提示:本文通过wireshark抓包,详细从三次握手、TLS/SSL握手、数据传输、四次挥手详细分析每个过程,所以文章内容有点长,但是值得一看,建议收藏,慢慢看!
准备
EDITOR
我的操作是这样的,让手机和电脑在同一个局域网内(比如连接同一个 wifi),接着在手机的wifi上设置代理,电脑使用 Charles 做代理,IP 为电脑在局域网 IP,我这边的环境,手机 IP 为 172.17.32.117,电脑 IP 为 172.17.32.19。再设置代理端口为 8888。设置代理后,接下来手机的请求都会通过电脑的网卡代理请求发送出去
其实可以不用这么绕。我之所以多设了一个代理,是因为自己电脑创建的 wifi 热点,手机接收不到。为了让手机的包能经过电脑网络嗅探到才这么处理的
最便捷的方式,就是电脑放个 wifi 热点给手机连接完事
创建后代理连接后,然后使用 Wireshark 嗅探网卡,比如我这里使用的是 eth0 网卡去访问网络的。这时候玩玩手机,打开几个请求,Wireshark 上面就会出现捕捉的大量的包,各种各样的协议都有,有 ARP 寻人启事(寻找 IP 对应的物理地址),有 TCP 连接包,有 HTTP 请求包
这里我设置了一下过滤规则,把对网易的一个 https://nex.163.com 的一个的请求过滤出来如下:
整个完整的 HTTPS 请求的过程如下:
接下来把手机称为 A(172.17.32.211),电脑称B(172.17.32.19),对完整的过程进行简要分析
分析
EDITOR
1
三次握手
--TCP 协议内容
作为整个过程的第一个 TCP 包,这里对它做一个详细的剖析,理解一下 TCP 报文的格式和内容。TCP 是传输层协议,负责可靠的数据通信,它在整个体系结构的位置如下:
作为传输层协议,主要为上层协议提供三个功能:
TCP 协议为 HTTP 和 SSL 协议提供了基础的通信功能。所以 SSL 协议是基于 TCP 的
三次握手的内容有:
下面对每个包进行详细的分析:
--Round 1
A 发出一个带 SYN 同步位的包,通知服务端要建立连接
第一次握手,发出的 TCP 包的数据和 Wireshark 解析的结果如下:
灰色部分就是 TCP 报文的数据内容,第一个两个字节 0x8c85 = 35973 表示源端口
TCP 报文的格式如下,对应的如上图的灰色部分。非灰色部分分别为 IP 首部和数据帧首部。
参考谢希仁版本的 《计算机网络》一书,对照着整个报文格式表,把整个 TCP 报文的二进制信息和相关意义做些说明:
我们这里作为整个请求过程中的第一个 TCP 报文,仅仅设置一个控制位 SYN,一方面通知响应者 B 要建立连接了,另一方面同步一下序号。
到这里的话,TCP 数据报首部固定部分结束,固定部分一共有 20 字节。也就是 TCP 首部,至少要有 20 字节。
固定首部后,就是可长度可以变化的选项了:
整个所以 TCP 数据包的大小可以这样表示:
我们 Wireshark 后面的一长串的信息就指出了该 TCP 报文的一些主要信息:
从上面的分析可以看出,这个 SYN 包并没有携带数据,但是按协议这里要消耗一个序号。
在发出 SYN 包后,A 端进入 SYN-SENT 状态。
B 收到 SYN 包,发出 SYN + ACK 确认包。
这个包,既是确认收到了第一次握手的包,也是一个由 B 端发出的同步包,表示自己准备好了,可以开始传数据了。
因为 Wireshark 已经帮我们分析好包的内容了,上面列举的包二进制数据和 TCP 报文结构只是为了学习,实际应用可以直接看 Wireshark 的解析内容。包的内容如下:
TCP 报文包相对于第一次握手的包可以窥见一些变化:
可以看到,这个包的应答时间戳刚好是第一次握手的发送时间戳。从这里也可以理解到,这个包就是在响应第一次握手的包
所以,接收方 A 可以利用这个值来计算这一次 RTT,收到第二次握手的包后,计算当前时间戳减去该包的应答时间戳就是一个 RTT 的延时了。
这虽然是 ACK 包,但也是 SYN 包,所以也要消耗一个序号。
在发出这个包后,B 端进入 SYN-REVD 状态。
A 收到后,再发出一个 ACK 确认包
发出的包如下:
这里我们产生一个疑问,这里发送端 A 发连接请求信息、接收端 B 发确认信息,又互相同步了序号,是不是已经可以传输数据了?但实际上 A 还要再发一个 ACK 确认报文,如图所示,确认收到了 B 第二次握手发出的包,这个时候,在这个 ACK 包后 A 和 B 才正式进入 ESTABLISHED 状态。这就是第三次握手。
这是为什么呢?
假设我们用两次握手,然后在第一次握手期间,A 发了第一次握手包后出现了这样的场景:一直没有得到响应而进行超时重传,又发了一次包,然后我们称上一次包为失效包。
然后我们可以看到:
所以,只有接收端 B 在发送端 A 发出了第三次握手包后,才认为连接已经建立,开始等待发送端 A 发送的数据,才不会因为失效的连接请求报文导致接收端异常。
三次握手小结
TCP 三次握手的时序图如下:
三次握手,有几个重要的任务,一个是同步序号,接收端和发送端都发出同步包来通知对方初始序号,这样子后面接收的包就可以根据序号来保证可靠传输;另一个是让发送端和接收都做好准备。然后就开始传数据了。
整个过程都发生在 HTTP 报文发出之前。HTTP 协议就是依靠着 TCP 协议来做传输的管理。TCP 可以认为是它的管家,管理着传输的大大小小的事务,比如要不要保证包顺序一致?什么时候发包?要不要收包?TCP 是很严格的
三次握手在 Java API 层面,对应的就是 Socket 的连接的创建(最终调用的是 native 层的 socket 创建):
这里的 connectTimeout 对应的是三次握手的总时长,如果超时了就会被认为连接失败。
比如一个场景,客户端发出一个 SYN 报文后,迟迟没有收到服务端的 SYN + ACK。这时候客户端触发重传机制,每次重传的间隔时间加倍,同样没有收到包。然后如果这段时间超出了连接超时时间的设置,那么建立连接超时就发生了。
所以,如果三次握手要花的时间,总是大于这里的 connectTimeout 时间,这个 Socket 就无法建立连接。
我们这一次请求的三次握手时间在 180ms 左右。
像在 OkHttp 中,如果是三次握手阶段的连接超时,是会有重试机制的。也就是重新建联,重新发出 SYN 报文发起 TCP 连接。重新建联的时候会更换连接的路由,如果已经没有可选择路由的话,那么这个就真的失败了。
在 OkHttp 3.9.0 的默认配置中,连接超时的时间为 10000ms = 10s。在 OkHttpClient.Builder 中。
实际应用的时候,根据业务场景来调整
2
TLS/SSL 握手
SSL 整个协议实际上分两层,SSL 记录协议和其他子协议(SSL握手协议,SSL改变密码协议,SSL警告协议):
这两层协议的关系,其实就是数据封装的关系,SSL 握手封装协议封装其他上层协议。
封装握手协议:
封装应用数据协议,比如 HTTP:
封装交换密码协议:
封装警报协议:
所以 SSL 记录协议其实就是一个其他协议的载体,只是提供了一个封装的功能。它的格式为:
MAC 就是消息验证码,用来验证数据的完整性,保证中途没有篡改。这个消息验证码比数字签名弱一些,使用的是对称密钥加密摘要。数字签名使用的是非对称密钥加密,有区分公钥私钥。
记录协议的主要目的有这几个,为其他 SSL 子协议提供了以下服务:
TCP 三次握手结束并且和代理服务器成功连接后,建联成功,客户端 A 就开始发起 SSL 连接,首先会进入 SSL 握手阶段。
SSL 握手阶段的主要目的有这么几个:
SSL 握手的流程并不是一成不变的,根据实际的应用场景来。主要有三种:
SSL 握手的完整的交互过程如下,这里是验证服务端又验证了客户端的情况:
我们的请求只验证服务端,所以 7,8,9 是不存在的。
现在具体分析每一个阶段的内容。
--阶段二
Client Hello
作为 SSL 握手的第一个握手包,我们详细分析和理解一下包的内容。
下面是 Wireshark 解析好的这个 SSL 协议的数据包:
这个包如何解读,按照之前对 SSL 协议的分析,其实分成两个部分:
因为是握手过程,密钥还没协商,这里还是使用明文传输,记录协议的数据载体就是明文的 SSL 握手协议。
SSL 握手协议的格式为:
我们可以从握手协议的数据包中得到这些信息:
最后使用什么样的版本,得由服务端决定。如果服务端不支持的话,客户端得降版本。
密钥交换算法用在 SSL 握手阶段的交换协商好的对称密钥的阶段,为非对称加密,比如:
加密算法,是最后要用来加密 HTTP 数据的,为对称加密算法,比如:
摘要算法,也是对数据进行摘要。后面可以用来做数据的校验,保证数据的一致性,让中途被篡改的包失效,比如:
所以这里一共应用了三种密钥技术,非对称密钥,对称密钥和摘要算法。用一句话总结:用非对称加密算法来传递对称加密算法的密钥,同时用摘要算法保证数据的完整性。
这一次请求,客户端提供了 20 种密码套件供服务端选择,最终使用什么密码套件是服务端决定的。要什么密码套件会在 Server Hello 中进行反馈。
密码套件随着密码学的发展而发展,而且根据现实应用中,可能会有某些密码被破解,从而导致密码套件可能会导致安全问题,所以一般都会使用当前最新最安全的密码套件。
在 Android 系统中,一般情况下,使用 SSLSocket进行连接的时候,会带上系统默认的支持的密码套件。但是这个有个缺点,比如某些密码套件的加密算法被破解或者出现安全漏洞,而且要跟着系统升级反应缓慢。OkHttp 在进行 SSL 握手的时候,会使用 ConnectionSpec 类中带上提供了一系列最新的密码套件。可以从注释上看,这些密码套件在 Chrome 51 和 Android 7.0 以上得到了完全支持。
然后,再把这些密码套件和 Android 系统支持的密码套件取交集,提交给服务端。这样,万一哪个密码套件有问题,OkHttp 官方会下降支持。网络库 OkHttp 库会随着版本的迭代,不断地去提供比较新的密码套件,并且放弃那些不安全的密码套件。接入应用即时更新 OkHttp,就不用等待缓慢的系统更新了。
如果提供的所有密码套件服务端都不支持,OkHttp 有回退机制,退而求其次,选比较旧的套件。
--阶段一
Server Hello
服务端收到了客户端的 Hello,通过客户端的配置信息,结合服务端的自身情况,给出了最终的配置信息。
Wireshark 解析后的内容如下:
具体内容如下:
交换加密算法为ECDHE ,就是EC Diffie-Hellman ,RSA 表示后面 Server Key Exchange 阶段的携带 DH 加密算法的公钥的包的数字签名的加密算法是 RSA。
加密算法为 AES ,最高密钥支持 128 位,使用 CBC 分组。
认证算法 SHA 。所谓 CBC 就是 AES 的机密模式,为分组加密。ECDHE_RSA,表示交换加密算法为 ,RSA 是后面的 获取 ECDHE 的参数的包进行的数字签名用的算法。
Certificate
上面的 Server Hello 已经制定了接下来的非对称加密算法
服务端下发证书,客户端验证服务端的身份,并且取出证书携带的公钥,这个公钥是交换加密算法的公钥。也就是在 Server Hello 阶段指定的 ECDHE (EC Diffie-Hellman)算法,也是通常说的 DH 加密。
这个 Certificate 消息下发了从携带自己公钥的数字证书和 CA 证书的证书链,在 Certificates 字段中:
CA 是 PKI 体系的重要组成部分,称为认证机构。
那什么是 CA 证书?就是用来 CA 中心发布的,认证该服务单证书的合法性,可以确保该证书来源可靠而不是被中间人替换了。但是 CA 证书也可能被中间人拦截造假?那就再用一个证书来认证它。看起来好像没完没了。实际上到最后有一个根 CA 证书,这个证书存储再浏览器或者操作系统中,是系统直接信任的。
服务端证书需要 CA 证书做认证。使用的还是数字签名方式,从数据中摘要一段信息,用 CA 证书的加密。然后验证的时候时候,用 CA 证书的公钥解密,用同样的摘要算法摘要数据部分和解密好的信息进行比较。
客户端在验证服务端证书的有效性有这样的一个过程。首先会找到该证书的认证证书,也就是中级 CA 证书。然后找中级 CA 证书的认证证书,可以是另一个中级 CA 证书,也可能是根 CA 证书。这样直到根 CA 证书。
接着从根 CA 证书开始往下去验证数字签名。比如有这样的证书链:根 CA 证书-> 中级 CA 证书 -> 服务端证书。用 CA 证书的公钥去验证中级证书的数字签名,再用中级证书的公钥去验证服务器证书的数字签名。任何一个环节验证失败,就可以认为证书不合法。
这就是整个证书链的认证过程:
查看抓到的包的数据,发现只有两个证书。为服务端证书和中级 CA 证书。根 CA 证书呢?顺藤摸瓜找到它。
首先看服务端证书。它内容如下:
从这个证书中我们可以窥见这些信息:
首先是 signedCertificate 字段的内容,即数字证书的数据:
可以了解到该 CDN 为 314 个域名提供服务。
然后是证书颁发机构的签名信息:
从上面的 issuer 可以了解到,认证该服务器证书的 CA 证书为 GeoTrust SSL CA - G3 ,我们从 Certificates 找到对应的中级证书的内容如下(中级证书可以有好几级,我们这儿只有一级):
可以得到中级证书名为 GeoTrust SSL CA - G3 ,证书组织为 GeoTrust Inc. 。
认证该 CA 证书的证书呢?还是看 issue 字段,认证证书名为 GeoTrust Global CA ,组织同样是 GeoTrust Inc. 。
其实这个就是根 CA 证书。在这个请求中没有找到,但在浏览器或者操作系统可以找到。一般的浏览器和系统都会内置该 CA 证书。所以根证书是受浏览器或者操作系统信任的,无需其他证书做担保。
如果想要自己的系统再信任某些非通用的权威机构的根 CA 证书,那么就去安装它。
比如我的 Windows 系统就安装了 GeoTrust Global CA 证书:
像我们平时使用 Charles 抓 HTTPS 就是这个原理,把 Charles 的 CA 证书安装在手机中,成为受信任的根 CA 证书。
基本原理就是,Charles 代理作为 SSL 隧道,并没有透明传输,而是作为一个中间人,拦截了 SSL 握手信息,修改里面的 CA 证书。仿冒手机端和真实服务端建立连接获取主密钥,然后又仿冒服务端和手机客户端建立 SSL 连接,修改服务端证书的 CA 和数字签名,这样 Charles 就可以解析到加密的 HTTP 内容了。
修改后的服务端证书如下,可以看到 issuer 被替换成了 Charles 的证书。
到这个阶段,我们有了一个小想法,是不是可以自己搞个根 CA ,然后推广到各个设备上使用?
理论上可以。但是推广成本太高,市场上被大多数系统认可的就这几家机构:
像 BAT 这样的大厂也需要买它们的证书。像我这次抓的是网易的包,使用的也是 GeoTrust 。不过也有例外,我们的 12306 比较任性,就没有购买这些机构的证书,所以上这个网站在 Chrome 等浏览器经常会弹出不受信任等等。
Server Key Exchange
密钥交换阶段,这个步骤是可选步骤,对 Certificate 阶段的补充,只有在这几个场景存在:
协商采用了 RSA 加密,但是服务端证书没有提供 RSA 公钥。
协商采用了 DH(EC Diffie-Hellman) 加密,但是服务端证书没有提供 DH 参数。
协商采用 fortezza_kea 加密,但是服务端证书没有提供参数。
我们满足了哪一个场景?
可以知道我们前面协商了使用 EC Diffie-Hellman 算法,而且没带参数,所以这个包就是服务端带过来的用来协商 DH 密钥参数的。
这个包把 DH 算法需要的公钥给传递过来了,即 Pubkey: 04a10ad7a23135095205caf7ca8e4c838728e877dbcb23c3...
同样这个包也携带了数字签名 Signature: 8c7c51f60574144e9e1385a534e12f85911e8dc7cd40dc04... ,用服务端证书带过来的公钥验证一下完整性和来源。
Server Hello Done
通知客户端,版本和加密套件协商结束。
这个 Server Hello Done,就像 TCP 协议的 ACK 确认包一样,这里服务端也给了个确认的信息,通知客户端已经做好进入下一个阶段的准备。
通过 Wireshark 抓包发现了一个现象,就是 Server Key Exchange 和 Server Hello Done 被放到了同一个 SSL 记录协议中,这是因为 SSL 记录协议具有组合功能。客户端收到这样的包后,会处理成两个单独的协议包,这又是 SSL 记录协议的分组功能。
这样做的好处,可以减少发 TCP 包的次数,减少 SSL 握手的时间。
--阶段三
如果在一些安全级别高的场景,服务端也会要求客户端上报证书,也就是双认证,会有 Certificate Request 的 SSL 握手报文。这样的情况下,接下来会有完整的客户端证书上报服务端的流程。整个流程和阶段二类似
--阶段四
因为我们这里只需要验证服务端的证书,所以直接进入阶段四,开始最后的握手。这个阶段的主要目的,就是生产加密密钥,并进行安全传输。
Client Key Exchange
这里,客户端不直接生成加密密钥,而是通过之前客户端和服务端生成的随机数又再生成一个随机数,使用前面协商好的用 EC Diffie-Hellman 算法进行加密传输给服务端。这个值又被称为 “premaster secret“。
服务端收到这个报文后,会使用自己的私钥解开这个随机数。
在这个阶段过后,服务端和客户端都有三个随机数:客户端随机数、服务端随机数和预备主密钥。
在服务端收到了 Client Key Exchange 消息后,两端都按照相应的算法生成了主密钥,加密密钥交换完成。
交换完了,因为主密钥是两个端按照约定好的算法产生的,如何保证这个主密钥是正确的?
这时候会进入下一个阶段。客户端和服务端会对握手信息使用 SHA 做个摘要,用 AES 加密算法和主密钥加密,传递给对方验证。这种方式也称为消息认证。就是下面的过程:
Change Cipher Spec(Client)
客户端通知服务端,后续的报文将会被加密。
Encrypted Handshake Message(Client)
这里就是客户端的 Client Finished 消息。
也是整个 SSL 过程中,发送给服务端的第一个加密消息。
服务端接收后,服务端用同样的方式计算出已交互的握手消息的摘要,与用主密钥解密后的消息进行对比,一致的话,说明两端生成的主密钥一致,完成了密钥交换。
Change Cipher Spec(Server)
服务端通知客户端,后续的报文将会被加密。
Encrypted Handshake Message(Server)
这里就是服务端的 Server Finish 消息。
和上面的客户端的 Encrypted Handshake Message 一样,是服务端发出的第一条加密信息。
客户端按照协商好的主密钥解密并验证正确后,SSL 握手阶段完成。
--TLS/SSL握手小结
整个 SSL 握手主要是要完成这几个目标:
这次请求的整个过程耗时大约为 380ms。可以看出,SSL 握手是很消耗请求时间的。所以对握手进行优化,比如使用 Session ID 或者 Session Ticket。这个类似于 HTTP 协议的 Session 和 Cookie 的使用。
3
数据传输
经过了 SSL 握手后,服务端的身份认证成功,协商出了加密算法为 AES,密钥为 xxxxx(客户端和服务端拿三个随机值用相同算法计算出来的,并没有明文传输)。一切准备就绪。
SSL 握手成功,已经可以对接下来的数据加密了,接下来各种应用层协议都可以加密传输。
--Application Data
应用数据传输消息。因为这里是 HTTPS,所以可以对 HTTP 应用协议数据加密然后传输了。
从这里,不知道密钥是无法知道这里传输的是什么数据,连传输的是什么协议的内容都不知道。
所以之前创建 SSL 隧道,让代理服务器盲传 HTTPS 数据,就得通过 CONNECT 方法告诉代理服务器要连哪台主机,哪个端口号,要不然代理服务器也是一脸懵逼。
所以 SSL 协议是很独立的,这里是对 HTTP 进行了加密,也可以对其他协议进行加密。它就像是 TCP 和应用层协议的中间层,为上层协议提供了加密的数据传输。
--Encryted Alert
SSL 警告消息,因为是加密的内容,所以单从 Wireshark 看不出警报的内容。
但因为警报消息经常只是客户端用来提示服务端 SSL 传输结束,对照抓包到的内容确实如此。所以这里只是 SSL 传输结束的一个信号。
发出了 Encryted Alert 后客户端数据传输完毕,准备进入四次挥手断开 TCP 连接。
4
四次挥手
客户端发送完 HTTP 的数据,也正确地获取到服务端的响应。完成了 HTTPS 的请求工作后,接下来要关闭 TCP 连接。关闭 TCP 连接一共分成四步,也可以成为四次挥手。对应包如下:
可以看到,这四个包都只有 66 个字节。因为不带数据,是纯粹的 TCP 首部。
--Round 1
客户端 A 发出 FIN + ACK 包,通知服务端数据传输结束,可以关闭连接了。同样这是一个 ACK 确认包,指出希望的下一个包的序号为 3213。
这个阶段后,客户端进入 FIN_WAIT_1 状态,不再发送数据给服务端,但是如果服务端还在传数据过来,客户端的 ACK 确认报文还会有。
服务端进入 CLOSE_WAIT 状态。这个状态再发出 ACK 确认包后解除。
--Round 2
接收端 B 收到第一次挥手的包后,会先给一个 ACK 确认包,为第二次挥手。
这里有个疑问,既然收到了 A 的结束信息,为什么不马上结束呢?因为 A 完成数据传输,但是 B 可能还有数据没有传完,所以比三次握手会多一个步骤。
收到客户端的 FIN 包后,已经知道客户端结束数据传输了,所以服务端后面数据传输结束,就可以直接通知客户端可以结束了。
客户端收到 ACK 确认包后,进入 FIN_WAIT_2 状态。
如果服务端数据还没有传完,会继续传给客户端。
等服务端的数据完全传完后,会再发一个 FIN + ACK 包,通知客户端数据传完了。
这个阶段后,服务端进入 LAST_ACK 状态,即等待客户端最后一个 ACK 报文。
--Round 4
发送端 A 收到 B 发出的 FIN + ACK 后,进入 TIME_WAIT 状态。服务端收到 FIN 后进入 CLOSED 状态关闭连接。
经过 2MSL 时间,没有问题后会关闭连接。也进入 CLOSED 状态。
为什么有个 TIME_WAIT ?
原因是有可能服务端一直没有收到 FIN + ACK,有可能触发超时重传,又发了一个 FIN 给客户端,客户端要重新发送最后一个包。
TCP 四次挥手的时序图如下:
5
总结
版权声明:本文为CSDN博主「Oblee」原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/firefile/article/details/80537053