利用C语言探究HTTPS协议的通信机制
一、引言
随着互联网技术的飞速发展,网络安全问题日益受到关注。
HTTPS作为一种安全的网络通信协议,广泛应用于网页浏览、文件下载等场景,它在HTTP协议的基础上通过SSL/TLS加密技术保障数据传输的安全。
本文将利用C语言来探究HTTPS协议的通信机制。
二、HTTPS协议概述
HTTPS是基于HTTP的安全超文本传输协议,通过使用SSL/TLS协议进行数据加密传输,保障网络通信的安全性和隐私性。
HTTPS协议的主要功能包括数据加密、身份验证和完整性保护。
在HTTPS通信过程中,客户端与服务器之间通过SSL/TLS握手建立安全连接,实现数据的加密传输。
三、利用C语言探究HTTPS通信机制
1. 准备工作
为了利用C语言探究HTTPS协议的通信机制,我们需要准备以下工具和环境:
(1)C语言编译器:如GCC或Clang等;
(2)OpenSSL库:用于实现SSL/TLS加密功能;
(3)网络编程基础:熟悉socket编程和网络通信原理。
2. 实现步骤
(1)建立连接:利用socket编程技术建立客户端与服务器之间的连接;
(2)SSL/TLS握手:通过OpenSSL库实现SSL/TLS握手过程,建立安全连接;
(3)数据交换:在建立的安全连接上,实现数据的加密传输;
(4)关闭连接:在完成数据传输后,关闭socket连接。
3. 关键代码解析
以下是利用C语言实现HTTPS通信的关键代码解析:
(1)建立连接
在C语言中,我们可以使用socket函数创建socket对象,并通过connect函数建立客户端与服务器之间的连接。
“`c
int sockfd = socket(AF_INET, SOCK_STREAM,0); // 创建socket对象
struct sockaddr_in server_addr;// 服务器地址信息
// 设置服务器地址信息
connect(sockfd, (structsockaddr )&server_addr, sizeof(server_addr)); // 建立连接
“`
(2)SSL/TLS握手
在建立连接后,我们需要通过OpenSSL库实现SSL/TLS握手过程。
这包括创建SSL上下文、加载证书、设置回调函数等。
“`c
SSL_CTX ctx = SSL_CTX_new(SSLv23_client_method()); // 创建SSL上下文
SSL ssl = SSL_new(ctx); // 创建SSL对象
// 加载客户端证书和密钥
SSL_set_fd(ssl, sockfd); // 将socket与SSL对象关联
if (SSL_connect(ssl) <= 0){ // 执行SSL/TLS握手
// 处理错误
}
“`
(3)数据交换
在建立安全连接后,我们可以利用send和recv函数实现数据的加密传输。
“`c
char buffer[1024]; // 数据缓冲区
int len= SSL_write(ssl, Hello, World!, strlen(Hello,World!)); // 发送数据
int recvlen = SSL_read(ssl,buffer, sizeof(buffer)); // 接收数据
“`
(4)关闭连接
在完成数据传输后,我们需要关闭SSL对象和socket连接。
“`c
SSL_free(ssl); // 释放SSL对象
close(sockfd); // 关闭socket连接
“`
四、总结与展望
本文通过C语言探究了HTTPS协议的通信机制,包括建立连接、SSL/TLS握手、数据交换和关闭连接等关键步骤。
在实际应用中,我们还需要考虑错误处理、性能优化等问题。
未来,随着网络安全技术的不断发展,HTTPS协议将进一步完善和优化,为我们提供更加安全、高效的网络通信服务。
五、参考文献
[请在此处插入参考文献]
如何通过 c/c++ 实现http请求
示例程序,转载自CNBLOG,做了针对C语言编译器的适应性修正:#include#include #pragma comment(lib, ws2_) /* WinSock使用的库函数 */ /* 定义常量 */ #define HTTP_DEF_PORT 80 /* 连接的缺省端口 */ #define HTTP_BUF_SIZE 1024 /* 缓冲区的大小 */ #define HTTP_HOST_LEN 256 /* 主机名长度 */ char *http_req_hdr_tmpl = GET %s HTTP/1.1\r\n Accept: image/gif, image/jpeg, */*\r\nAccept-Language: zh-cn\r\n Accept-Encoding: gzip, deflate\r\nHost: %s:%d\r\n User-Agent: Huiyongs Browser <0.1>\r\nConnection: Keep-Alive\r\n\r\n; /************************************************************************** * * 函数功能: 解析命令行参数, 分别得到主机名, 端口号和文件名. 命令行格式: * [* * 参数说明: [IN] buf, 字符串指针数组; * [OUT] host, 保存主机; * [OUT] port, 端口; * [OUT] file_name, 文件名; * * 返 回 值: void. * **************************************************************************/ void http_parse_request_url(const char *buf, char *host, unsigned short *port, char *file_name) { int length = 0; char port_buf[8]; char *buf_end = (char *)(buf + strlen(buf)); char *begin, *host_end, *colon, *file; /* 查找主机的开始位置 */ begin = (char*)(strstr(buf, //)); begin = (begin ? begin + 2 : (char*)(buf)); colon = strchr(begin, :); host_end = strchr(begin, /); if (host_end == NULL) { host_end = buf_end; } else { /* 得到文件名 */ file = strrchr(host_end, /); if (file && (file + 1) != buf_end) strcpy(file_name, file + 1); } if (colon) /* 得到端口号 */ { colon++; length = host_end – colon; memcpy(port_buf, colon, length); port_buf[length] = 0; *port = atoi(port_buf); host_end = colon – 1; } /* 得到主机信息 */ length = host_end – begin; memcpy(host, begin, length); host[length] = 0; } int main(int argc, char **argv) { WSADATA wsa_data; SOCKET http_sock = 0; /* socket 句柄 */ struct sockaddr_in serv_addr; /* 服务器地址 */ struct hostent *host_ent; int result = 0, send_len; char data_buf[HTTP_BUF_SIZE]; char host[HTTP_HOST_LEN] = 127.0.0.1; unsigned short port = HTTP_DEF_PORT; unsigned long addr; char file_name[HTTP_HOST_LEN] = ; char file_nameforsave[HTTP_HOST_LEN] = ; FILE *file_web; if (argc != 2) { printf([Web] input : %sargv[0]); return -1; } http_parse_request_url(argv[1], host, &port, file_name); WSAStartup(MAKEWORD(2,0), &wsa_data); /* 初始化 WinSock 资源 */ addr = inet_addr(host); if (addr == INADDR_NONE) { host_ent = gethostbyname(host); if (!host_ent) { printf([Web] invalid host\n); return -1; } memcpy(&addr, host_ent->h_addr_list[0], host_ent->h_length); } /* 服务器地址 */ serv__family = AF_INET; serv__port = htons(port); serv__addr.s_addr = addr; http_sock = socket(AF_INET, SOCK_STREAM, 0); /* 创建 socket */ result = connect(http_sock, (struct sockaddr *) &serv_addr, sizeof(serv_addr)); if (result == SOCKET_ERROR) /* 连接失败 */ { closesocket(http_sock); printf([Web] fail to connect, error = %d\n, WSAGetLastError()); return -1; } /* 发送 HTTP 请求 */ send_len = sprintf(data_buf, http_req_hdr_tmpl, argv[1], host, port); result = send(http_sock, data_buf, send_len, 0); if (result == SOCKET_ERROR) /* 发送失败 */ { printf([Web] fail to send, error = %d\n, WSAGetLastError()); return -1; } file_web = fopen(file_nameforsave, a+); do /* 接收响应并保存到文件中 */ { result = recv(http_sock, data_buf, HTTP_BUF_SIZE, 0); if (result > 0) { fwrite(data_buf, 1, result, file_web); /* 在屏幕上输出 */ data_buf[result] = 0; printf(%s, data_buf); } } while(result > 0); fclose(file_web); closesocket(http_sock); WSACleanup(); return 0; }
c语言用http协议通讯
connectwrite(请求字符串);。
。
。
write(请求字符串);
TCP协议的通讯过程
你大概说的是3步握手吧,这跟传真机的5部握手很类似。
下面的资料希望对你有用TCP/IP 是很多的不同的协议组成,实际上是一个协议组,TCP 用户数据报表协议(也称作TCP 传输控制协议,Transport Control Protocol。
可靠的主机到主机层协议。
这里要先强调一下,传输控制协议是OSI 网络的第四层的叫法,TCP 传输控制协议是TCP/IP 传输的6 个基本协议的一种。
两个TCP 意思非相同。
)。
TCP 是一种可靠的面向连接的传送服务。
它在传送数据时是分段进行的,主机交换数据必须建立一个会话。
它用比特流通信,即数据被作为无结构的字节流。
通过每个TCP 传输的字段指定顺序号,以获得可靠性。
是在OSI参考模型中的第四层,TCP 是使用IP 的网间互联功能而提供可靠的数据传输,IP 不停的把报文放到网络上,而TCP 是负责确信报文到达。
在协同IP 的操作中TCP 负责:握手过程、报文管理、流量控制、错误检测和处理(控制),可以根据一定的编号顺序对非正常顺序的报文给予从新排列顺序。
关于TCP 的RFC 文档有RFC793、RFC791、RFC1700。
在TCP 会话初期,有所谓的“三握手”:对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接。
为了提供可靠的传送,TCP 在发送新的数据之前,以特定的顺序将数据包的序号,并需要这些包传送给目标机之后的确认消息。
TCP 总是用来发送大批量的数据。
当应用程序在收到数据后要做出确认时也要用到TCP。
由于TCP 需要时刻跟踪,这需要额外开销,使得TCP 的格式有些显得复杂。
下面就让我们看一个TCP 的经典案例,这是后来被称为MITNICK 攻击中KEVIN 开创了两种攻击技术:TCP 会话劫持SYN FLOOD(同步洪流)在这里我们讨论的时TCP 会话劫持的问题。
先让我们明白TCP 建立连接的基本简单的过程。
为了建设一个小型的模仿环境我们假设有3 台接入互联网的机器。
A 为攻击者操纵的攻击机。
B 为中介跳板机器(受信任的服务器)。
C 为受害者使用的机器(多是服务器),这里把C 机器锁定为目标机器。
A 机器向B机器发送SYN 包,请求建立连接,这时已经响应请求的B 机器会向A 机器回应SYN/ACK表明同意建立连接,当A 机器接受到B 机器发送的SYN/ACK 回应时,发送应答ACK 建立A 机器与B 机器的网络连接。
这样一个两台机器之间的TCP 通话信道就建立成功了。
B 终端受信任的服务器向C 机器发起TCP 连接,A 机器对服务器发起SYN 信息,使C 机器不能响应B 机器。
在同时A 机器也向B 机器发送虚假的C 机器回应的SYN 数据包,接收到SYN 数据包的B 机器(被C 机器信任)开始发送应答连接建立的SYN/ACK 数据包,这时C 机器正在忙于响应以前发送的SYN 数据而无暇回应B 机器,而A 机器的攻击者预测出B 机器包的序列号(现在的TCP 序列号预测难度有所加大)假冒C 机器向B 机器发送应答ACK 这时攻击者骗取B 机器的信任,假冒C 机器与B 机器建立起TCP 协议的对话连接。
这个时候的C 机器还是在响应攻击者A 机器发送的SYN 数据。
TCP 协议栈的弱点:TCP 连接的资源消耗,其中包括:数据包信息、条件状态、序列号等。
通过故意不完成建立连接所需要的三次握手过程,造成连接一方的资源耗尽。
通过攻击者有意的不完成建立连接所需要的三次握手的全过程,从而造成了C 机器的资源耗尽。
序列号的可预测性,目标主机应答连接请求时返回的SYN/ACK 的序列号时可预测的。
(早期TCP 协议栈,具体的可以参见1981 年出的关于TCP 雏形的RFC793 文档)TCP 头结构TCP 协议头最少20 个字节,包括以下的区域(由于翻译不禁相同,文章中给出相应的英文单词):TCP 源端口(Source Port):16 位的源端口其中包含初始化通信的端口。
源端口和源IP 地址的作用是标示报问的返回地址。
TCP 目的端口(Destination port):16 位的目的端口域定义传输的目的。
这个端口指明报文接收计算机上的应用程序地址接口。
TCP 序列号(序列码,Sequence Number):32 位的序列号由接收端计算机使用,重新分段的报文成最初形式。
当SYN 出现,序列码实际上是初始序列码(ISN),而第一个数据字节是ISN+1。
这个序列号(序列码)是可以补偿传输中的不一致。
TCP 应答号(Acknowledgment Number):32 位的序列号由接收端计算机使用,重组分段的报文成最初形式。
,如果设置了ACK 控制位,这个值表示一个准备接收的包的序列码。
数据偏移量(HLEN):4 位包括TCP 头大小,指示何处数据开始。
保留(Reserved):6 位值域,这些位必须是0。
为了将来定义新的用途所保留。
标志(Code Bits):6 位标志域。
表示为:紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。
按照顺序排列是:URG、ACK、PSH、RST、SYN、FIN。
窗口(Window):16 位,用来表示想收到的每个TCP 数据段的大小。
校验位(Checksum):16 位TCP 头。
源机器基于数据内容计算一个数值,收信息机要与源机器数值结果完全一样,从而证明数据的有效性。
优先指针(紧急,Urgent Pointer):16 位,指向后面是优先数据的字节,在URG标志设置了时才有效。
如果URG 标志没有被设置,紧急域作为填充。
加快处理标示为紧急的数据段。
选项(Option):长度不定,但长度必须以字节。
如果没有选项就表示这个一字节的域等于0。
填充:不定长,填充的内容必须为0,它是为了数学目的而存在。
目的是确保空间的可预测性。
保证包头的结合和数据的开始处偏移量能够被32 整除,一般额外的零以保证TCP 头是32 位的整数倍。
标志控制功能URG:紧急标志紧急(The urgent pointer) 标志有效。
紧急标志置位,ACK:确认标志确认编号(Acknowledgement Number)栏有效。
大多数情况下该标志位是置位的。
TCP 报头内的确认编号栏内包含的确认编号(w+1,Figure:1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
PSH:推标志该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。
在处理telnet 或rlogin 等交互模式的连接时,该标志总是置位的。
RST:复位标志复位标志有效。
用于复位相应的TCP 连接。
SYN:同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。
该标志仅在三次握手建立TCP 连接时有效。
它提示TCP 连接的服务端检查序列编号,该序列编号为TCP 连接初始端(一般是客户端)的初始序列编号。
在这里,可以把TCP 序列编号看作是一个范围从0 到4,294,967,295 的32 位计数器。
通过TCP 连接交换的数据中每一个字节都经过序列编号。
在TCP 报头中的序列编号栏包括了TCP 分段中第一个字节的序列编号。
FIN:结束标志带有该标志置位的数据包用来结束一个TCP 回话,但对应端口仍处于开放状态,准备接收后续数据。
服务端处于监听状态,客户端用于建立连接请求的数据包(IP packet)按照TCP/IP协议堆栈组合成为TCP 处理的分段(segment)。
分析报头信息: TCP 层接收到相应的TCP 和IP 报头,将这些信息存储到内存中。
检查TCP 校验和(checksum):标准的校验和位于分段之中(Figure:2)。
如果检验失败,不返回确认,该分段丢弃,并等待客户端进行重传。
查找协议控制块(PCB{}):TCP 查找与该连接相关联的协议控制块。
如果没有找到,TCP 将该分段丢弃并返回RST。
(这就是TCP 处理没有端口监听情况下的机制) 如果该协议控制块存在,但状态为关闭,服务端不调用connect()或listen()。
该分段丢弃,但不返回RST。
客户端会尝试重新建立连接请求。
建立新的socket:当处于监听状态的socket 收到该分段时,会建立一个子socket,同时还有socket{},tcpcb{}和pub{}建立。
这时如果有错误发生,会通过标志位来拆除相应的socket 和释放内存,TCP 连接失败。
如果缓存队列处于填满状态,TCP 认为有错误发生,所有的后续连接请求会被拒绝。
这里可以看出SYN Flood 攻击是如何起作用的。
丢弃:如果该分段中的标志为RST 或ACK,或者没有SYN 标志,则该分段丢弃。
并释放相应的内存。
发送序列变量 : 发送未确认 : 发送下一个 : 发送窗口 : 发送优先指针1 : 用于最后窗口更新的段序列号2 : 用于最后窗口更新的段确认号ISS : 初始发送序列号接收序列号 : 接收下一个 : 接收下一个 : 接收优先指针IRS : 初始接收序列号当前段变量 : 段序列号 : 段确认标记 : 段长 : 段窗口 : 段紧急指针 : 段优先级CLOSED 表示没有连接,各个状态的意义如下:LISTEN : 监听来自远方TCP 端口的连接请求。
SYN-SENT : 在发送连接请求后等待匹配的连接请求。
SYN-RECEIVED : 在收到和发送一个连接请求后等待对连接请求的确认。
ESTABLISHED : 代表一个打开的连接,数据可以传送给用户。
FIN-WAIT-1 : 等待远程TCP 的连接中断请求,或先前的连接中断请求的确认。
FIN-WAIT-2 : 从远程TCP 等待连接中断请求。
CLOSE-WAIT : 等待从本地用户发来的连接中断请求。
CLOSING : 等待远程TCP 对连接中断的确认。
LAST-ACK : 等待原来发向远程TCP 的连接中断请求的确认。
TIME-WAIT : 等待足够的时间以确保远程TCP 接收到连接中断请求的确认。
CLOSED : 没有任何连接状态。
TCP 连接过程是状态的转换,促使发生状态转换的是用户调用:OPEN,SEND,RECEIVE,CLOSE,ABORT 和STATUS。
传送过来的数据段,特别那些包括以下标记的数据段SYN,ACK,RST 和FIN。
还有超时,上面所说的都会时TCP 状态发生变化。
序列号请注意,我们在TCP 连接中发送的字节都有一个序列号。
因为编了号,所以可以确认它们的收到。
对序列号的确认是累积性的。
TCP 必须进行的序列号比较操作种类包括以下几种:①决定一些发送了的但未确认的序列号。
②决定所有的序列号都已经收到了。
③决定下一个段中应该包括的序列号。
对于发送的数据TCP 要接收确认,确认时必须进行的 = 最老的确认了的序列号。
= 下一个要发送的序列号。
= 接收TCP 的确认,接收TCP 期待的下一个序列号。
= 一个数据段的第一个序列号。
= 数据段中包括的字节数。
+-1 = 数据段的最后一个序列号。
如果一个数据段的序列号小于等于确认号的值,那么整个数据段就被确认了。
而在接收数据时下面的比较操作是必须的 = 期待的序列号和接收窗口的最低沿。
+:1 = 最后一个序列号和接收窗口的最高沿。
= 接收到的第一个序列号。
+:1 = 接收到的最后一个序列号。
