TLS数据包重组

TLS解密

参考以下链接:Wireshark 解密 TLS报文_在线tls解密-CSDN博客

总结:

  1. 配置环境变量
  2. wireshark首选项配置

TLS解密例子

  • Frame 2700
  • Frame 2714

**分析:**Frame 2700 tcp共分8个segment,Frame 2700大小是800bytes,Frame 2700大小总大小是1360,Frame 2700中剩余的560是下一个数据的。从Frame 2714中可以看出,reassemble了2700中的560bytes

附加:

代理伪装shadowsock VS Trojan

要隐藏流量特征,一个方式是不暴露任何特征,即 shadowsock 这类:这类协议将协议头也加密传输,所以观测不到任何明显的特征。第二个方式是将自己隐藏在众人之中,最简单的是伪装为 HTTP 或 TLS 流量,分别对应 simple-obfs 和 Trojan 的做法。

方式一现在已经比较容易识别了,未命中任何协议且时序特征符合 web 流量,无脑认为是该类型流量即可。方式二近年来越来越成为主流方式,其中使用最广的就是 Trojan 协议(simple-obfs 只是在最开始加一个 http 协议头,过于容易识别,在此不做分析)。

参考:ShadowTLS------更好的 TLS 伪装代理 | 下一站 - Ihcblog!