Come acquisire un traffico di ripresa TLS utilizzando Wireshark?

1

Vorrei acquisire il traffico di ripresa TLS usando Wireshark. Il traffico viene registrato mentre apro una connessione in una scheda, lo chiudo e quindi reinserisco l'url e carico di nuovo. Ho notato due schemi di traffico. Uno è piena stretta di mano. Tuttavia, l'altro non sembra una ripresa TLS. Qualche aiuto esperto per confermarlo o suggerire un modo corretto per ottenere il traffico di ripresa? Grazie.

Lo screenshot qui sotto mostra un handshake completo

Questo è un altro modello. Questo può essere il pattern di ripresa TLS? Tuttavia, non è come il normale handshake di ripresa come descritto in alcuni documenti

    
posta HappyCoding 24.07.2018 - 06:24
fonte

1 risposta

1

...normal resumption handshake as described in some document...

Non è chiaro quale sia il documento alcuni a cui ti riferisci e ciò che consideri normale . La ripresa della sessione può essere eseguita sia con ID di sessione che con ticket di sessione. Mentre la tua cattura mostra che non è stato utilizzato alcun ID di sessione, non è noto o mostrato nulla sull'uso dei ticket di sessione. Quindi la mia ipotesi è che non sapevi del ticket di sessione e quindi non l'hai cercato.

Inoltre, dato che il ClientHello mostrato negli screenshot ha gli stessi byte casuali, è probabile che entrambi gli screenshot mostrino effettivamente lo stesso ClientHello (cioè sia dal primo che dal secondo, non lo so) che rende l'analisi basata sul tuo schermate difficili.

    
risposta data 24.07.2018 - 08:02
fonte

Leggi altre domande sui tag