访问网站,http、https协议抓包,完整分析
HTTP、HTTPS协议
一、www.qq.com抓包
第一步:浏览器分析超链接中的URL www.qq.com
第二步:DNS请求
PC用本地IP地址向DNS服务器222.172.200.68发出DNS QUERY请求,请求www.qq.com的A记录
本地IP地:ipconfig查看
DNS请求报文:
请求报文中,请求www.qq.com的A记录
第步:DNS
DNS应答报文
DNS服务器222.172.200.68回复DNS response,解析出www.qq.com域名对应的两条A记录14.18.175.154, 113.96.232.215
第四步:PC向www.qq.com的服务器14.18.175.154发起三次握手请求;
第五步:PC向www.qq.com发起GET请求,请求主页
第六步:www.qq.com回应HTTP/1.1 200OK,返回请求数据
第七步:完成数据交互过程,四次挥手断开连接
二、https://www.sangfor.com.cn抓包
第一步:浏览器分析超链接中的URLhttps://www.sangfor.com.cn
由于我用Windows抓包,包很多,显示的比较复杂,中间还会出现很多你不想看到的东西。我就使用了linux里面抓包
第二步:DNS请求
DNS请求报文:
第三步:DNS回复
DNS应答报文:
第四步:三次握手
第一次握手:PC发送SYN给服务器
第二次握手:服务器发送SYN+ACK给PC
第三次握手:PC发送ACK给服务器
第五步:SSL协商
1. Client Hello
握手第一步是客户端向服务端发送 Client Hello 消息,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息。通过 Wireshark 抓包,我们可以看到如下信息:
2. Server Hello
第二步是服务端向客户端发送 Server Hello 消息,这个消息会从 Client Hello 传过来的 Support Ciphers 里确定一份加密套件,这个套件决定了后续加密和生成摘要时具体使用哪些算法,另外还会生成一份随机数 Random2。注意,至此客户端和服务端都拥有了两个随机数(Random1+ Random2),这两个随机数会在后续生成对称秘钥时用到。
3. Certificate
这一步是服务端将自己的证书下发给客户端,让客户端验证自己的身份,客户端验证通过后取出证书中的公钥。
Server Key Exchange
如果是DH算法,这里发送服务器使用的DH参数。RSA算法不需要这一步。
Certificate Request
Certificate Request 是服务端要求客户端上报证书,这一步是可选的,对于安全性要求高的场景会用到。
Server Hello Done
Server Hello Done 通知客户端 Server Hello 过程结束。
4. Certificate Verify
客户端收到服务端传来的证书后,先从 CA 验证该证书的合法性,验证通过后取出证书中的服务端公钥,再生成一个随机数 Random3,再用服务端公钥非对称加密 Random3 生成 PreMaster Key。
Client Key Exchange
上面客户端根据服务器传来的公钥生成了 PreMaster Key,Client Key Exchange 就是将这个 key 传给服务端,服务端再用自己的私钥解出这个 PreMaster Key 得到客户端生成的 Random3。至此,客户端和服务端都拥有 Random1 + Random2 + Random3,两边再根据同样的算法就可以生成一份秘钥,握手结束后的应用层数据都是使用这个秘钥进行对称加密。
为什么要使用三个随机数呢?这是因为 SSL/TLS 握手过程的数据都是明文传输的,并且多个随机数种子来生成秘钥不容易被暴力**出来。客户端将 PreMaster Key 传给服务端的过程如下图所示:
Change Cipher Spec(Client)
这一步是客户端通知服务端后面再发送的消息都会使用前面协商出来的秘钥加密了,是一条事件消息。
Encrypted Handshake Message(Client)
这一步对应的是 Client Finish 消息,客户端将前面的握手消息生成摘要再用协商好的秘钥加密,这是客户端发出的第一条加密消息。服务端接收后会用秘钥解密,能解出来说明前面协商出来的秘钥是一致的。
第六步:数据传输
第七步:四次挥手
HTTP请求和回应:
https请求回应:
三、RST报文
四、http常见字段及状态码
方法字段可以取值 GET、POST、HEAD、PUT 和 DELETE。
| 方法(操作) | 含义 |
|---|---|
| GET | 请求读取一个Web页面 |
| HEAD | 请求读取一个Web页面的首部 |
| POST | 附加一个命名资源(如Web页面) |
| PUT | 请求存储一个Web页面 |
| DELETE | 删除Web页面 |
| TRACE | 用于测试,要求服务器送回收到的请求 |
| CONNECT | 用于代理服务器 |
| OPTION | 查询特定选项 |
| 状态码 | 说明 |
|---|---|
| 200 | 响应成功 |
| 302 | 跳转,跳转地址通过响应头中的 Location 属性指定 |
| 400 | 客户端请求有语法错误,不能被服务器识别 |
| 403 | 服务器接收到请求,但是拒绝提供服务(例如认证失败) |
| 404 | 请求资源不存在 |
| 500 | 服务器内部错误 |