使用https协议可以完全避免csrf

那您说一下 htvp 和 htvps 的协议区域，好像是 htps 比 htv 协议更安全吧？差不多就是这个吧。第一，从安全性来说呢， htvp 灵魂传述一手攻击无法确认双方的身份，也无法保证数据安全性。 h d d b s 的话，使用 s s l 加密，各种是随意信息，都是密码，可以根据双控的身份防止信息被截止率改，安全性能小，比 h d p 要高。从端口来看， h d d p 端口八零， h d b s 端口四四三。从灵活性上， h d p 减压快速使用如何？ gdps 技术门槛较高，多数客人或私人也在，难以支撑。第四，从访问的速度， hdp 行为简单， hdp 服务器的程序会比较小，婴儿呢，通用性的速度会比较快。 hdbs 加重了服务端的一个负担，需要更多的资源来支撑，降低了。 从经济事故度上来说， hdp 没有额外的费用要求。 htps 协议需要 ce 机构颁发的证书，是需要免费的。此外呢，对接 hdps 协议也需要额外的技术支持。

为什么在普通 http 协议上发起登录操作基本等于直接泄露密码呢？为什么同样的网站，别人打开没有广告，而你打开却弹出广告呢？为什么说 https 是 当今互联网的安全基石呢？今天一个视频彻底搞懂 https 是 如何保护你的数据安全的。 大家好，这里是胖张聊开发一个热爱分享的程序员频道，希望我的分享能够帮助到你。今天主要分享的话题是 https 的 相关内容，可以根据你感兴趣的章节点击进度条直接进行查看。 互联网上的不同接入设备是通过不同区域位置的路由节点连接在一起的，例如网关、路由器、交换机等各类设备。当我们通过 http 协议 将豹纹发送给某台服务器的时候，是需要依靠中间节点帮助我们转发这些豹纹才能到达目标服务器的。而普通 http 协议下，豹纹是明文传输的，也就是说 中间的所有节点都是可以读取我们的豹纹内容的，这就是普通 http 协议不安全的主要因素之一。所以我们这里的密码信息其实已经等于泄露出去了。 中间的任何节点都存在不可信任的情况，例如餐厅里的免费 wifi 路由器或者小区宽带的交换机设备等等。我们把这种行为称作中间人攻击，而单纯窃听我们报文数据的攻击方式称作被动攻击。 与被动攻击相反的还有另外一种中间人攻击方式。当服务器开始发送响应豹纹给我们的时候，豹纹也同样会经过这些节点的转发。但是我们并不能确认服务器豹纹数据是否完整，有没有被篡改过？也就是说， 我们并不知道这中间传递信息的人有没有说假话。当豹纹数据到达某个恶意节点，它完全可以在这段 html 中加入恶意代码，再转发给下一个节点。这也就是为什么说同一个网页，别人看到的 可能没有任何问题，而我们却看到了恶意的弹出广告。这可能就是某个中间节点把豹纹篡改过。我们将这类中间人篡改数据的攻击方式称作主动攻击，无法防止来往数据被篡改， 也是普通 http 协议不安全的主要因素之一。普通 http 协议还无法确认目标通信者的身份有没有被伪造。我们在本地访问的域名实际上会被 dns 服务器解析成 ip 地址， 这样才能在底层建立 tcp ip 连接。比如这里原本正确的访问路径可能是这样的，因为 dns 解析返回的是正确的 ip 地址。但是这里可能由于网关被植入恶意程序篡改 dns， 结果到一个错误的 ip 地址上， 比如黑客的钓鱼网站。因此，普通 h t t p。 协议没办法确认目标身份有没有被伪造，也是另一个不安全的主要因素。 h t t p s。 简单来说就是 h t t p skill， 也就是安全的 h t t p。 最早是依赖于网警公司开发的 s s l。 协议，所以也可以理解为 h t t p over s s l。 后来交由 i e t f 进行了标准化，诞生了 t l s。 协议。 所以当今的 h t t p s。 本质上是 h t t p over t l s。 早在上个世纪末九十年代 网警浏览器统治互联网世界的时代，就已经发现普通 h t t p。 协议的安全隐患，于是着手开发 s s l。 协议，希望来解决这些问题。 s s l。 一 点零由于缺陷并没有投入实际使用，直到 s s l。 二点零才陷入到网警浏览器当中，于一九九五年三月正式发布。但二点零也存在诸多安全缺陷， 促使网景公司致力于三点零的开发工作。 s s l。 三点零的设计思路基本沿用到今天。当然，同时期的微软和网景在浏览器领域激烈竞争，作为竞争的一部分，微软决定在 ie 浏览器当中开发 s s l。 二点零的修改版本。 p c t。 协议 只应用在 i e 和 i i s。 当中，整个互联网业内不愿意看到两家公司各自维护自己的协议，最终促成两家公司达成共识，将协议交由 i e t f。 进行标准化。出于妥协，协议更名为 t l s t l s。 一 点零，本质就是 s s l。 三点一。 我们都知道 http 协议是基于 tcp ip 协议层之上的， https 本质上只是在 http 和 tcp ip 之间建立了一层 ssl tls 协议层。这样的好处是开发者并不需要关心 ssl tls 协议层的适配， 仍然只关注于 http 协议的实现。 ssl tls 协议层只专注于它自己的工作， 起到一个承上启下的作用，比如安全握手、密钥交换、证书交换、安全绘画管理、豹纹加密解密等工作。 http 把铭文豹纹交给 ssl tls 协议进行加密，转为密文之后再交给 tcp ip 协议， 将数据包发送到目标主机。另外一边，目标主机的 tcp ip 协议将密文报文交给 ssl tls 协议层进行解密，将铭文报文再交给 http 层，这样在层次上就有效地实现了解偶。 ssl tls 协议会使用两种加密方式，既对称加密和非对称加密， 整个 http 通信只应用他们各自优点的部分，比如说对称加密的高性能非对称加密的安全分发密钥机制。下面我们来介绍两种加密方式的特点，以及 ssl tls 协议 是如何把两种加密方式混合使用的。我们先来介绍对称加密铭文配合上特定的密钥，经过特定算法计算产生密文， 而将密文配合上同一把密钥就能解开得到铭文。对称加密就如其字面意思，加密和解密都是使用同一把密钥，而且对称加密相较于非对称加密计算速度更快。 但是对称加密也有一个比较麻烦的问题，就是没有办法直接通过公开网络安全的分发密钥。比如 a 想和 b 进行加密通信，但是 b 并不知道密钥是多少，如何安全的把密钥发送给 b 呢？中间连接的网络假设是不被信任的， 且数据包可以被窃听，毕竟对称加密的特点就是只要拥有密钥的任何人都可以解开密文的内容。我们再来介绍非对称加密， 顾名思义，非对称加密就是加密和解密，并不是使用同一把密钥，因此非对称加密的密钥是成对生成的，一把是公钥，一把是私钥。公钥可以随意分发，而私钥必须严格保管，不能泄露 铭文，加上公钥经过算法进行加密得到密文， 而密文加上私钥，经过算法进行解密得到铭文， 非对称加密的计算速度较慢，对 cpu 的 计算赋值也要求更高。非对称加密算法最大的特点就在于它的公钥是可以随意公开分发的，任何人都可以用这把公钥对明文进行加密，得到密文， 再把密文发送给拥有私钥的人，因为只要私钥不被泄露，那么就只有它可以进行解密，从而得到铭文。 s s l t l s 协议同时使用了对称和非对称加密，可以理解为混合加密方式。当客户端和 web 服务器需要建立 http 加密通信之前， web 服务器会先把非对称加密的公告发送给客户端， 客户端再临时生成一个对称加密的密钥，并使用刚才的公钥对其进行加密，再把加密后的对称密钥发送给 web 服务器，这样就解决了如何安全分发对称加密密钥的问题。 web 服务器使用私钥进行解密，就得到了和客户端一样的对称加密密钥，这样就成功的建立起了 http 的 加密通信， 后续的豹纹都可以使用性能更好的对称加密来安全传输了。当然以上只是简要概述，实际流程会更加复杂，而且随着 t l s 版本的不同，季节差异也有所不同。但是大体的思路是这样的， 刚才我们说过， https 在 正式加密通信之前需要完成一系列的密钥交换，安全验证的环节，我们称之为 ssl tls 握手必须要完成握手的每个环节之后才能成功开始进行加密通信。 后续我会介绍握手的四个阶段，阶段一，加密方式的协商告知 t l s 版本可支持的加密算法等等。阶段二，证书校验、公钥分发、协商加密的额外信息等等。阶段三，密钥生成、密钥交换等等。 阶段四，互相验证之前信息的完整性，并为切换加密通信做准备，之后使用抓爆利器 word shock 来帮助进行分析。 首先是阶段一，也就是客户端与服务器协商加密方式，一定是先由客户端发起发送 client hello 消息。 version 是 客户端支持的最佳 t l s 协议版本。 cipher suite 是 客户端支持的所有加密算法。 session id 是 用来做绘画恢复管理的，如果为空 则表示第一次连接。当然，这里最重要的要数这个 random。 客户端生成的随机数，我们暂且称其为 client random， 后面生成密钥的步骤需要用到它。接着是我们协商的第二步，服务器接收到刚才的 client hello 之后，响应发送 sever hello 消息， 最终确定 t l s 版本。选定一个加密算法以及另一个由服务器生成的随机数，我们暂且称其为 server random。 同样的，后面生成密钥也需要用到它，这样客户端和服务器就完成了协商，尤其是算法的选定，还有彼此交换两个随机数。 现在我们进入到了阶段二，服务器会将由 c a 机构颁发的证书链发送给客户端。通常而言，大多数证书都采用 x 点五零九证书格式。当我们访问 http 网站的时候， 点击浏览器地址栏上就可以看到相关的证书信息。在 r s a 算法下，证书链中还会携带非对称加密的公钥，也是下一阶段安全分发密钥的关键。客户端在获得证书链中所有的信息后会较验证书，例如证书有没有过期，证书上的域名与 实际访问的是否一致，当验证的各类信息都准确无误时，才会进行下一步。 server key exchange 用于交换特定加密算法的额外信息，具体的数据内容根据算法不同而有所区别。 server hello down 告诉客户端，服务器已将所有预计握手的消息都发送完毕了，等待客户端发送后续消息。 现在我们来到客户端的阶段三，首先客户端会临时生成一个域主密钥，并使用前面服务器发送的公钥进行非对称加密。 这里的 click key exchange 主要就是用于将加密后的域主密钥发送给服务器。刚才我们已经把加密后的域主密钥发送给服务器了，现在开始生成后续加密通信的对称密钥，需要使用刚才生成的域主密钥与我们前面阶段一时客户端和服务器互相发送的两个随机数， 也就是 clyt hello random， pasiva hello random。 通过以上三个随机数就能产生最终的对称密钥。之后通过 change cipher spec 告诉服务器已生成加密密钥，即将切换到加密同行。 现在我们来到客户端的阶段四，也就是这里的 encrypted handshake message 或者是 finished， 将握手阶段的全部消息的哈希值进行对称加密发送给服务器，等待服务器自己解密并比对哈希值是否相同。 现在我们回到服务器的阶段三，刚才我们接收到了客户端发来的已加密的域主密钥，使用服务器自己的私钥进行 解密，得到铭文的域主密钥。同样的，和之前客户端一样的方式，使用域主密钥与我们前面阶段一时客户端和服务器互相发送的两个随机数结合产生最终的对称密钥。之后同样通过 change cipher 告诉客户端已生成加密密钥，即将切换到加密同行。 现在我们来到服务器的阶段四，也同样是 encrypted handshake message 或者 finished， 将握手阶段的全部消息的哈希值 进行对称加密发送给客户端，等待客户端自己解密并比对哈希值是否相同。阶段三、四在流程上会稍微有些复杂，尤其是阶段四两边彼此做解密和完整性较验，一 方面验证各自生成的对称密钥能否解开对方的密问，另一方面是最终确认前面所有握手消息两边是否完整，有没有被篡改过。中间任何一个环节失败，就意味着建立 h t t p s 通信失败。

如何对网站进行安全防护？网站安全防护可以考虑从以下几个方面，一、使用 s s l t l s 证书 http 加密，确保网站使用 s s l t l s 证书来启动 http 协议，保护用户与服务器之间的数据传输，防止中间人攻击。目前靠 top 域名网站使用 s s l 证书的用户已经越来越多。二、定期更新打补丁软件更新确保所有使用的软件，包括操作系统、 web 服务器、数据库、 c m s 等都保持最新版本，并及时安装安全补丁。依赖库更新，如果你使用了第三方库或框架，确保它们也保持最新版本，避免已知的漏洞。三、防火墙和入侵检测系统无法应用防火墙无法 部署，无法可以过滤恶意流量。阻止常见的攻击，如 s q l 注入、跨站脚本 x s s 等。入侵检测防御系统 i d s。 实时监控网络流量检测并阻止潜在的攻击行为 的验证和授权。强密码策略，要求用户使用强密码并限制登录尝试，促防止暴力破解。最小权限原则，确保每个用户和应用程序只拥有完成其任务所需的最小权限。五、输入验证和输出编码，防止注入攻击对用户输入进行严格的验证和清理， 防止 s q l 注入、命令注入等攻击。防止夸赞脚本 x s s。 对 输出内容进行适当的编码，防止恶意脚本在网页中执行。利用文件上传和下的安全限制文件类型，只允许上传特定类型的文件，如图片、文档，并严格检查文件扩展名和内容，其只是记录和监控详细的日制记录， 记录所有重要的操作，如登录文件、上传、配置、更改等，并定期审查日制异常行为监控，设置警报机制，但 检测到异常活动时，及时通知管理员。把备份和恢复计划定期备份，定期备份网站的数据和配置，确保在发生意外时能够快速恢复。恢复计划，制定详细的灾难恢复计划，确保在遭受攻击或硬件故障后能够迅速恢复正常运营。九、安全性测试渗透测试，定期进行渗透测试， 模拟黑客攻击，发现并修复潜在的安全漏洞。是安全意识培训，员工培训，对开发人员、运维人员和管理人员进行安全意识培训，确保他们了解常见的安全威胁和最佳实践。用户教育，向用户提供安全建议， 如如何识别钓鱼邮件，如何保护个人信息等。通过时，上述措施可以大大提升网站的安全性，降低被攻击的风险。同时，安全是一个持续的过程，需要不断评估和改进。

网络协议 https 数据安全传输原理，首先了解 http 协议存在的问题， 对于客户端和服务端使用 http 协议进行交互，等于采用铭文传输数据，那么第三方就会截取铭文传输的数据，导致信息的泄露。那么为了解决这个问题，我们就必须对铭文进行加密。 首先加密的方式一，对称加密。对称加密指的是加密和解密的密药使用的是同一个， 也就是比如说在服务端维护了一个密药，首先共享给客户端，之后客户端和服务端之间使用该密药加密传输数据， 这样第三方截取到加密传输的数据就无法解密，但是如果在密要传输的过程中被截取，同样是不安全的。 加密的方式二，非对称加密。非对称加密指的是使用两个密药，工药和撕药，使用公药加密的数据必须用撕药来解密，反之也是一样， 也就相当于在服务端维护了公药和撕药两把钥匙。首先第一步共享公药给客户端，第二步客户端使用公药进行加密，第三步服务端用撕药进行解密数据， 这样第三方无论是获取到公要还是加密后的数据，他都无法解开，实现数据安。 两种加密算法特点如下，对称加密算法简单，速度快，但需要传输密药，不安全 啊。非对称加密算法稍复杂，所以速度较慢，但加密了密药，撕药也没有公开，所以是安全的。综合两种算法可以得到 https， 那么最后我们看一下 https 的原理， 在服务端同样维护两把钥匙，一把公药和一把撕药，那么第一步，客户端对服务端发起请求。第二步，服务端共享公药到客户端。 第三步，客户端生成随机的蜜药，并用公药进行加密。第四步，客户端共享蜜药给服务端。第五步， 服务端使用撕药解密获取密药，那么这一个过程就是非对称加密的过程， 获取到密药后，就可以在客户端和服务端之间使用密药进行对称加密的数据传输，使用对称加密保证数据传输的效率。 啊密药在加密传输过程中需要撕药进行解密，啊撕药未公开，所以坚固了安全。

本视频耗时三十分钟，结合代码和抓包详解 t l s 协议通信流程现在开始吧。 t r s 之前叫做 s s l 安全套件事程，它是由网警公司在一九九四年发明的，网警公司就是火护人氧气某一赖公司的前身。 s s l 从一点零发展到三点零版本，现在 s s l 已经被废弃了，改名叫做 t i s trs 从一点零发展到了一点三版本。一点零跟一点一基本上已经废弃了，现在主要是使用一点二跟一点三版本，所以我们主要也是讲 trs 一 点二跟一点三版本。 trs 是 寄以 tcp 来实现的，保证 tcp 通信的安全性。像我们最常用的 atps 协议，它就是寄以 trs 协议来实现的，而 dtrs 它是寄以 udp 来实现的，保证 udp 通信的安全性。 像因视频动画的 y 八 tc 等这些协议就是寄以 dts 来实现的。 opus 十二就是 trs 的 开源实现。我们会使用 opus 十二的 api 来编辑客户单跟服务单程序。 我这里有一个使用 opus 十二的 api 来编辑的客户单跟服务单程序。 我们首先看证书的制作，在克罗兰跟福丹都各自有一个私要跟公要，然后把自己的公要拿到 c a 机构去做一个签名，生成一个证书。在 c a 机构也会有一个自己的私要跟公要。根蒂公要再生成一个 c a 证书。 这里为了方便起见，我们就自己去制作一个 c a 证书，把自己当成一个 c a 机构。再就是证书制作的过程，首先是创建一些文件跟文件夹，用来存放生成的证书信息， 这属性文件里面把它设成 u n c 上不界课的等一诺就是允许使用重复的主体，而这一步就是去生成 c a 证书跟它的施耀。 再一步在执行的时候要设置一个密码，然后像其他的主题跟地址信息都需要去填一下。 再一步就是去生成服务器的私钥跟他的证书。第一步是生成服务器的私钥， 然而这里是生成服务器的公钥，在执行这一步的时候，它提示设置密码时候不要去设置密码，而其他的信息就跟这个 c a 去填成一样的，这是查看服务器的公钥。 然后这一步就是把工要拿到 c a 机构，让 c a 机构去生成一个证书，就是 siri 的 c r t。 然后这一步就是生成客户栏的施要跟它的证书， 我们看一下这个客户单跟服务单程序，这里是引用 open excel 淘文件， 这参数式设置是不是需要验证服务器的证书啊？这里是设置是使用 t i s 一 点二，还是使用 t i s 一 点三，这里是初步化设置 t i s 的 版本， 这里是加载客户端的证书跟他的私钥，然后验证公钥跟私钥是不是匹配的，如果需要验证服务端的证书，就需要加载 ca 的 证书 导入，通过 shell key 的 跟服务器建立链接，然后这里就是 t r s。 握手的过程，握手成功以后就发送数据，这里是读数据，然后下档关闭链接。 再看一下服务单程序，沿用 open s 十二讨文件， 这参数式设置是不是验证扣篮的证书，再就主要出手花设置服务单单证书跟他的私钥，如果需要验证扣篮的证书，则也需要加载 c a 证书。 然后就是 shakit 班的 leeson 阿塞贝尔去接收扣篮的请求， 再进行 t r s。 的 握手，握手成功以后就可以接收克罗兰的请求，然后写数据，下了档，关闭链接。 对于 open x 二，我们可以自己去编一下，也可以使用有斑度它自带的 open x 二，我们这里就直接使用系统自带的版本。 在使用 open s 二编程的时候，首先需要安装一下这个内部 s 二第一位这库，它会把 open s 二的头文件放到系统目录，我们可以直接去引用， 这里就编一下服务端跟客户端程序编列时要带上 s 二库跟这个交解密库。 然后我们来知心一下，看看 这里先不验证客户端的证书， 然后这客户单就使用 t a s 一 点二，这就握手成功了，然后把弗兰顿证书打印出来了。导这服务单也接收到客户单发出过来的消息， 这里就是 t i s。 一 点二握手的过程，右边这个图就是客户单验证服务单证书，但是服务单不验证客户单的证书。然后左边这个图就是双方都需要验证的情况， 我们只要来抓包来看一下 点这个洛浦 back 哎哈。第一步就是肯林的哈喽，客户单向服务单打招呼，客户单会把自己支持了加密套件发送给服务单，然后服务单会选择一个加密套件， 这就是肯林的哈喽，可以看到它是基于 t c p。 协议来实现的。前面的三个就是 t c p。 姗姗握手的过程， t h 的 版本就是一点二，这里会产生一个随机数发生给服务器，用来生成后面的灰化密钥。 这里是客户端支持了加密套件，比如我们看这个 ec d h e 就是 用来生成灰化密钥的算法。椭圆曲线算法 isa 是 用来做签名的算法，用示要签名，用公钥来验证，也可以用公要签名，用示要来验证。 a e s 二五六对称加密算法。 g c m 就是 对称加密的分组模式。 s h a 三八式就是哈希炸药算法。 这里的位置前面通常会有两个算法，如果它只有一个算法的话，就是产生绘画妙，跟 签名使用同一个算法。这里产生绘画妙，可以使用 isa， 也可以使用 ecduh 算法，通常就是使用 ecduh 算法，就是更安全一些。 然后对称加密一般是使用 aes， 二五六分种模式，一般就是使用 gcm， 而不是使用这个 cbc， 也是更安全一些。 z 算法一般就是使用 sha 三八式， 把 z i 加密套件发送给服务单，让服务单去选择一个，他支持了加密套件， 这里 s c 星 id 跟 c 星七， k 的 就是用来做快速恢复的，目前都是零。 第二步是服务单发送 sorry hello 服务单，跟客户单打招呼，告诉客户单之际，选择了加密套件， 这个是 sorry 哈喽，服务单也会生成一个随机数发送给客户单，这时候客户单跟服务单就各只有两个随机数，后面用来生成绘画密钥，这是服务单选择的加密套件。 第三步，筛选被 k 的 就是服务单，把自己的证书发送给客户单， 就是这一步，这里面就是服务单的证书。第四步，稍为可以个嵌进，就是服务单会发送 e、 c、 d、 i、 e 算法相关的参数给客户单，客户单跟进这些参数来生成绘画密钥， 稍为可以个嵌进，这也就是 e、 c、 d、 i e 算法需要的参数。 对于这些参数，服务单会使用自己的施药来做一个签名，前面服务单已经把自己的工药发送给客户单了，克兰收到以后就可以使用服务单的工药对这个签名进行验证，看这个参数是不是合法的， 然后稍尔 hello 到服务单的握手就结束，再往下可灵的可以给倩姐，就是客户单把 e、 c、 d、 i、 c 去算，把相关参数发送给服务单， 服务单根据这些参数就可以生成绘画密钥。 在生成绘画密钥的时候儿，是首先根据前面两个随机数以及这个 e、 c、 d、 i、 g 算法相关参数去生成一个 per mask， 它也是一个身体数。然后再根据前面两个随机数以及这个 per mask 就 可以生成绘画密钥，也称为主密钥 masake 的。 前面客户单收到服务单发送过来产水后，他已经审正好了绘画密钥，所以这往下走这一步千里守候就是告服务器他的绘画密钥已经审正好了，后面的信息就会通过绘画密钥来进行加密啊，这里就是使用绘画密钥加密的握手消息。 然后服务器他收到客户单发送过来的这个产水后，也会生成绘画密钥。 u、 c、 n、 g、 k 的 就是用来做快速恢复使用的，我们后面回看，然后绘画密钥设置好以后，服务器也告诉客户单自己的绘画密钥已经设置好了，后面那消息就使用绘画密钥来加密，而这个加密的消息 就最后这里的非逆袭，这样握手的过程就结束了。 然后这里的二 point data 就是 使用绘幻妙加妙通线内容， 然后我们看一下服务单验证客户单证书的情况，再加一个一，就是服务单需要验证客户单的证书， 如果服务器需要验证客户单的证书，它这里就会带一个赛德韦克勒吉快审请求客户单发送证书过来， 这里是服务单支持的证书签名类型，而这里是服务单支持的招标算法， 这也就是客户单通过这个设备费 k 的 把自己的证书发送给服务器， 这又是客户单的证书，然后会发送一个设备费 k 的 wifi， 这个设备费 k 的 wifi 就是 客户单会使用自己的施要对前面的握手消息进行一个签名，然后发送给服务器，服务器在前面已经接收到客户单的公要，所以他会用公要 对这个签名进行认证，如果验证通过的话，就说明这个证书它是有效的，然后其按钮就是一样的， 我们也可以使用 open sfr 自带的客户端跟福兰程序来验证，就这里的 scleaner 跟 sclr， 这个 scleaner 跟 sclr 也是两个 c 程序，就是在 open sfr 代码里面这个 aps 目录，它有一个 sclr 跟 sclr 两个程序， 我们通过 do help 可以 看它支持哪些参数。 首先启动服务单，然后启动客户单， 我们抓包来看一下 客户单发送数据，把我服务单接收到数据， 这就是握手的过程，跟前面讲的就是一样的，然而这里就是通信的数据， 通过这里的调试信息我们就可以看到加密的内容，比如这点 linux 就是 加密的握手消息，然后这个 f f 就是 加密内容， 我们也可以通过下面几个步骤在 v i c 里面去显示加密内容。首先创建一个 s r k 法，然后设置这个环境变量， 然后在启动这浏览器的时候，浏览器就会把 ssr 加密相关的 key 去存放在这个 k file 里面，然后我们在 yac 里面再去导入这个 k file， 接着配置文件， 在这个首选项协议里面选择这个 s i k file 的 路径。 然后就是启动这奎姆浏览器，先设置环境变量，然后启动这个奎姆浏览器， 奎姆浏览器它就会把 trs 加密相关类密钥信息传班在这个文件里面。 这火狐浏览器好像不行，大家可以自己试一下， 我们来抓包看一下。首先启动服务单， 然后启动这个浏览器， 可以看到这事复旦就接收到克罗兰发送过来的 i d b 请求，再就是抓包的内容， 卡琳的哈喽 share， 哈喽，可以看到这个加密的非令性消息就显的出来了， delicate， delicate 里面它还有一些额外信息，就是它会对前面的握手消息通过深沉的绘画密奥去做一个加密，然后发送给对方， 对方就根据自己深沉的绘画密奥对加密内容进行解密，如果能够解密成功的话，就说明双方深沉的绘画密奥是相同的，可以进行后续的通信。 还看到这里就是把加密的 itb 协议内容也签了出来了， 这又是 t a s 一 点二握手的过程， t a s 一 点二它的握手过程需要两个 it， 就是 两个网络往返， 首先发送请求，然后响应，然后这里再请求，然后这里再响应，需要两个网络往返，客户单才可以向服务单去发送数据， 而通过快速恢复就只需要一个网络往返就可以结束握手的过程。 快速恢复就是通过前面这个 new 声音七 k 的 所有单，在握手完成以后会发送一个 new 声音七 k 的 给客户单，客户单可以保存这个 new 声音七 k 的， 后面就可以通过这个 new 声音七 k 的 来做快速恢复。 然后客户端下一时间通信的时候就带上这个妞声音寄配的，用声信寄配的就包含生成绘画妙，先过来参数，客户端根据这些参数就可以生成绘画妙，然后把这个妞声音寄配的发送给服务器，以后服务器根据这些参数也可以生成绘画妙。 绘画密钥生成好以后，后面内容就可以使用绘画密钥进行加密，所以这里就只需要一个网络往返扣篮就可以向服务弹去发送数据。我们来看一下抓包的过程， 首先这里带一个参数 c 星 alt， 就是 把这一只绘画的 c 星七 k 的 保存下来，保存在一屌 t i 七里面， 然后下一次在同星的时候就通过 c 星印去带上上一次，上一次保存单用声音击退的， 这里服务单链接就不要打开，还是使用上一次链接，然后抓包来看一下， 肯定的 hello， 这里的 c 星 id 就 不等于零了，然后这里的 c 星击退的也不等于零， 它就会带上上一次绘画的相关的信息，里面就有生成绘画妙相关的参数，这时候客户端根据这些参数直接就可以生成绘画妙，然后客户端收到以后也生成绘画妙，然后面的通信就使用绘画妙来加密， 这就是 t a s。 一 点二握手的过程。 然后我们来看 t a s。 一 点三， t a s 一 点三相对于一点二在性能跟安全性上面做了改进，然后它也是兼容 t a s。 一 点二的。下面是 t a s。 一 点三改进的地方。 第一个是引入了新的密奥西昌机制 psk， 就是 普尔希尔 k， 通过这个 psk pis 一 二三握手过程就只需要一个网轮往返，如果是快速恢复的话，就只需要零个网轮往返， 因为只需要一个网络往返，所以在十二哈喽之后的所有握手消息都可以采用加密的形式，这样就可以减少明乱内容，增强安全性。然后 t a s。 一 点三废弃了一些不安全的算法， 这也就是 ts 一 点三握手的过程。首先是克林的哈喽，在克林的哈喽里面卡武丹就会带上 k 希尔、普尔希尔 k 这些用来深层绘画妙的参数， 然后复旦说了这些参数以后，就可以生成绘画密奥，自己在生成绘画密奥的事儿同时会生成一个 han 的 c o k， 就是 握手密奥，会通过握手密奥对后面的握手消息进行加密，就这里的大块儿里面内容就是通过握手密奥加密内容， 然后正式在发送数据的时候还是使用绘画妙来加密，就这里的，而不是 k 姓 k， 这里的中块里面内容就是使用绘画妙加密内容，后面握手的过程跟 t s 一 点二基本上就是一样的，我们来抓包看一下， 还是先看一下我们自己写的程序， 在这加一个一，就是使用 t s 一 点三。 首先是可英的 hello， 这里的 t s 版本还使用的是一点二，主要是为了跟旧了机器精兼容， 然后通过这里的扩展参数是 po t 的 微旋可以看出它是使用的 t s 一 点三， 如果服务器只支持一点二的话，它在这里的扩展参数里面就不会带这个一点三，那么后面通信就还使用一点二，如果服务器也支持一点三的话，它在这个扩展参数里面就会把这个版本也设成一点三，后面通信就使用一点三来进行通信。 你如果直接把这个版本改成一点三的话，如果服务器它不支持一点三的话，它看到这个错误的版本号，后面的握手过程就会直接的失败，所以这里设置的还是 t s 一 点二，可以跟旧的服务器进建。 然后这里还是会生成一个随机数，用来生成绘绘密钥， 这是客户端支持的加密套件，可以看到 t s 一 点三，它的加密套件就少很多，是保留最安全跟性能最好的，它默认就会使用 ec d s 算法来生成绘画妙。 然后就是这里的 k c 跟 p s k 用来生成绘画妙相关参数。 十二 hello， 这时候服务器它根据克尔丹发送过来的随机数以及自己再生成一个随机数，还有 c r k 相关参数就可以生成，会幻灭啊， 同时也会生成一个握手密钥，而后面握手的消息就会使用握手密钥经加密。这里的阿普雷克信对他都是使用握手密钥加密了握手消息，然后服务单在塞尔哈喽里面也会传一个随机数过去， 还相勾来 k 效信息，以后就可以根据这些信息生成绘画密钥跟握手密钥， 然后后面的握手消息也是使用握手密钥经加密，这样握手的过程就完成了。然后下面这些阿布雷克信对他就是使用绘画密钥加密通信的消息。 然后我们使用 open s 二自带的客户端跟服务端程序来看一下， 把这里一点二改成一点三，表明服务器支持 t 二 s 一 点三版本， 这里也改成一两三找包看一下， 这也就跟前面讲的是一样的。然后我们通过昆姆燃气把这些加面内容显示出来，看一下 卡琳的 hello sir 哈喽，这他就把加密我手消息显示出来了，可以看到这里服务单这把证书发生给客户单的时候，他也会增加一个 siri 的 key 的 wifi， 就 会跟前面的客户单一样， 他会用自己的私钥对前面的握手消息做一个签名，然后这里把公钥发送给客户单，以后客户单就可以根据复单的公钥对这个签名进行认真看，这个参数是不正确了。 z 就是 简明出来的 id 请求消息， z 是 new c 星 gk 的， 用来做快速恢复， t n s 一 点三的快速恢复就可以实现零 r t t 就 在握手的时候就可以发送数据，靠单在发送肯林哈罗的时候就会带一个数据，被称为 r 林迪塔， 然后在上一次绘画的 new 声音吉他里面，它会带一个 psk， 双方会共享这个 psk， 然后客户单根据这个 psk 可以 生成一个 r 零 cq， 这个 r 零 dq 就 通过这个 r 零 cq 来加密的， 就这括号里面内容就是使用 r 零 c 克比特加密的 r 零狄塔，把这个 r 零狄塔发送给服务器，服务器根据 new c 星 g p t 里面的 p s k 也可以去生成一个 r 零狄塔，然后就可以对这个 r 零狄塔进行解密。 客户单在发送完 r 零狄塔以后，还需要发送一个，按道夫 r 零狄塔标记，这个 r 零狄塔已经发送完成了。除了这个 r 零狄塔，其他的过程就跟前白内容是一样的。 克奥丹把 k 希尔相关信息发送给服务器，服务器就可以生成绘画妙跟这里的握手妙，而后面的握手消息就通过握手妙来加密，就这里的大块里面内容， 然后对于正式通信的数据还是使用绘画妙来加密，就这里的中块里面内容。我们来抓包来看一下。 这里服务单在启动的时候要带一个二零 d 塔，参数表明他支持二零 d 塔，然后这里是支持的最大的数据的大小。 克兰首先保存这一次会花的 newson 七 k 的， 然后下一次再通信就带上这个 newson 七 k 的， 然后这里 r 零 d 塔就是你需要传送的 r 零 d 塔内容，也快速点 t i 七， 它里面就是一个 i d p 盖了，请求 我们来照包看一下， 可以看到这时候克伍登在发送肯林哈罗的时候就发送了一个 r 零 d 塔，它是使用 r 零 c。 克韦特定加密的。 这个零 i t t。 在 安全方面还是有一些问题的，因为它不需要握手就可以发送数据。 如果这个二零迪塔被攻敌者截获以后，它就可以反复向服务器去发送这个二零迪塔。如果这个二零迪塔是一个 a d p。 透射请求的话，透射请求它一般会改编服务器数据库的内容，那么这群供你者反复去发送这个透射的请求，就会反复去改编服务器这个数据库的内容，从而对数据库的内容进行破坏。 所以在发送这二零地塔时，通常是发送一些不改编服务器状态的 get 请求，这又是 t s。 一 点三、握手的过程。 最后我们再看一下 d t r s d t r s。 它就是基于优律 p 来实现的。优律 p 是 不可靠的，但是 t r s。 它有握手的过程，我们至少需要保证这个握手的过程它是可靠的， 所以 d t a s。 在 实现的时候会实现一些 t c b。 的 可靠机制。首先是分片的机制，因为优绿屁它是不支持分片的。如果你发生了数据包比较大的话，它会在阿逼城进分片， 那么当阿逼城的分片丢失了以后，它就需要去重发整个数据包，所以 d t a s。 会增加分片的机制。 然后 d t a s。 实验的分片如果丢失的话，它会进行超时重传，保证这个握手消息能够顺利地到达。然后对于这些分片，它会由序号来进行编号，保证这些分片可以有序地到达。 d t a s。 还增加一个酷克的机制，可以避免倒时攻击 d t a s， 它的版本跟 t a s 基本上是一对应的，这是 d t a s。 握手的过程，我们照包来看一下， 再改成 dts 一 点。二， dts 它握手的过程跟 tis 基本上是一样的，只是它这里多了一个 hello wifi 与快捷来避免倒时攻击，那其他的过程基本上都是一样的。 首先也是可林的 hello， 然后服务单会发送一个 hello， wifi 与快捷的里面会一个库， 这里面会带一个 cookie， 然后客户单收到这个 cookie 以后，再发送一个卡林的 hello， 把前面的 cookie 带上，服务单收到这个 cookie 以后会进行验证，验证通过以后再发送这个 sorry hello， 这样可以避免倒数攻击。 然后这里就是分片内容，会对服务单的证书分片进行发送，每个分片会有对应的序号偏移以及分片大小，对应这页信息，后面就可以对这页分片进行重组，而这里就是重组以后的内容， 可以获取到服务单的证书。 后面的过程就跟 trs 是 一样的， 这就是 dts 握手的过程。 最后还有一个 itps， itps 其实很简单，它就是把 itp 协议的内容通过 trs 来发送， 我们这里通过 trs 发送的时候，直接发送的是织布串，你把这个织布串改成 itp 协议的内容，那么就称为 itps。 然后 i d p 默认端口是八零 itbs， 它默认端口是四四三，再又是 t i s。 协议的内容。