FC 81 C3 AC BC 55 7E DB
        Session ID Length: 0
        Cookie Length: 0
        Cipher Suites Length: 4
        Cipher Suites (2 suites)
            Cipher Suite: TLS_PSK_WITH_AES_128_CCM_8
            Cipher Suite: TLS_PSK_WITH_AES_128_CBC_SHA256
        Compression Methods Length: 1
        Compression Methods (1 method)
            Compression Method: NULL
        Extensions Length: 24
            Extension: elliptic_curves (10)
                Length: 8
                Elliptic Curves Length: 6
                Elliptic Curves (3 curves):
                    Elliptic Curve: secp256r1 (23)
                    Elliptic Curve: secp384r1 (24)
                    Elliptic Curve: secp521r1 (25)
            Extension: ec_point_formats (11)
                Length: 2
                EC point formats length: 1
                Elliptic Curves Point Formats (1):
                    EC point format: uncompressed (0)
            Extension: server_certificate_type (20)
                Server certificate type: RAW_PUBLIC_KEY

===============================================================

此时没有携带Cookie,SessionID未生成;
Cipher Suites 携带了用于协商的算法集。

~2. Server 回复HelloVerifyRequest

    Handshake Protocol
    Type: HELLO_VERIFY_REQUEST (3)
    Peer: localhost/127.0.0.1:5684
    Message Sequence No: 0
    Fragment Offset: 0
    Fragment Length: 35
    Length: 35
        Server Version: 254, 253
        Cookie Length: 32
        Cookie: 77 25 7E 96 9E BD 39 42 94 5F 27 6C 8A 6D 9D D2 1A C9 A3 B8 62 1A 34 86 76 1D D7 AA F4 28 98 6D

Request中携带了32字节的Cookie。

~3. Client 再次发送ClientHello

==[ DTLS Record ]==============================================
Content Type: Handshake (22)
Peer address: localhost/127.0.0.1:5684
最低0.47元/天 解锁文章

200万优质内容无限畅学
umqoa842820
关注
DTLS技术详解:面向不可靠传输的安全协议及其与TLS的关键差异
usstmiracle的博客
06-25 106
摘要: DTLS是面向UDP等无连接协议的TLS适配版本,在不可靠传输环境中提供安全保障,适用于低延迟、抗丢包场景(如V2X通信)。相比TLS,DTLS通过Cookie机制、显式序列号和握手消息分片/重传来适应无连接特性。Adaptive AUTOSAR中,DTLS用于实时通信(如传感器数据),而TLS用于可靠传输(如OTA更新)。实现优化包括硬件加速、0-RTT和QoS分级。安全风险如重放攻击可通过滑动窗口和动态策略缓解。未来,DTLS将与TLS互补,为车载通信提供安全高效的解决方案。
TLS-DTLS-SRTP相关总结
hclbeloved的博客
06-16 2375
0 写在前面 这篇文章整理的比较久了,参考了很多文章(记不住链接了),如果侵犯到大家请联系我删除,谢谢。 1 HTTPS/SSL/TLS 1.1 安全性 通常认为,如果通信过程具备了四个特性,就可以认为是“安全”的,这四个特性是:机密性、完整性,身份认证和不可否认。 机密性(Secrecy/Confidentiality)是指对数据的“保密”,只能由可信的人访问,对其他人是不可见的“秘密”,简单来说就是不能让不相关的人看到不该看的东西。比如小明和小红私下聊天,但“隔墙有耳”,被小强在旁边的房间里全
C++/Qt音视频通话开发MetaRTC源码解读,dtls交互流程,dtls抓包分析
weixin_40355471的博客
09-12 4406
dtls交互流程,dtls抓包分析,dlts详解,C/C++实现,基于Qt框架,MetaRTC开源代码,Client Hello,Server Hello,Certificate,Server Key Exchange,Certificate Request,Server Hello Done,Client Key Exchange,Certificate Verify,Change Cipher Spec,Application Data,Encrypted Alert,通知SRS结束推流。
DTLS分析
godfather00的专栏
10-07 1929
1 dtls协议RFC描述 https://tools.ietf.org/html/rfc4347 dtls简单描述以及抓包文件 https://wiki.wireshark.org/DTLS
java dtls server_学位论文项目,在Californium框架上对DTLSPSK部分进行优化
weixin_28340315的博客
02-16 298
Eclipse Californium is a Java implementation of RFC7252 - Constrained Application Protocol for IoT Cloud services. Thus, the focus is on scalability and usability instead of resource-efficiency like ...
网络安全技术与应用实验——SSL验证分析 & 基于DTLS的安全服务器设计
蔡军帅
04-02 1450
1. SSL验证分析 实验目的:通过实验,掌握SSL的基本原理,掌握扫描器的基本原理和基本工具Wireshark的使用。 实验内容:使用Wireshark工具分析TCP连接中主机和服务器之间传输SSL数据包。 本实验中能够利用wireshark抓包并分析捕获的数据包 ubuntu20 python3.8 python3-dtls 安装 wireshark sudo add-apt-reposit...
DTLS-PSK算法抓包解析_1
csao204282的博客
02-05 1936
一、DTLS -PSK PSKDTLS 定义的密钥交换方案之一,相对于公钥证书方案(如 ECDHA_RSA) 来说,其具备更加轻量化、高效的优点; 而目前 PSK方案应用也比较广泛。 关于DTLS协议可以看看前面的文章 DTLS要点解析 本次通过模拟的DTLS程序,对DTLS-PSK 握手流程进行抓包分析,以期加深对协议本身的理解。 二、完整握手 流程 Clien
TLS协议分析------
热门推荐
zhangliang_571的专栏
06-07 1万+
TLS协议分析 2015-09-06 本文目标: 学习鉴赏TLS协议的设计,透彻理解原理和重点细节 跟进一下密码学应用领域的历史和进展 整理现代加密通信协议设计的一般思路 本文有门槛,读者需要对现代密码学有清晰而系统的理解,建议花精力补足背景知识再读。本文最后的参考文献里有一些很不错的学习资料。 目录 : 1 2 3 4 5 6 7
嵌入式软件工程师绩效填写中,需要填写能力发展项,需要填写“需提升的能力”、“提升目标”、“行动计划和完成时间”,请从嵌入式通信加密的方式来展开描述一下。
最新发布
07-12
- 通过Wireshark抓包验证握手协议合规性 - **关键指标** $$ \text{握手时间} \leq 500\text{ms} \quad ( \text{RTT} \leq 50\text{ms} ) $$ **阶段3:安全加固(7-9个月)** - **防护措施** - 实现随机时延...
DTLS 握手
键盘敲的劈啪响
09-26 2372
DTLS(Datagram Transport Layer Security)是基于 UDP 场景下数据包可能丢失或重新排序的现实情况下,为 UDP 定制和改进的 TLS 协议。从上图可以看出:在 WebRTC 中,媒体包通过 SRTP/SRTCP 进行传输,而数据包通过 SCTP 进行传输,他们都是基于 UDP 协议的。其中,SRTP 与 SCTP 的加密握手,由 DTLS 协议来完成。
DTLS(DatagramTLS)升级包
10-31
Windows 7 SP1和 Windows Server 2008 R2 SP1通过此包升级后,在慢速网络下(WAN、ADSL)可以基于UDP协议实现TLS(传输层安全),从而减少基于TCP实现TLS的带宽需要
DTLS SRTP
键盘敲的劈啪响
09-26 737
MKI是一种标识符、可选,长度可配置,MKI 由 key management 定义、产生(signaled)、使用,用于加密特定包的 Session Key 将从 Master Key 派生,MKI不能标识srtp加密上下文,MKI被key management用于re-keying、标识加密上下文中的特定主键。裸RTP与RTCP协议,本身对于负载数据(Payload)并没有任何保护,如果通过抓包工具将音视频数据抓取到后,就可以直接将音视频流播放出来,信息就泄漏了。
PSK在TLS中的应用
Network/Storage/Linux Kernel
02-19 1万+
PSK在TLS中的应用 之前搞TLS的过程中,PSK的概念有所了解,但是一直觉得他没什么用处,就大致看了一下实现,没深究。但是TLS1.3中居然设计到了PSK的概念,我想有必要在这里总结一下,以免忘记。 RFC 4279中详细描述了各个方面。 PSK的三种类型 PSK-only 简单的说,就是client写死一个key,server写死一个key,当然这两个key是一样的。 这个key...
TLS 1.0 至 1.3 握手流程详解【转】
llzhang_fly的博客
08-29 5327
TLS 全称为 Transport Layer Security(传输层安全),其前身是 SSL,全称为 Secure Sockets Layer(安全套接字层),它的作用是为上层的应用协议提供安全的通信,比如众所周知的 HTTP + TLS = HTTPS。SSL 2.0 是该协议的第一个公开发布的版本,由于其存在的安全问题很快被升级到了 SSL 3.0,并且在 1999 年,IETF 小组将该协议标准化,因此 TLS 1.0 诞生了。...
TLS/PSK
xinghaitao2005的博客
05-26 631
本文介绍了网络通信中的一种加密协议TLS/PSK,关于对称加密、签名、密钥等等概念请参考加密与电子签名。
例说图解TCP/IP协议族--TLS篇(2)对称加密密钥的形成
123¥567
05-23 1462
我们知道,要加密数据,有对称加密算法和非对称加密算法。而非对称加密算法,由于对设备性能要求高,一般用来加密少量的数据。而在网络中我们传输的数据可是很大的,因此用对称加密算法来加密。不过对称加密算法的安全性,完全取决于对称加密密钥【后面简称密钥】。对密钥我们需要保证几点: (1)通讯双方的密钥得一致,因为加解密都是用同一个密钥; (2)不能被外界所知,也就是防止被窃取; ...
Wireshark 抓包理解 HTTPS 请求流程
senlin1202的博客
01-15 3459
1. 准备 我的操作是这样的,让手机和电脑在同一个局域网内(比如连接同一个 wifi),接着在手机的wifi上设置代理,电脑使用 Charles 做代理,IP 为电脑在局域网 IP,我这边的环境,手机 IP 为 172.17.32.117,电脑 IP 为 172.17.32.19。再设置代理端口为 8888。设置代理后,接下来手机的请求都会通过电脑的网卡代理请求发送出去。 其实可以不用这么绕。...
windows C++ 利用mbedtls实现dtls-srtp
03-12
### 实现DTLS-SRTP安全通信 为了实现在Windows环境下使用C++和mbedtls库来建立DTLS-SRTP的安全通信,可以遵循以下方法: 在构建支持DTLS-SRTP的应用程序时,首先需要初始化mbedtls环境并配置必要的参数。这涉及到创建上下文结构体以及加载预定义的证书和私钥文件。 ```cpp #include "mbedtls/ssl.h" #include "mbedtls/net_sockets.h" // 初始化SSL/TLS上下文 void init_ssl_context(mbedtls_ssl_config &conf) { mbedtls_ssl_init(&conf); mbedtls_ctr_drbg_init(ctr_drbg); // 设置随机数生成器种子 entropy_init(&entropy); if ((ret = mbedtls_ctr_drbg_seed(ctr_drbg, mbedtls_entropy_func, &entropy, (const unsigned char *)pers, strlen(pers))) != 0) { printf(" failed\n ! mbedtls_ctr_drbg_seed returned %d", ret); goto exit; } } ``` 接着,在实际应用中应当调用`toUnifiedPlan(sdp)`函数处理会话描述协议(SDP),将其转换成统一计划格式以便更好地兼容WebRTC标准[^1]。然而此部分操作并不涉及底层传输层安全性(TLS)协商过程中的具体细节。 对于DTLS握手流程而言,则需通过mbedtls提供的API接口完成客户端和服务端之间的认证交换工作。这里需要注意的是,当采用SRTP作为媒体流加密机制时,必须确保双方就使用的密码套件达成一致意见,并正确传递密钥材料给libsrtp或其他负责解码音频视频数据包的相关组件。 最后一步就是编写事件循环监听网络连接状态变化情况,一旦检测到新的消息到来即刻解析其内容类型进而采取相应措施继续推进整个通讯进程直至结束为止。 #### 配置编译环境 考虑到目标平台为Microsoft Windows操作系统,建议利用Visual Studio集成开发工具链来进行项目搭建与调试作业。安装完成后记得勾选包含“Desktop development with C++”在内的选项以获取完整的桌面应用程序编程支持特性集。 另外还需下载最新版本[mbedtls源代码](https://tls.mbed.org/download)[^3]并将之加入工程依赖路径下;同样地,如果打算引入其他第三方开源软件比如opus编码器或者json解析器等也应按照相同方式处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值