(网络空间安全技术实践)8.3http和https分析实验

《(网络空间安全技术实践)8.3http和https分析实验》由会员分享，可在线阅读，更多相关《(网络空间安全技术实践)8.3http和https分析实验（30页珍藏版）》请在金锄头文库上搜索。

1、网络空间安全技术实践教程,吕秋云，王小军，胡耿然，汪云路，王秋华 西安电子科技大学出版社,第三篇 网络安全理论与技术实验篇,第八章 网络协议基础实验 8.3HTTP和HTTPS分析实验,网络空间安全技术实践教程,2,8.3 HTTP和HTTPS分析实验,实验目的： 本实验主要使用Wireshark软件对HTTP和HTTPS协议进行抓包分析。,网络空间安全技术实践教程,3,实验要点说明：（实验难点说明） HTTP协议分析 HTTPS协议分析,网络空间安全技术实践教程,4,8.3 HTTP和HTTPS分析实验,实验准备： （实验环境，实验先有知识技术说明） 操作系统windows 7及以上 Chr

2、ome浏览器（版本 56.0.2924.76 (64-bit) ） Wireshark （版本2.2.1）,网络空间安全技术实践教程,5,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （1）访问youku，抓取HTTP包 开启Wireshark，选择正确的捕获器。本实验以打开优酷视频页面（http:/ HTTP和HTTPS分析实验,实验步骤： 1）HTTP （2）过滤抓包结果 通过windows自带的cmd命令行的”ping ” 命令获取对应ip，如图8-3-2。,网络空间安全技术实践教程,7,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （2）过滤抓包结果

3、 在应用显示过滤器中输入表达式”ip.dst=106.11.186.4”得到如图8-3-3所示过滤后的数据包。HTTP作为应用层的协议，通常承载于TCP协议之上，当承载于TLS或SSL协议层之上时便成了HTTPS。HTTP工作流程为： 首先客户机与服务器通过TCP三次握手建立连接； 建立连接后，客户机向服务器发送请求； 服务器接到请求后回复响应信息； 客户机接收到服务器发来的信息，借助浏览器等工具显示，并与服务器断开连接。,网络空间安全技术实践教程,8,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （2）过滤抓包结果 值得注意的是，在图8-3-3数据包中，我们可以看到，访问y

4、ouku网站时，本地与youku服务器打开了3个http链接，分别是16231-80，16232-80，16233-80，因此，在具体分析协议时需要注意跟踪某一链接。,网络空间安全技术实践教程,9,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （3）分析HTTP包 我们双击“protocol列”为HTTP，目标地址为youku服务器的数据包可以看到，HTTP请求数据包如图8-3-4。,网络空间安全技术实践教程,10,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （3）分析HTTP包 请求行以一个请求方法开头，后面跟着请求的URI和协议的版本，如图8-3-4所

5、示的内容“GET /html show?p=173&pp=257&pg=5&ca=1181388&ie=735360&uri=-1&dc=0&tag=&st=1 HTTP/1.1rn”。常用的请求方法： GET 请求获取资源； POST 向目标URI提交数据； PUT 向目标URI提交数据，与POST区别是PUT为添加数据， POST为修改数据； HEAD 请求获取由Request-URI所标识的资源的响应消 息报头；,网络空间安全技术实践教程,11,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （3）分析HTTP包 DELETE 请求服务器删除Request-URI所标识的

6、资源； TRACE 回显服务器收到的请求，主要用于测试或诊断； CONNECT 保留将来使用； OPTIONS 请求查询服务器的性能，或者查询与资源相关 的选项和需求。 详细的每一个请求方法的抓包分析，这里就不一一列举。HTTP协议数据包接下来还包括如下内容：,网络空间安全技术实践教程,12,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （3）分析HTTP包 Host: 用于指定被请求资源的Internet主机和端口号。 Connection： 用来决定本次请求后是否关闭HTTP与TCP连接。 User-Agent: 存储用户浏览器与操作系统相关信息 Accept: 客户机希

7、望接收的文件类型 Referer: 代表客户机是从哪个页面链接过来的，对此做 限制，可以有效防范CSRF攻击。 Accept-Encoding: 浏览器可接收的内容编码，通常指定压缩方法。 Accept-Language: 浏览器申明自己接收的语言。,网络空间安全技术实践教程,13,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （3）分析HTTP包 我们双击“protocol列”为HTTP，源地址为youku服务器的数据包可以看到，HTTP响应数据包如图8-3-5。 响应行由HTTP版本+响应状态码+状态码的中文描述组成，如图中的“HTTP/1.1 200 OK”。事实上，H

8、TTP状态码由三位数字构成，第一位数字定义了响应的类型，共有五种： 1xx:表示请求已接收，继续处理； 2xx:请求已成功接收并处理； 3xx:重定向，完成请求还要进行下一步操作； 4xx:客户端请求语法错误或请求无法实现； 5xx:服务器端错误，无法实现合法的请求。,网络空间安全技术实践教程,14,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （3）分析HTTP包 常见的状态码： 200 OK 请求成功 400 BadRequest 客户端语法错误 403 Forbidden 服务器拒绝提供服务 404 Not Found 找不到所请求的资源 500 Internal Se

9、rver Error 服务器发生错误 503 Server Unavailable 服务器当前无法提供服务,网络空间安全技术实践教程,15,8.3 HTTP和HTTPS分析实验,实验步骤： 1）HTTP （3）分析HTTP包 由图8-3-5所示，响应报头还包括如下内容： Date：消息发送时间； Content-Tpye：服务器告知浏览器自服务器响应的对象类型和字符集； Transfer-Encoding：chunked 表示输出的内容长度不确定； Connection： 保持持续连接或关闭连接； Last-Modified: 上次请求时间，如果上次请求到现在为止文件没有修改，则浏览器会在浏览

10、器缓存中读取文件，减少响应时间，降低服务器压力； Vary：告知服务器缓存是否需要压缩； Content-Encoding:服务器使用了何种压缩方法； Server：服务器用来处理请求的软件；,网络空间安全技术实践教程,16,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (1)访问taobao，抓取HTTPS包 开启wireshark，选择正确的捕获器，打开浏览器访问淘宝首页（），停止捕获，通过cmd的ping命令获取到淘宝网ip地址为208.205.84.250，输入表达式“ip.addr=208.205.84.250”得到如图8-3-6所示界面。,网络空间安全技术实践教

11、程,17,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (1)访问taobao，抓取HTTPS包 Protocol 只有TCP和TLSV1.2两种，TLS是建立在SSL3.0协议规范之上协议，是SSL协议的改进版。Protocol中无HTTPS，因为HTTPS基于SSL/TLS协议，可以通过表达式“ssl”过滤出HTTPS数据包。发现有多个ssl请求同时发生，此时利用追踪流-追踪ssl流的功能过滤显示一组ssl数据包，能够更加直观的观察到ssl握手流程，如图8-3-7。,网络空间安全技术实践教程,18,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (2)

12、分析HTTPS数据包中SSL握手协议流程 由图8-3-6所示，SSL握手协议分为五步（不含TCP三次握手），为更加直观的表示SSL握手协议，我们总结其握手流程如图8-3-8。,网络空间安全技术实践教程,19,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (2)分析HTTPS数据包中SSL握手协议流程 为方便分析SSL握手协议，以下内容c代表客户端，s代表服务器。 、客户端发送请求，如图8-3-9：,网络空间安全技术实践教程,20,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (2)分析HTTPS数据包中SSL握手协议流程 、客户端发送请求，如图8-3-9

13、： c要告知s，自己支持哪些加密算法。即将自己的本地的加密套件（cipher suite）列表发送给s。 c要本地生成一个随机数（Random），自己一份，一份给s。 这个随机数和s产生的随机数结合产生Master Secret。 c告知自己的协议版本（比如TLS1.2），支持的压缩算法。,网络空间安全技术实践教程,21,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (2)分析HTTPS数据包中SSL握手协议流程 、服务器回应，如图8-3-10，8-3-11： ServerHello用于确认协议版本，如果支持的不一致，关闭通信。 否则，生成随机数，与c发来的结合生成“对话密

14、钥”。确认加密方法 ，图中采用TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256方法。,网络空间安全技术实践教程,22,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (2)分析HTTPS数据包中SSL握手协议流程 、服务器回应， Certificate将自己的CA证书发过去（ps：CA证书需要通过严格的申请，然后就会得到一个公钥一个私钥，证书本身也有数字签名，有效期）。 Server Key Change 秘钥交换协议，图8-3-12中为Diffie-Hellman秘钥交换协议。,网络空间安全技术实践教程,23,8.3 HTTP和HTTPS分析实验,

15、实验步骤： 2）HTTPS (2)分析HTTPS数据包中SSL握手协议流程 、客户端回应，如图8-3-12： 验证s的证书。 利用s证书中的公钥加随机生成的预主秘钥。 Encrypted Handshake Message将之前发送的数据加密发送给对 方校验确保通信没有被人篡改。 Change Cipher Spec 告知s，c已切换到协商好的加密套件。,网络空间安全技术实践教程,24,8.3 HTTP和HTTPS分析实验,实验步骤： 2）HTTPS (2)分析HTTPS数据包中SSL握手协议流程 、服务器端回应，如图8-3-13： 接收加密数据，私钥解密，验证数据，完成秘钥交换。 Chang

16、e Cipher Spec 告知c，s已切换到协商好的加密套件。 Encrypted Handshake Message将之前发送的数据加密发送给对方校验确保通信没有被人篡改。,网络空间安全技术实践教程,25,8.3 HTTP和HTTPS分析实验,实验步骤： 3）分析与思考 分析比对HTTP和HTTPS之间在协议使用，传输效率，安全性以及应用场合等方面的异同点？,网络空间安全技术实践教程,26,8.3 HTTP和HTTPS分析实验,实验结果要求 本实验要求使用wireshark访问4个网站（其中2个不同于本节教材内的网站），捕获HTTP与HTTPS协议的数据包，并详细分析数据包内容，对HTTP及HTTPS协议有一定的了解。,网络空间安全技术实践教程,27,8.3 HTTP和H