wireshark分析https数据包解密前后的特点
(一)https解密前
1、协议种类:2种
(1)TCP(第四层,传输层)
(2)SSL/TLS(第五层,应用层,加解密)
2、应用层数据所在数据包特点
(1)Protocol(协议)为SSL/TLS协议的数据包。
(2)Length(数据长度)为大于66(取整数70)。即为数据包长度大于70的,必含有应用层数据。且wireshark中间界面位置会多一个Secure Sockets Layer层。
(3)Info(信息)一类为应用层自定义数据(Application Data)、二类为应用层证书秘钥相关数据(Server Hello, Certificate, Server Key Exchange, Server Hello Done等)
(二)https解密后
1、协议种类和变化:3种
(1)TCP(第四层,传输层)
(2)SSL/TLS(第五层,应用层,加解密)。变化:只剩二类应用层证书秘钥相关数据,协议不改变,和解密前大体一致。
(3)HTTP(第五层,应用层,自定义数据)。变化:由原来一类应用层自定义数据转变而来,且wireshark中对应数据包的背景变为浅绿色,
界面底部有解密后的明文选项卡(Decrypted SSL data)。
2、应用层数据所在数据包特点
(1)Protocol(协议)为HTTP协议的数据包。
(2)Length(数据长度)为大于66(取整数70)。即为数据包长度大于70的,必含有应用层数据。且wireshark中间界面位置会多1个Secure Sockets Layer层和1-n个Hypertext Transfer Protocol层。
(3)Info(信息)一类应用层自定义数据Application Data描述,变为具体的http请求地址;二类应用层证书秘钥相关数据描述,大体不变。
