wireshark分析https数据包解密前后的特点

wireshark分析https数据包解密前后的特点

（一）https解密前

1、协议种类：2种
（1）TCP（第四层，传输层）
（2）SSL/TLS（第五层，应用层，加解密）
2、应用层数据所在数据包特点
（1）Protocol（协议）为SSL/TLS协议的数据包。
（2）Length（数据长度）为大于66（取整数70）。即为数据包长度大于70的，必含有应用层数据。且wireshark中间界面位置会多一个Secure Sockets Layer层。
（3）Info（信息）一类为应用层自定义数据（Application Data）、二类为应用层证书秘钥相关数据（Server Hello, Certificate, Server Key Exchange, Server Hello Done等）

（二）https解密后

1、协议种类和变化：3种
（1）TCP（第四层，传输层）
（2）SSL/TLS（第五层，应用层，加解密）。变化：只剩二类应用层证书秘钥相关数据，协议不改变，和解密前大体一致。
（3）HTTP（第五层，应用层，自定义数据）。变化：由原来一类应用层自定义数据转变而来，且wireshark中对应数据包的背景变为浅绿色，
界面底部有解密后的明文选项卡（Decrypted SSL data）。
2、应用层数据所在数据包特点
（1）Protocol（协议）为HTTP协议的数据包。
（2）Length（数据长度）为大于66（取整数70）。即为数据包长度大于70的，必含有应用层数据。且wireshark中间界面位置会多1个Secure Sockets Layer层和1-n个Hypertext Transfer Protocol层。
（3）Info（信息）一类应用层自定义数据Application Data描述，变为具体的http请求地址；二类应用层证书秘钥相关数据描述，大体不变。

以上方法参考了 https://www.cnblogs.com/yurang/p/11505741.html 的方法二。