介绍
什么是SNI协议?
服务器名称指示(英语:Server Name Indication,简称SNI)是一个扩展的TLS计算机联网协议,在该协议下,在握手过程开始时通过客户端告诉它正在连接的服务器的主机名称。这允许服务器在相同的IP地址和TCP端口号上呈现多个证书,并且因此允许在相同的IP地址上提供多个安全HTTPS网站(或其他任何基于TLS的服务),而不需要所有这些站点使用相同的证书。
为什么需要使用SNI协议?
基于名称的虚拟主机允许多个DNS主机名由同一IP地址上的单个服务器(通常为Web服务器)托管。为了实现这一点,服务器使用客户端提供的主机名作为协议的一部分(对于HTTP,名称显示在主机头中)。但是,当使用HTTPS时,TLS握手发生在服务器看到任何HTTP头之前。因此,服务器不可能使用HTTP主机头中的信息来决定呈现哪个证书,并且因此只有由同一证书覆盖的名称才能由同一IP地址提供。
所以,需要由SNI协议在握手时提供主机名的信息。
了解SNI协议可以用来做什么?
如果我们要对流量进行识别,做流量检测等,HTTPS流量是加密的,很难检测其内部的具体内容。SNI协议给出了一个切入点,在HTTPS协议建立加密连接的开始阶段检测出访问的域名信息。
抓包分析
抓取访问HTTPS的数据包,之后,通过使用显示过滤器语句ssl.handshake来过滤出想要的报文。分析报文发现server_name的扩展字段只存在于Client Hello这个过程中。
接下来,进一步过滤,使用显示过滤器语句ssl.handshake.extensions_server_name,提取出包含SNI协议的Client Hello报文。
下面这个箭头所指表示了SNI协议的格式,
Type(2B) | Length(2B) | Server Name list length(2B) | Server Nma Type(1B) | Server Name length(2B) | Server name
- Type:扩展类型-server_name,2字节,0x0000
- Length:长度,指接下来携带的信息的长度(即Server Name Indication extension部分的长度),2字节
- Server Name list length:指后面所携带的数据的长度
- Server Nma Type:一个字节,0x00代表host_name。
- Server Name length:长度,这里指Server Name的长度
- Server name:请求的域名的名称,即HTTPS要访问的域名
参考资料:
SNI: 实现多域名虚拟主机的SSL/TLS认证:https://shansing.com/read/355/
