SSL pregunta respuesta TLS en TCP

0

Después de analizar detenidamente un .pcap de mi red, me gustaría entender por qué aparece una solicitud en la comunicación como

Protocolo de datos de aplicación IP [datos de aplicación TLS]: http    Versión TLS: 1.0    Datos de aplicación cifrados: a44a55a5aa6aablabla

y luego la respuesta de la IP de destino es solo un simple paquete TCP (el Protocolo TCP ya no indica que la conexión es ... TLS) con el indicador ACK nada más, lo que podría causar un final tan extraño de la conexión ?

    
pregunta drd0sPy 02.09.2014 - 02:54
fuente

1 respuesta

0

Este no es el final de la conexión , es solo un ACK. TLS funciona a través de TCP (e IP), y los registros TLS enviados como datos TCP se reconocen como los datos en otras conexiones TCP; en algunos casos, este reconocimiento se complementa con los datos TCP en la otra dirección y, en algunos casos, es un paquete que solo contiene ACK y no datos. En el caso de solo ACK, wirehark lo etiqueta como TCP y no como el protocolo de nivel de aplicación (aquí TLS) porque no hay datos de nivel de aplicación (aquí TLS).

La forma en que normalmente se cierra una conexión TLS es enviando un registro de alerta de tipo close_notify en al menos una dirección, seguido de un cierre TCP normal que envía y ACK FIN en ambas direcciones usando un número variable y secuencia de paquetes dependiendo del estado dinámico y la temporización; ver cualquier referencia en TCP. Una conexión TLS también puede cerrarse seminormalmente simplemente cerrando el TCP sin la alerta, o anormalmente abortando el TCP con (al menos una) RST.

Todas las alertas después de que se complete el protocolo de enlace están encriptadas, por lo que wirehark solo se decodifica como Alerta encriptada (a menos que usted habilite la función de desencriptación de Wirehark, dándole la clave privada del servidor para una conexión de intercambio de claves RSA que no sea PFS, o la clave de sesión para sesión específica). En principio, son posibles varias alertas, pero en la práctica, si ve una alerta después del intercambio normal de datos, es muy probable que se haga un close_notify.

    
respondido por el dave_thompson_085 02.09.2014 - 09:08
fuente

Lea otras preguntas en las etiquetas