网络及应用层协议安全分析-应用层协议分析-通过IIS进行HTTPS协议分析

应用层协议分析——通过IIS进行HTTPS协议分析目录CONTENTS1任务情景2任务分析3预备知识4实验步骤5总结思考任务情景01

任务情景

磐石公司的小蒋是公司的网络管理员，主要负责各种网络问题。近期小蒋在巡检时发现公司邮箱中出现不明邮件切带有附件信息，这让职业敏感的小蒋感到不安。因此，作为网络管理员的小蒋做了以下分析并给出了合理的解决方案。任务分析02

任务分析

不明邮件让小蒋疑惑，邮件中的附件更是令其不解，这份心情让小蒋想到了社会工程学中的好奇心。由此，小蒋推断该邮件中很有可能含有恶意代码。对此，小蒋通过IIS配置HTTPS服务后，通过Wireshark进行筛选抓包，随后分析HTTPS协议的server、client信息，了解SSL连接建立的两个阶段以及下属的子协议，防止针对HTTPS的木马攻击。预备知识03

预备知识

于1990年开发，用于保障WorldWideWeb（WWW）通讯的安全。主要任务是提供私密性，信息完整性和身份认证。1994年改版为SSLv2，1995年改版为SSLv3。TransportLayerSecurity（TLS）标准协议由IETF于1999年颁布，整体来说TLS非常类似与SSLv3，只是对SSLv3做了些增加和修改。SSL协议概述：SSL是一个不依赖于平台和运用程序的协议，用于保障运用安全，SSL在传输层和应用层之间，就像应用层连接到传输层的一个插口。SSL连接的建立有两个主要的阶段：第一阶段：Handshakephase（握手阶段）a、协商加密算法b、认证服务器c、建立用于加密和HMAC用的密钥第二阶段：Securedatatransferphase（安全的数据传输阶段）即在已经建立的SSL连接里安全的传输数据。SSL是一个层次化的协议，最底层是SSLrecordprotocol（SSL纪录协议），recordprotocol包含一些信息类型或者说是协议，用于完成不同的任务。预备知识下面我们对SSL/TLS里边的每一个协议的主要作用进行介绍：（1）RecordProtocol：（记录协议）是主要的封装协议，它传输不同的高层协议和运用层数据。它从上层用户协议获取信息并且传输，执行需要的任务，例如：分片，压缩，运用MAC和加密，并且传输最终数据。它也执行反向行为，解密，确认，解压缩和重组装来获取数据。记录协议包括四个上层客户协议，Handshake（握手）协议，Alert（告警）协议，ChangeCipherSpec（修改密钥说明）协议，ApplicationData（运用层数据）协议。（2）HandshakeProtocols：握手协议负责建立和恢复SSL会话。它由三个子协议组成。a、HandshakeProtocol（握手协议）协商SSL会话的安全参数。b、AlertProtocol（告警协议）一个事务管理协议，用于在SSL对等体间传递告警信息。告警信息包括，1.errors（错误），2.exceptionconditions（异常状况）例如：错误的MAC或者解密失败，3.notification（通告）例如：会话终止。c、ChangeCipherSpecProtocol（修改密钥说明）协议，用于在后续记录中通告密钥策略转换。Handshakeprotocols（握手协议）用于建立SSL客户和服务器之间的连接，这个过程由如下这几个主要任务组成：（1）Negotiatesecuritycapabilities（协商安全能力）：处理协议版本和加密算法。（2）Authentication（认证）：客户认证服务器，当然服务器也可以认证客户。（3）Keyexchange（密钥交换）：双方交换用于产生masterkeys（主密钥）的密钥或信息。（4）Keyderivation（密钥引出）：双方引出mastersecret（主秘密），这个主秘密用于产生用于数据加密和MAC的密钥。（5）ApplicationDataprotocol：（运用程序数据协议）处理上层运用程序数据的传输。实验步骤04

实验步骤

配置服务器和客户机的IP地址服务器：21客户机：11

实验步骤

客户机以及服务器，均需要获得CA（证书服务器）的根证书，信任并安装此CA证书链

实验步骤

在客户机以及服务器，确认已经安装了CA的根证书为服务器申请Server个人证书

实验步骤

提交一个保存的申请到CA，在“保存的申请”框中粘贴一个由外部源(如Web服务器)生成的base-64编码的CMC或PKCS#10证书申请或PKCS#7续订申请

实验步骤

在CA颁发该Server证书，然后在服务器对该Server证书进行下载、安装

实验步骤

实验步骤

客户机在通过HTTPOverSSL访问公司的电子商务网站的时候，客户机对服务器的认证需要确认3点第一：该证书是否是由可信任的CA颁发第二：该证书是否在有效期之内第三：证书颁发对象是否与站点名称匹配例如：客户机通过IP地址访问服务器，就没有使用与证书颁发对象相同的名称。

实验步骤

将证书颁发对象的名称同服务器的IP地址进行映射（->21），然后将客户端的DNS服务指向DNS服务器的IP地址，才能通过InternetExplorer正常访问WWW服务

实验步骤

打开WireShark程序，并配置过滤条件在客户机InternetExplorer中访问服务器的HTTPS服务以后，打开WireShark程序，对ClientHello信息进行分析

实验步骤

打开WireShark程序，对ServerHello信息与ClientKeyExchange信息进行分析

实验步骤

打开WireShark程序，对ServerCertificate信息与ServerHelloDone信息进行分析

实验步骤

打开WireShark程序