您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

为什么我抓不到baidu的数据包?

时间:2023-01-03 13:37:33  来源:今日头条  作者:小白debug

转自:小白debug

最近,有位读者问起一个奇怪的事情,他说他想抓一个bAIdu.com的数据包,体验下看包的乐趣。

但却发现“抓不到”,这就有些奇怪了。

我来还原下他的操作步骤。

首先,通过ping命令,获得访问baidu时会请求哪个IP。

$ ping baidu.com
PING baidu.com (39.156.66.10) 56(84) bytes of data.
64 bytes from 39.156.66.10 (39.156.66.10): icmp_seq=1 ttl=49 time=30.6 ms
64 bytes from 39.156.66.10 (39.156.66.10): icmp_seq=2 ttl=49 time=30.6 ms
64 bytes from 39.156.66.10 (39.156.66.10): icmp_seq=3 ttl=49 time=30.6 ms

从上面的结果可以知道请求baidu.com时会去访问39.156.66.10

于是用下面的tcpdump命令进行抓包,大概的意思是抓eth0网卡且ip39.156.66.10的网络包,保存到baidu.pcap文件中。

$ tcpdump -i eth0 host 39.156.66.10 -w baidu.pcap

此时在浏览器中打开baidu.com网页。或者在另外一个命令行窗口,直接用curl命令来模拟下。

$ curl 'https://baidu.com'

按理说,访问baidu.com的数据包肯定已经抓下来了

然后停止抓包。

再用wireshark打开baidu.pcap文件,在过滤那一栏里输入http.host == "baidu.com"

此时发现,一无所获。


在wireshark中搜索baidu的包,发现一无所获

这是为啥?

到这里,有经验的小伙伴,其实已经知道问题出在哪里了。

为什么没能抓到包

这其实是因为他访问的是HTTPS协议的baidu.com。HTTP协议里的Host和实际发送的request body都会被加密。

正因为被加密了,所以没办法通过http.host进行过滤。

但是。

虽然加密了,如果想筛选还是可以筛的。

HTTPS握手中的Client Hello阶段,里面有个扩展server_name,会记录你想访问的是哪个网站,通过下面的筛选条件可以将它过滤出来。

tls.handshake.extensions_server_name == "baidu.com"  通过tls的扩展server_name可以搜索到baidu的包

此时选中其中一个包,点击右键,选中Follow-TCP Stream


右键找到tcp 流

这个TCP连接的其他相关报文全都能被展示出来。


HTTPS抓包

从截图可以看出,这里面完整经历了TCP握手TLS加密握手流程,之后就是两段加密信息TCP挥手流程

可以看出18号和20号包,一个是从端口56028发到443,一个是443到56028的回包。

一般来说,像56028这种比较大且没啥规律的数字,都是客户端随机生成的端口号

443,则是HTTPS的服务器端口号。

 

HTTP用的是80端口,如果此时对着80端口抓包,也会抓不到数据。

 

粗略判断,18号和20号包分别是客户端请求baidu.com的请求包和响应包。

点进去看会发现URL和body都被加密了,一无所获。

那么问题就来了。有没有办法解密里面的数据呢?

有办法。我们来看下怎么做。

解密数据包

还是先执行tcpdump抓包

$ tcpdump -i eth0 host 39.156.66.10 -w baidu.pcap

然后在另外一个命令行窗口下执行下面的命令,目的是将加密的key导出,并给出对应的导出地址/Users/xiaobaidebug/ssl.key

$ export SSLKEYLOGFILE=/Users/xiaobaidebug/ssl.key

然后在同一个命令行窗口下,继续执行curl命令或用命令行打开chrome浏览器。目的是为了让curl或chrome继承这个环境变量。

$ curl 'https://baidu.com'
或者
$ open -a google Chrome #在mac里打开chrome浏览器

此时会看到在/Users/xiaobaidebug/下会多了一个ssl.key文件。

这时候跟着下面的操作修改wireshark的配置项。


打开wireshark的配置项

找到Protocols之后,使劲往下翻,找到TLS那一项。


在配置项中找到Protocols

将导出的ssl.key文件路径输入到这里头。


在Protocols中找到TLS那一栏

点击确定后,就能看到18号和20号数据包已经被解密


解密后的数据包内容

此时再用http.host == "baidu.com",就能过滤出数据了。


解密后的数据包中可以过滤出baidu的数据包

到这里,其实看不了数据包的问题就解决了。

但是,新的问题又来了。

ssl.key文件是个啥?

这就要从HTTPS的加密原理说起了。

HTTPS握手过程

HTTPS的握手过程比较繁琐,我们来回顾下。

先是建立TCP连接,毕竟HTTP是基于TCP的应用层协议。

在TCP成功建立完协议后,就可以开始进入HTTPS阶段。

HTTPS可以用TLS或者SSL啥的进行加密,下面我们以TLS1.2为例。

总的来说。整个加密流程其实分为两阶段

第一阶段是TLS四次握手,这一阶段主要是利用非对称加密的特性各种交换信息,最后得到一个"会话秘钥"。

第二阶段是则是在第一阶段的"会话秘钥"基础上,进行对称加密通信。


TLS四次握手

我们先来看下第一阶段的TLS四次握手是怎么样的。

第一次握手

 

  •  

    • Client Hello:是客户端告诉服务端,它支持什么样的加密协议版本,比如 TLS1.2,使用什么样的加密套件,比如最常见的RSA,同时还给出一个客户端随机数

     

 

第二次握手

 

  •  

    • Server Hello:服务端告诉客户端,服务器随机数 + 服务器证书 + 确定的加密协议版本(比如就是TLS1.2)。

     

 

第三次握手

 

  •  

    • Client Key Exchange: 此时客户端再生成一个随机数,叫 pre_master_key 。从第二次握手的服务器证书里取出服务器公钥,用公钥加密 pre_master_key,发给服务器。

     

  •  

    • Change Cipher Spec: 客户端这边已经拥有三个随机数:客户端随机数,服务器随机数和pre_master_key,用这三个随机数进行计算得到一个"会话秘钥"。此时客户端通知服务端,后面会用这个会话秘钥进行对称机密通信。

     

  •  

    • Encrypted Handshake Message:客户端会把迄今为止的通信数据内容生成一个摘要,用"会话秘钥"加密一下,发给服务器做校验,此时客户端这边的握手流程就结束了,因此也叫Finished报文

     

 

第四次握手

 

  •  

    • Change Cipher Spec:服务端此时拿到客户端传来的 pre_master_key(虽然被服务器公钥加密过,但服务器有私钥,能解密获得原文),集齐三个随机数,跟客户端一样,用这三个随机数通过同样的算法获得一个"会话秘钥"。此时服务器告诉客户端,后面会用这个"会话秘钥"进行加密通信。

     

  •  

    • Encrypted Handshake Message:跟客户端的操作一样,将迄今为止的通信数据内容生成一个摘要,用"会话秘钥"加密一下,发给客户端做校验,到这里,服务端的握手流程也结束了,因此这也叫Finished报文

     

 

四次握手中,客户端和服务端最后都拥有三个随机数,他们很关键,我特地加粗了表示。

第一次握手,产生的客户端随机数,叫client random

第二次握手时,服务器也会产生一个服务器随机数,叫server random

第三次握手时,客户端还会产生一个随机数,叫pre_master_key

这三个随机数共同构成最终的对称加密秘钥,也就是上面提到的"会话秘钥"。


三个随机数生成对称秘钥

你可以简单的认为,只要知道这三个随机数,你就能破解HTTPS通信。

而这三个随机数中,client random 和 server random 都是明文的,谁都能知道。pre_master_key却不行,它被服务器的公钥加密过,只有客户端自己,和拥有对应服务器私钥的人能知道。

所以问题就变成了,怎么才能得到这个pre_master_key

怎么得到pre_master_key

服务器私钥不是谁都能拿到的,所以问题就变成了,有没有办法从客户端那拿到这个pre_master_key

有的。

客户端在使用HTTPS与服务端进行数据传输时,是需要先基于TCP建立HTTP连接,然后再调用客户端侧的TLS库(OpenSSL、NSS)。触发TLS四次握手。

这时候如果加入环境变量SSLKEYLOGFILE就可以干预TLS库的行为,让它输出一份含有pre_master_key的文件。这个文件就是我们上面提到的/Users/xiaobaidebug/ssl.key


将环境变量注入到curl和chrome中

但是,虽然TLS库支持导出key文件。但前提也是,上层的应用程序在调用TLS库的时候,支持通过SSLKEYLOGFILE环境触发TLS库导出文件。实际上,也并不是所有应用程序都支持将SSLKEYLOGFILE。只是目前常见的curl和chrome浏览器都是支持的。

SSLKEYLOGFILE文件内容

再回过头来看ssl.key文件里的内容。

# SSL/TLS secrets log file, generated by NSS
CLIENT_RANDOM 5709aef8ba36a8eeac72bd6f970a74f7533172c52be41b200ca9b91354bd662b 09d156a5e6c0d246549f6265e73bda72f0d6ee81032eaaa0bac9bea362090800174e0effc93b93c2ffa50cd8a715b0f0
CLIENT_RANDOM 57d269386549a4cec7f91158d85ca1376a060ef5a6c2ace04658fe88aec48776 48c16429d362bea157719da5641e2f3f13b0b3fee2695ef2b7cdc71c61958d22414e599c676ca96bbdb30eca49eb488a
CLIENT_RANDOM 5fca0f2835cbb5e248d7b3e75180b2b3aff000929e33e5bacf5f5a4bff63bbe5 424e1fcfff35e76d5bf88f21d6c361ee7a9d32cb8f2c60649135fd9b66d569d8c4add6c9d521e148c63977b7a95e8fe8
CLIENT_RANDOM be610cb1053e6f3a01aa3b88bc9e8c77a708ae4b0f953b2063ca5f925d673140 c26e3cf83513a830af3d3401241e1bc4fdda187f98ad5ef9e14cae71b0ddec85812a81d793d6ec934b9dcdefa84bdcf3

这里有三列。

第一列是CLIENT_RANDOM,意思是接下来的第二列就是客户端随机数,再接下来的第三列则是pre_master_key

但是问题又来了。

这么多行,wireshark怎么知道用哪行的pre_master_key呢?

wireshark是可以获得数据报文上的client random的。

比如下图这样。


Client Hello 里的客户端随机数

注意上面的客户端随机数是以 "bff63bbe5"结尾的。

同样,还能在数据报文里拿到server random


找到server random

此时将client random放到ssl.key的第二列里挨个去做匹配。

就能找到对应的那一行记录。


ssl.key里的数据

注意第二列的那串字符串,也是以 "bff63bbe5"结尾的,它其实就是前面提到的client random

再取出这一行的第三列数据,就是我们想要的pre_master_key

那么这时候wireshark就集齐了三个随机数,此时就可以计算得到会话秘钥,通过它对数据进行解密了。

反过来,正因为需要客户端随机数,才能定位到ssl.key文件里对应的pre_master_key是哪一个。而只有TLS第一次握手(client hello)的时候才会有这个随机数,所以如果你想用解密HTTPS包,就必须将TLS四次握手能抓齐,才能进行解密。如果连接早已经建立了,数据都来回传好半天了,这时候你再去抓包,是没办法解密的。

总结

  •  

    • 文章开头通过抓包baidu的数据包,展示了用wireshark抓包的简单操作流程。

     

  •  

    • HTTPS会对HTTP的URL和Request Body都进行加密,因此直接在filter栏进行过滤http.host == "baidu.com"会一无所获。

     

  •  

    • HTTPS握手的过程中会先通过非对称机密去交换各种信息,其中就包括3个随机数,再通过这三个随机数去生成对称机密的会话秘钥,后续使用这个会话秘钥去进行对称加密通信。如果能获得这三个随机数就能解密HTTPS的加密数据包。

     

  •  

    • 三个随机数,分别是客户端随机数(client random),服务端随机数(server random)以及pre_master_key。前两个,是明文,第三个是被服务器公钥加密过的,在客户端侧需要通过SSLKEYLOGFILE去导出。

     

  •  

    • 通过设置SSLKEYLOGFILE环境变量,再让curl或chrome会请求HTTPS域名,会让它们在调用TLS库的同时导出对应的sslkey文件。这个文件里包含了三列,其中最重要的是第二列的client random信息以及第三列的pre_master_key。第二列client random用于定位,第三列pre_master_key用于解密。

     

参考资料

 

极客时间 -《网络排查案例课》



Tags:数据包   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
如何使用Airpydump实时分析无线网络数据包
关于airpydumpairpydump是一款功能强大的无线网络数据包实时分析工具,airpydump的核心类似于Aircrack套件中的airodump-ng。在该工具的帮助下,广大研究人员将能够轻松捕捉和分...【详细内容】
2023-09-11  Search: 数据包  点击:(210)  评论:(0)  加入收藏
OSPF数据包类型分为哪几类
在计算机网络中,OSPF(开放最短路径优先)是一种常用的内部网关协议,用于在路由器之间交换信息,以确定最佳的数据传输路径。OSPF通过一系列不同类型的数据包来实现路由器之间的通信...【详细内容】
2023-08-31  Search: 数据包  点击:(379)  评论:(0)  加入收藏
iOS 17 苹果地图可下载区域数据包,支持离线导航
IT之家 6 月 8 日消息,苹果日前放出了 iOS 17 首个开发者预览版更新,在增强锁屏个性化等诸多系统级改进之外,也优化了钱包、照片等原生应用。本文介绍下苹果地图(Apple Maps)应用...【详细内容】
2023-06-08  Search: 数据包  点击:(443)  评论:(0)  加入收藏
入门Linux系统收发网络数据包的秘密!
Linux 服务器收到网络数据包,需求经过哪些处置,一步步将数据传给应用进程的呢?应用进程发送数据包时,Linux 又是如何操作将数据包发送进来的呢?今天我们就来聊聊这个话题。在准备...【详细内容】
2023-06-02  Search: 数据包  点击:(235)  评论:(0)  加入收藏
使用 eBPF 技术实现更快的网络数据包传输
在 上篇文章 用了整篇的内容来描述网络数据包在 Kubernetes 网络中的轨迹,文章末尾,我们提出了一种假设:同一个内核空间中的两个 socket 可以直接传输数据,是不是就可以省掉内核...【详细内容】
2023-03-27  Search: 数据包  点击:(148)  评论:(0)  加入收藏
为什么我抓不到baidu的数据包?
最近,有位读者问起一个奇怪的事情,他说他想抓一个baidu.com的数据包,体验下看包的乐趣。但却发现“抓不到”,这就有些奇怪了。...【详细内容】
2023-01-03  Search: 数据包  点击:(221)  评论:(0)  加入收藏
网络中IP数据包是如何进行远程传输定位的
1.常规的网络交互过程是从客户端发起网络请求,用户态的应用程序(浏览器)会生成 HTTP 请求报文、并通过 DNS 协议查找到对应的远端 IP 地址。2.在套接字生成之后进入内核态,浏览...【详细内容】
2022-09-06  Search: 数据包  点击:(433)  评论:(0)  加入收藏
以太网数据包TCP、IP、ICMP、UDP、ARP协议头结构详解
以太网首部目地MAC地址(8字节)源MAC地址(8字节)类型(2字节)1、IP头的结构 (1)字节和数字的存储顺序是从右到左,依次是从低位到高位,而网络存储顺序是从左到右,依次从低位到高位。(2)版本:...【详细内容】
2022-08-29  Search: 数据包  点击:(705)  评论:(0)  加入收藏
Wireshark抓取Android数据包
用Wireshark来抓取Android应用中的数据包。有服务和客户端的源码。WiresharkWireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细...【详细内容】
2022-05-16  Search: 数据包  点击:(579)  评论:(0)  加入收藏
BurpSuite抓取HTTPS数据包
准备工作  1.一台Win7虚拟机,在Win7虚拟机上安装Brupsuite和火狐浏览器。  2.在火狐浏览器中安装代理工具插件。   3.安装CA证书  3.1 获取证书  注意:首先使用火狐...【详细内容】
2022-04-13  Search: 数据包  点击:(444)  评论:(0)  加入收藏
▌简易百科推荐
手机就可以修改WiFi密码,进行网络提速,还能防止别人蹭网
随着网络的普及和使用频率的增加,很多人可能遇到了一些网络管理上的问题,比如忘记了WiFi密码、网络速度缓慢、或者发现有不明设备在家中蹭网。相信朋友们也曾遇到过吧?但是,你知...【详细内容】
2024-04-03  老毛桃    Tags:WiFi密码   点击:(7)  评论:(0)  加入收藏
手机WiFi信号满格却接收消息延迟?这里有妙招帮你解决!
在现代社会,手机已经成为了我们生活中不可或缺的一部分。无论是工作、学习还是娱乐,手机都扮演着重要的角色。然而,有时我们会遇到一些令人烦恼的问题,比如明明手机WiFi信号满格...【详细内容】
2024-04-03  蔡前进    Tags:手机WiFi   点击:(6)  评论:(0)  加入收藏
SASE技术应用落地的五个关键趋势
在Gartner 最新发布的《2023网络技术成熟度曲线》报告中认为,SASE技术已经开始走出最初的技术炒作期,将逐步迈向新一轮的实用落地阶段。在Gartner发布的《Hype Cycle for Ente...【详细内容】
2024-04-01    安全牛  Tags:SASE   点击:(10)  评论:(0)  加入收藏
提示“该网站安全证书存在问题,连接可能不安全”如何解决
在你输入网址并浏览网页时,如果你的浏览器弹出一个警告,提示“网站的安全证书存在问题”,或是显示一个红色的锁标志,这些都是网站不安全的警示。这些提示通常是由HTTPS协议中的S...【详细内容】
2024-03-18  倏然间    Tags:网站安全证书   点击:(9)  评论:(0)  加入收藏
如何有效排除CAN总线错误
控制器局域网(CAN)控制器局域网(CAN)是现代车辆中电子元件无缝运行的基础。在远程信息处理领域,CAN总线系统的效率至关重要,其能够实现支撑当今汽车技术的复杂功能。然而,CAN总...【详细内容】
2024-02-20    千家网  Tags:CAN   点击:(49)  评论:(0)  加入收藏
网络连接受限或无连接怎么办?这里提供几个修复办法
可能错误提示 连接受限或无连接:连接具有有限的连接或无连接。你可能无法访问Internet或某些网络资源。 连接受限。排除和解决“连接受限或无连接”错误此错误可能由计算机上...【详细内容】
2024-02-06  驾驭信息纵横科技    Tags:网络连接受限   点击:(43)  评论:(0)  加入收藏
如何将Mac连接到以太网?这里有详细步骤
在Wi-Fi成为最流行、最简单的互联网连接方式之前,每台Mac和电脑都使用以太网电缆连接。这是Mac可用端口的标准功能。如何将Mac连接到以太网如果你的Mac有以太网端口,则需要以...【详细内容】
2024-02-03  驾驭信息纵横科技    Tags:Mac   点击:(66)  评论:(0)  加入收藏
简易百科之什么是端口映射
端口映射,也称为端口转发,是一种网络通信中的技术手段,通过将内网中的一个端口上的数据流量转发到另一个端口,使得外部网络能够访问到内部网络中的特定服务。在实现上,端口映射通...【详细内容】
2024-01-26    简易百科  Tags:端口映射   点击:(156)  评论:(0)  加入收藏
ip因频繁登陆已被禁止访问 无法显示图片 怎么办
首先,我们要明白,部分网站为了有效遏制数据爬取和非法攻击,保证访问速度和普通用户查询,会在系统中增加网络安全设备,加强安全防护机制,并提前设置安全访问规则。因此,一旦用户的行...【详细内容】
2024-01-20  何福意思    Tags:ip   点击:(64)  评论:(0)  加入收藏
电脑连上wifi却上不了网怎么办
当电脑连接上 WiFi 却无法上网时,可能会让人感到困惑和沮丧。这个问题通常会有多种可能的原因,包括网络配置问题、路由器故障、无线适配器问题等。在面对这个问题时,可以尝试以...【详细内容】
2024-01-16  编程资料站    Tags:wifi   点击:(69)  评论:(0)  加入收藏
站内最新
站内热门
站内头条