2

我需要检测网络流量中的 https 数据包。到目前为止,我将所有“443”标记为 https,但我不想再在这种情况下使用端口信息。

检查客户端问候消息是否足够:

//Check 22 and version info 0300 0301 or 0302
if (packet->payload[0] == 0x16 && packet->payload[1] == 0x03
  && (packet->payload[2] == 0x00 || packet->payload[2] == 0x01 || packet->payload[2] == 0x02)

{
    int temp = ntohs(get_u16(packet->payload, 3)) + 5;//Get lenght 
    //Check lenght is valid and 6th byte is client hello(which is 1)
    if (temp < packet->payload_length && temp > 50 && packet->payload[5]) == 1) 
        MARK AS HTTPS 
}

由于我的项目设计,我不能检查多个数据包。你能告诉我像上面这样检查客户你好是否可以?

4

1 回答 1

1

由于我的项目设计,我不能检查多个包。你能告诉我像上面这样检查客户你好是否可以?

我假设您的意思是“包”而不是“包”。鉴于我们在这里使用 TCP,能够重新组装分段消息是必不可少的。只要您有一个仅对单个数据包进行操作的工具,您就不能期望可靠地(如 100% 的时间)检测长于单个字节的消息内容。那是因为 TCP 发送方将字节一个接一个地传送给你是完全合法的……所以你需要准备好重新组装它们,否则你会错过一些信息。

于 2013-04-24T14:06:15.323 回答