HTTPS все больше используется Интернет сообществом, в ближайшем будущем, скорее всего трафик будет шифрованным, благодаря быстрому развитию техники способной поддерживать его. Сегодня мы разберем, что такое протокол HTTPS, как он работает, а во второй части мы посмотрим, как работает SSL.
HTTPS (Hypertext Transport Protocol Secure) - это хороший протокол. Но так ли он хорошо защищает наш трафик?
Рассмотрим самые простые и давно известные способы добраться к трафику клиента.
Из чего состоит HTTPS? Из двух протоколов HTTP и SSL. HTTP - это протокол по которому данные передаются в отрытом виде, а SSL – это протокол обеспечивающий безопасное соединение и шифрование.
Для примера возьмем запрос на поисковую систему bing.
На скриншотах, расположенных ниже, видно как выглядит запрос в bing, перехваченный программой WireShark. В первом случае для http, во втором для HTTPS.
//Иллюстрация 1
//Иллюстрация 2
HTTPS шифрует всю информацию. Но HTTPS создан на базе TCP/IP, поэтому информацию о Mac-адресах, IP адресах и портах куда направлялся трафик мы сможем получить в не зашифрованном виде.
//Иллюстрация 3
Теперь берем онлайн инструмент (к примеру, whois.domaintools.com), с его помощью можно узнать IP адрес, кому принадлежит затем сделать запрос в bing и мы уже знаем каким сайтам принадлежит этот IP адрес.
Но Веб-сервера содержат множество сайтов и каждый может иметь свой SSL сертификат. Из этого вывод - знать только IP адрес мало. Когда на Веб-сервер поступает запрос, он получает информацию с каким сайтом установить соединение, на этом этапе шифрования еще нет. Поэтому нам нужно увидеть первый запрос от клиента на сервер, после которого и начинается шифрование. Для этого воспользуемся опять программой WireShark. И что мы видим:
//Иллюстрация 4
//Иллюстрация 5
1. В первом случае мы видим не зашифрованное доменное имя сайта, с которым и будет устанавливаться HTTPS соединение.
2. Второй запрос возвращает сам сертификат в не зашированном виде на клиента, который содержит информацию, для какого домена он выдан.
Используя HTTP программу типа Fiddler-а (на рисунке выше) можно сделать импорт всей информации из трафика.
Есть еще один способ узнать какие ресурсы посещает пользователь. Набирая в браузере адрес сайта, то самый первый запрос посылается на DNS сервер, для получения IP адреса для домена, где сайт находится. DNS запросы не зашифровываются. Анализируя DNS трафик можно узнать по IP адресу DNS сервера и найти все сайты на которые заходил пользователь.
//Иллюстрация 6
Какие напрашиваются выводы:
1. Не взламывая трафик, мы можем отследить какие сайты (защищённые или нет) посещает пользователь.
2. Можно создать программу для сбора и фильтрации информации по запросам на ресурсы которые произвел клиент
3. Являясь админом или интернет провайдером легко можно направить клиенский трафик пользователя на себя.
4. Сети Wi-Fi или спутникового Интернета могут быть плохо защищены и, зная адрес клиента, можно узнать на каких сайтах он бывает.
Читать статью на:
