TLS原理与实践（二）

主页

• 个人微信公众号：密码应用技术实战
• 个人博客园首页：https://www.cnblogs.com/informatics/

引言

在上一篇博客中，我们通过《一文读懂TLS1.2协议](https://www.cnblogs.com/informatics/p/17433116.html)》详细介绍了TLS握手流程。
本文中，我们从实际应用出发，介绍如何使用TLS协议保护自己的网站服务。

TLS应用

TLS协议广泛应用于互联网中，以便保护通信实体信息交换的安全性。 TLS在网络协议中的位置：

TLS协议工作在传输层和应用层之间，从上图中我们也可以了解到。TLS协议一种常见的应用就是：

HTTPS = HTTP + TLS  #用于保护http请求和响应的数据安全性

此外，在gRPC中的应用，我们称之为gRPCs

HTTPS网路通信抓包分析

下面我们通过示例代码和wireshark抓包分析来展示tls协议是如何保护http数据安全性的。

在以下示例中，涉及到的工具有：

• tcpdump: 网络抓包软件，官网: http://www.tcpdump.org
• wireshark: 网络抓包和分析软件，官网： https://www.wireshark.org
• practical-crypto: 用于模拟https服务和客户端，github仓库 https://github.com/warm3snow/practical-crypto.git

practical-crypto介绍

# 下载示例代码
➜  practical-crypto git:(master) git clone https://github.com/warm3snow/practical-crypto.git

# 查看示例代码目录结构
➜  practical-crypto git:(master) tree tls
tls
├── gmtls              #国密tls示例
├── notls               #无tls保护http服务
│   └── notls.go
├── readme.md           #帮助文档
├── tls1.2              # 使用tls1.2协议的http服务
│   └── tls1_2.go
├── tls1.3              # 使用tls1.3协议的http服务
│   └── tls1.3.go
└── tlsclient.go        # http客户端，可以发起http或https请求

抓包软件启动

# 使用tcpdump进行抓包
# -i 指定网卡, lo0是本地回环网卡
# -w 指定输出文件
# port 指定端口， 以下端口号为8443对应我们http服务的监听端口
➜ sudo tcpdump -i lo0 -w capture.pcap port 8443

服务端启动

以启动tls1.2的https服务为例，如下：

# 切换到对应目录下
➜ cd tls/tls1.2

# 启动https服务
➜ go run tls1_2.go

客户端

以运行tls1.2的https客户端发送请求为例，如下：

# 切换到客户端目录下
➜ cd tls

# 编译客户端程序
➜ go build -o tlsclient tlsclient.go

# 查看客户端help文档
➜ ./tlsclient -h                                       
Usage of ./tlsclient:
  -addr string
        addr (default "https://localhost:8443")
  -skipVerify
        skipVerify (default true)
  -tlsVersion string
        specified tls version (default "1.2")

# 通过客户端发送tls1.2请求
➜ tlsClient -addr https://localhost:8443 -tlsVersion 1.2 -skipVerify true

无TLS的HTTP网络通信

捕获网络数据

首先我们看下在没有tls保护的情况下，http请求数据是如何在网络上传递的。打开三个命令行终端，分别运行：

• 抓包软件
• http服务端，程序位置tls/notls/notls.go
• http客户端, 程序位置tls/tlsclient.go

其中，在抓包过程中需要注意：

1. tcpdump不会自动结束，当客户端返回成功后，需要使用ctrl + c来强制终止
2. tcpdump会将抓包的数据存储到xxx.pcap文件中，图中，我们制定了capture.pcap文件

wireshark分析

下面我们打开wirshark网络协议分析工具，并将得到的capture.pcap文件拖入wireshark：

分析结果：
HOLY SHIT !!!, 从图中我们可以清晰的看到服务端返回的Hello, world!消息，数据以明文形式在网络上裸奔。

使用TLS1.2的HTTPS网络通信

捕获网络数据

我们接着看下在有tls保护的情况下，http请求数据是如何传递的。同样打开三个命令行终端并运行相关程序：

• 抓包软件
• http服务端，程序位置tls/tls1.2/tls_12.go
• http客户端, 程序位置tls/tlsclient.go

运行程序需要注意：

1. tcpdump的运行和终止无变化，与上文相同
2. 运行客户端时，addr参数指定的地址需要使用https协议，tlsVersion需要指定为1.2（代表此次握手使用了tls1.2协议）

wireshark分析

同样我们将刚才tcpdump捕获的数据导入wireshark：

分析结果
从图中我们可以看到：

• 客户端和服务端进行了完整的tls1.2握手流程
• 客户端的请求以密文形式发送（包括请求体和请求头）
• 服务端相应的数据以密文形式返回

结论

本文我们通过实际的例子，来对比分析了访问http和https服务的网络通信数据保护，通过分析结果我们可以看到访问http服务时，数据以明文形式传输，无安全性可言； 而采用了https的服务，在对外提供服务时，数据以密文形式传输，保证了通信数据的隐私性。

在实际应用中，我们应尽量使用https服务，降低数据泄漏的风险。

展望

本文主要通过实际例子介绍了tls1.2协议的具体应用以及安全保护效果，但同时在使用TLS1.2的HTTPS网络通信中wireshark分析章节我们也可以看到tls1.2协议虽然保护了通信数据的安全性，但是需要客户端和服务端进行2轮交互，降低了通信效率，在后续文章中，我们会进一步介绍tls1.3协议，该协议在安全性和性能与tls1.2协议相比，具有很大的提升。

参考资料

• tcpdump： http://www.tcpdump.org
• wireshark: https://www.wireshark.org
• practical-crypto: https://github.com/warm3snow/practical-crypto.git