用Wireshark简单分析HTTPS传输过程-抓包过程 - manjingliu的编程之旅 - CSDN博客1

Wireshark是一款强大的网络封包分析软件，常用于网络故障排查、网络安全分析和协议解析等场景。在本文中，我们将探讨如何使用Wireshark来分析HTTPS（HTTP over SSL/TLS）的传输过程。 HTTPS是一种安全的网络通信协议，它通过在HTTP协议的基础上加入SSL/TLS层来提供数据加密、服务器身份验证和消息完整性检查，从而保护用户的隐私信息。在Wireshark中分析HTTPS的传输过程，可以帮助我们理解其背后的加密和通信机制。 我们需要在Wireshark中开启SSL协议的解析。在“Edit”菜单下选择“Preferences”，然后找到“Protocols”选项中的“SSL”，确保它被勾选，这样Wireshark就能解析出HTTPS相关的SSL/TLS记录。 实验中，作者提到在Kali Linux环境下使用Wireshark进行监听。一旦开启Wireshark并开始捕获数据包，我们就可以看到网络上HTTPS流量的实时传输情况。HTTPS的数据交换主要分为以下几个步骤： 1. **握手阶段**： - 客户端（浏览器）向服务器发送一个“Client Hello”消息，其中包含支持的SSL/TLS版本信息、加密套件列表、随机数等。 - 服务器回应“Server Hello”消息，选择一个共同支持的版本和加密套件，并发送服务器证书，该证书包含了服务器的公钥和证书颁发机构信息。 - 服务器可能还会发送“Server Key Exchange”和“Certificate Request”消息，用于协商加密密钥或请求客户端证书（在需要双向认证的情况下）。 - 服务器结束握手阶段，发送“Server Hello Done”消息。 2. **密钥交换**： - 客户端基于接收到的信息生成一个随机密钥，然后使用服务器证书中的公钥对这个密钥进行加密，发送给服务器。 - 如果有“Client Certificate”消息，客户端会发送自己的证书。 3. **握手确认**： - 服务器使用自己的私钥解密客户端发送的密钥，并使用这个密钥进行后续的通信。 - 双方互相发送“Change Cipher Spec”和“Finished”消息，表明从现在开始所有传输的数据都将使用协商的密钥加密。 4. **数据传输**： - 此后的HTTPS通信中，客户端和服务器之间的HTTP请求和响应都会被加密，Wireshark显示的内容看起来是不可读的，因为它们被加密了。 5. **会话终止**： - 当通信结束时，双方可能会发送“Alert”消息通知对方即将关闭连接，然后断开连接。 通过Wireshark，我们可以深入理解HTTPS协议的每一个细节，如加密套件的选择、证书验证过程以及密钥协商的步骤。这对于网络安全分析、渗透测试以及排除HTTPS相关的问题非常有用。 Wireshark提供了一个直观的界面，让我们能够捕获和分析网络流量，特别是对于HTTPS这样的加密协议，它揭示了看似不可见的通信过程。通过这样的分析，我们可以更好地了解网络安全、提高网络性能，并确保数据的隐私和安全。