深入探討ClientHello

一、ClientHello消息

ClientHello是TLS握手的第一個步驟,它是客戶端向伺服器發送的一個消息,包含了客戶端的TLS版本,加密套件的列表以及一個客戶端生成的隨機數。客戶端與伺服器通過ClientHello消息來商定加密套件以及其他參數來建立安全通信。

二、ClientHelloOuter

在TLS 1.3中,ClientHello被稱為ClientHelloOuter,它會被發送到伺服器上。ClientHelloOuter包含了客戶端支持的加密套件列表、客戶端Random、伺服器名稱指示(如果有)和擴展列表(包括supported_versions擴展)。

三、關閉ClientHello

如果客戶端在握手過程中關閉了連接,它會發送一個空的ClientHello消息(僅包含TLS記錄頭),此時在伺服器端的TLS握手中止。

四、ClientHello報文

ClientHello報文定義了在SSL或TLS握手過程中客戶端向伺服器提供的信息。至少包含如下欄位:

     struct {
         ProtocolVersion legacy_version = 0x0000;
         Random random;
         opaque legacy_session_id;
         CipherSuite cipher_suites;
         opaque legacy_compression_methods;
         Extension extensions;
     } ClientHello;

五、ClientHello長度為131

ClientHello消息5個位元組的TLS頭長度為5,其中3位元組的TLS版本(0x0301或0x0303)和2位元組的ClientHello消息長度共計5個位元組。完整的ClientHello消息長度為131位元組(包括TLS頭),具體欄位說明及擴展部分見後續小標題。

六、ClientHello消息各欄位含義

1、legacy_version: 協議歷史版本欄位,表示當前客戶端發送的TLS版本號。如果客戶端支持的最高版本是TLS 1.3,則該欄位必須為零位元組(0x0000)表示沒有支持的協議歷史版本。

2、random:客戶端生成的隨機數,32位元組長,其中4位元組時間戳(10 byte timestamp us, 18 byte from an unpredictable source),其餘28位元組由安全隨機數生成器生成。這些隨機數與伺服器端生成的隨機數一起用於計算主密鑰。

3、legacy_session_id: 此欄位包含客戶端連接的上一次會話的ID(如果有),這將允許會話重用。如果沒有上一個會話ID,則長度為零位元組(0x00)。

4、cipher_suites: 該欄位包含加密套件列表,每個加密套件由一個16位的標識符標示,表示為兩個位元組。加密套件是客戶端和伺服器協商好的加密演算法和密鑰長度、用於交換密鑰的演算法。

5、legacy_compression_methods: 此欄位包含客戶端支持的壓縮方法。僅有的一個有效值是零位元組。

6、extensions: 此欄位包含一個或多個加密套件擴展,例如SNI和ALPN等伺服器名稱指示和應用層協議協商。擴展的總長度由前兩個位元組表示。

七、ClientHello裡面有哪些消息有哪些?

ClientHello消息中包含了多個欄位,具體包括:

1、TLS版本: 握手協議版本號。

2、客戶端和伺服器生成的Random數。

3、該客戶端上一次連接的會話ID(如果有)。

4、加密套件列表,客戶端和伺服器將應該共同支持的加密演算法選出來。

5、壓縮方法,表示客戶端支持的壓縮方法,通常該值為0x00表示不採用壓縮。

6、擴展欄位,包括SNI,ALPN等。

八、ClientHelloMayISpeak

ClientHelloMayISpeak是當客戶端的TLS版本低於伺服器支持的最低版本時,客戶端允許發送的一條協商協議消息。如果伺服器支持的最低版本為TLS 1.3,則客戶端的ClientHelloMayISpeak應為 TLS 1.2 或更低版本的ClientHello消息。

九、ClientHello server_name

server_name是ClientHello擴展之一,用於指示客戶端正試圖連接到的伺服器的主機名。對於使用共享IP地址的伺服器而言,解析請求的主機名將使它能夠知道要使用服務,由此可以在同一埠上支持多個虛擬主機。可以將以下代碼添加到Python程序中,在發出HTTPS請求時獲取server_name。

import ssl
import socket
context = ssl.create_default_context()
with socket.create_connection(("www.google.com", 443)) as sock:
    with context.wrap_socket(sock, server_hostname="www.google.com") as ssock:
        print(ssock.version())
        print(ssock.getpeercert())

結論

ClientHello是TLS握手的第一個步驟,包含了客戶端的TLS版本,加密套件的列表以及一個客戶端生成的隨機數。客戶端與伺服器通過ClientHello消息來商定加密套件以及其他參數來建立安全通信。我們應該了解ClientHello報文的欄位的含義,以幫助理解TLS握手,並充分利用擴展。同時,我們也可以通過server_name擴展為共享 IP 地址的伺服器支持多個虛擬主機提供支持。

原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/311510.html

(0)
打賞 微信掃一掃 微信掃一掃 支付寶掃一掃 支付寶掃一掃
小藍的頭像小藍
上一篇 2025-01-05 13:23
下一篇 2025-01-05 13:23

相關推薦

  • 深入解析Vue3 defineExpose

    Vue 3在開發過程中引入了新的API `defineExpose`。在以前的版本中,我們經常使用 `$attrs` 和` $listeners` 實現父組件與子組件之間的通信,但…

    編程 2025-04-25
  • 深入理解byte轉int

    一、位元組與比特 在討論byte轉int之前,我們需要了解位元組和比特的概念。位元組是計算機存儲單位的一種,通常表示8個比特(bit),即1位元組=8比特。比特是計算機中最小的數據單位,是…

    編程 2025-04-25
  • 深入理解Flutter StreamBuilder

    一、什麼是Flutter StreamBuilder? Flutter StreamBuilder是Flutter框架中的一個內置小部件,它可以監測數據流(Stream)中數據的變…

    編程 2025-04-25
  • 深入探討OpenCV版本

    OpenCV是一個用於計算機視覺應用程序的開源庫。它是由英特爾公司創建的,現已由Willow Garage管理。OpenCV旨在提供一個易於使用的計算機視覺和機器學習基礎架構,以實…

    編程 2025-04-25
  • 深入了解scala-maven-plugin

    一、簡介 Scala-maven-plugin 是一個創造和管理 Scala 項目的maven插件,它可以自動生成基本項目結構、依賴配置、Scala文件等。使用它可以使我們專註於代…

    編程 2025-04-25
  • 深入了解LaTeX的腳註(latexfootnote)

    一、基本介紹 LaTeX作為一種排版軟體,具有各種各樣的功能,其中腳註(footnote)是一個十分重要的功能之一。在LaTeX中,腳註是用命令latexfootnote來實現的。…

    編程 2025-04-25
  • 深入剖析MapStruct未生成實現類問題

    一、MapStruct簡介 MapStruct是一個Java bean映射器,它通過註解和代碼生成來在Java bean之間轉換成本類代碼,實現類型安全,簡單而不失靈活。 作為一個…

    編程 2025-04-25
  • 深入探討馮諾依曼原理

    一、原理概述 馮諾依曼原理,又稱「存儲程序控制原理」,是指計算機的程序和數據都存儲在同一個存儲器中,並且通過一個統一的匯流排來傳輸數據。這個原理的提出,是計算機科學發展中的重大進展,…

    編程 2025-04-25
  • 深入了解Python包

    一、包的概念 Python中一個程序就是一個模塊,而一個模塊可以引入另一個模塊,這樣就形成了包。包就是有多個模塊組成的一個大模塊,也可以看做是一個文件夾。包可以有效地組織代碼和數據…

    編程 2025-04-25
  • 深入理解Python字元串r

    一、r字元串的基本概念 r字元串(raw字元串)是指在Python中,以字母r為前綴的字元串。r字元串中的反斜杠(\)不會被轉義,而是被當作普通字元處理,這使得r字元串可以非常方便…

    編程 2025-04-25

發表回復

登錄後才能評論