抓包神器 Wireshark，帮你快速定位线上网络故障（5）

1

引子

Wireshark 就像网络世界的显微镜，我们可以在它的帮助下了解网络中发生的一切。

上次分享借助 Wireshark 对 QQ 音乐进行抓取 HTTPS 包，并谈了谈如何脱掉 HTTPS 的加密外壳？

本次简单谈谈 HTTPS 协议的握手过程，希望大家能够稍作了解，以备不时之需。

2

HTTPS 协议握手一览

本次依然基于 Wireshark 对 QQ 音乐抓取 HTTPS 包为例。

通过上图，HTTPS 握手是建立在 TCP 基础上的，首先进行 TCP 的三次握手（之前分享过，感兴趣的可以扒拉一下历史推文回味一下），然后再进行建立 TLS 连接，下面重点谈谈 TLS 握手过程（HTTPS = HTTP + TLS/SSL）。

我们可以借助 Wireshark 提供的「Statistics|Flow Graph」功能，进行展示出 HTTPS 协议握手的流程图，如下图所示。

我们还可以借助 Wireshark 提供的「显示过滤器」功能来筛选出重点关注的 TLS 握手数据包，如下图所示。

通过上面两张截图，能够梳理出 HTTPS 协议握手的几个重要步骤。

步骤一：客户端向服务器端发送一个 Client Hello
步骤二：服务器端向客户端返回一个 Server Hello
步骤三：服务器端向客户端返回一个 Certificate
步骤四：服务器端向客户端返回 Server Key Exchange,Server Hello Done
步骤五：客户端向服务器端发送 Client Key Exchange,Change Cipher Spec,Encrypted Handshake Message
步骤六：服务器端向客户端返回 New Session Ticket,Change Cipher Spec,Encrypted Handshake Message

3

HTTPS 协议握手剖析

HTTPS 握手的过程，借助 Wireshark 能够看的很清晰，接下来采取剥洋葱的方式，一层一层去分析。

步骤一：Client Hello

通过 Wireshark 抓包分析，如上图所示，Clinet Hello 阶段主要是客户端告诉服务端客户端所支持的 TLS 协议的版本号、客户端支持的加密套件、客户端支持的压缩方法以及客户端生成的一个随机数等相关信息。

步骤二：Server Hello

通过抓包分析，如上图所示，主要是服务端根据客户端传递的支持的相关信息，确定使用的 SSL/TLS 协议版本；确定使用哪种加密套件及压缩方法等；产生一个随机数 Random。

步骤三：Certificate

此步主要是服务端向客户端发送证书。

步骤四：Server Key Exchange,Server Hello Done

Server Key Exchange：此消息是服务端向客户端发送密钥交换算法相关参数和数据的，常用的密钥交换算法有 RSA、DH、ECDH 等。

Server Hello Done：服务端告诉客户端消息发送完毕。

步骤五：

Client Key Exchange：此消息用来交换秘钥参数，生成一个pre-master key，然后将这个 Key 传给服务器端，服务端会结合自己的私钥解密出 Key，得到第三个随机数，进而可以生成一个通信密钥。

Change Cipher Spec：此消息是告诉服务器端后期的通信都会使用协商出来的这个密钥进行加密。

Encrypted Handshake Message：客户端将前面的握手消息生成摘要，然后用协商好的秘钥进行加密，若服务端接收后能解出来，说明前面协商出来的秘钥是一致的。

步骤六：

New Session Ticket：包含了一个加密通信所需要的信息，这些数据采用一个只有服务器知道的密钥进行加密。目标是消除服务器需要维护每个客户端的会话状态缓存的要求。

Change Cipher Spec：此消息是告诉客户端后期的通信都会使用协商出来的密钥进行加密通信。

Encrypted Handshake Message：服务端将握手过程的消息生成摘要再用秘钥加密，这是服务端发出的第一条加密消息。客户端接收后会用秘钥解密，能解出来说明协商的秘钥是一致的。

到这里 TLS 握手就完成啦，接着就是数据传输了。HTTPS 数据传输如下图所示。

4

写在最后

纸上得来终觉浅，绝知此事要躬行，有些传到不到的地方，还需要结合 Wireshark 抓包自行分析一番。

本次 Wireshark 分享就写到这里，为了能够让分享不出现纰漏，查阅了很多文档、书籍以及官方资料，归纳汇总一下给老铁，希望对老铁能有所帮助。

资料分享：

经典例子：https://gitlab.com/wireshark/wireshark/-/wikis/SampleCaptures 官方文档：https://www.wireshark.org/docs/wsug_html_chunked/

参考书籍：

《从实践中学习Wireshark数据分析》 《Wireshark网络分析就是这么简单》