c#進行https訪問時,如何修改ClientHello?

c#進行https訪問時,如何修改ClientHello訊息?

我們知道,當進行https訪問時,客戶端會首先發出ClientHello訊息

ClientHello訊息內容包含如下:

1. Version
協議版本（protocol version）指示客戶端支持的最佳協議版本。從低到高依次 SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2，TLSv1.3

2. Random
亂數（random）欄位包含32位元組的資料。當然，只有28位元組是隨機生成的；剩余的4位元組包含額外的資訊，受客戶端時鐘的影響。4個位元組以Unix時間格式記錄了客戶端的協調世界時間（UTC）。協調世界時間是從1970年1月1日開始到當前時刻所經歷的秒數，那么時間是不斷的上漲的，通過前4位元組填寫時間方式，有效的避免了周期性的出現一樣的亂數。使得“隨機”更加“隨機”。亂數是用來生成對稱密鑰的。
在握手時，客戶端和服務器都會提供亂數。這種隨機性對每次握手都是獨一無二的，在身份驗證中起著舉足輕重的作用。它可以防止重放攻擊，并確認初始資料交換的完整性。

3. Session ID
在第一次連接時，會話ID（session ID）欄位是空的，這表示客戶端并不希望恢復某個已
存在的會話。在后續的連接中，這個欄位可以保存會話的唯一標識。服務器可以借助會話ID在自己的快取中找到對應的會話狀態。
如果Session id length有值，對于 SSL 2.0 Session id length 0~16位元組，其后的版本擴大到32位元組。本報文中Session id length是0，后面就沒有跟Session id，直接是Cipher suit length。
Session id并不一定是32位元組，RFC規定可以0~32位元組。只是Session id由服務器生成，服務器普遍采用OpenSSL，而OpenSSL基本只生成32位元組的session id，如果碰到其他位元組長度的Session id，切莫認為是例外client hello。

4. 其它擴展資訊,如:server_name,supported_groups,key_share等等

5. 密碼套件串列(Cipher Suites),如:

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA


----------------------------------------------------

我想請問的是,用c#(或者用其它語言也可以,如C++)進行https訪問時,如何修改clienthello中的擴展資訊和密碼套件資訊以及順序?

請高手解答!



以下附上用fiddler抓取的chrome發出的clienthello

----------------------------------------------------

CONNECT a1.cnblogs.com:443 HTTP/1.1
Host: a1.cnblogs.com:443
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36

A SSLv3-compatible ClientHello handshake was found. Fiddler extracted the parameters below.

Version: 3.3 (TLS/1.2)
Random: FB 7B E6 C1 22 F3 01 DA B9 69 8D 2A 7B 5F 9A 53 DD 64 3A 11 C9 3C B7 6C 62 BA AF 2B EB 0E 74 BD
"Time": 2073/2/1 1:01:47
SessionID: 1A 46 0D 8C A8 76 E7 19 A5 E6 4E 5F 93 E0 92 27 31 42 C5 E0 4F A4 AC 4D CD 56 AE DA 70 EF FF B6
Extensions: 
grease (0xcaca) empty
server_name a1.cnblogs.com
extended_master_secret empty
renegotiation_info 00
supported_groups grease [0xa0a], x25519 [0x1d], secp256r1 [0x17], secp384r1 [0x18]
ec_point_formats uncompressed [0x0]
SessionTicket 59 32 70 78 4F 44 6D 74 70 76 4E 55 79 78 74 42 AC 87 2C CB 52 B8 06 52 07 C8 F4 C9 55 4D F6 D2 B0 5D EF 5B F4 81 46 10 22 14 63 53 65 9C 55 05 36 D0 62 F7 85 8D 63 7C C1 8B 46 B8 04 84 EE 88 52 F8 32 6F D7 DF 17 AF 0A 77 50 1B FF 60 6E 0A 0C B7 AC 24 18 E4 9B E3 3A C7 4B 5A D9 5C AB 35 BE 79 A1 2C 21 A6 E7 1D 25 F2 9A 2B B3 55 3D 65 E1 D4 1F 78 05 E6 1B 9E 2B 9B BB 84 C2 7E A5 83 10 3C 19 80 E6 E7 3D BD CE CB 15 B8 9F 4C 2B A1 18 65 29 A1 B3 F8 1D 9E 18 BA FF 74 A4 6B C3 40 3A 66 78 4C 29 6B DE 14 8A 82 50 AA 85 4B E8 38 DC 98 3F AF 29 FC 27 E9 A5 37 A3 30 24 6C B8 60
ALPN h2, http/1.1
status_request OCSP - Implicit Responder
signature_algs ecdsa_secp256r1_sha256, rsa_pss_rsae_sha256, rsa_pkcs1_sha256, ecdsa_secp384r1_sha384, rsa_pss_rsae_sha384, rsa_pkcs1_sha384, rsa_pss_rsae_sha512, rsa_pkcs1_sha512
SignedCertTimestamp (RFC6962) empty
key_share 00 29 0A 0A 00 01 00 00 1D 00 20 E6 E2 C1 B1 04 31 AD 79 33 FD 94 9B 8A F9 BF 72 92 F3 B4 53 A6 1A ED B5 80 95 D2 44 DA 5B 3B 64
psk_key_exchange_modes 01 01
supported_versions grease [0x8a8a], Tls1.3, Tls1.2, Tls1.1
0x001b 02 00 02
grease (0xdada) 00
padding 14 null bytes
Ciphers: 
[FAFA] Unrecognized cipher - See https://www.iana.org/assignments/tls-parameters/
[1301] TLS_AES_128_GCM_SHA256
[1302] TLS_AES_256_GCM_SHA384
[1303] TLS_CHACHA20_POLY1305_SHA256
[C02B] TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
[C02F] TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
[C02C] TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
[C030] TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
[CCA9] TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
[CCA8] TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
[C013] TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
[C014] TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
[009C] TLS_RSA_WITH_AES_128_GCM_SHA256
[009D] TLS_RSA_WITH_AES_256_GCM_SHA384
[002F] TLS_RSA_WITH_AES_128_CBC_SHA
[0035] TLS_RSA_WITH_AES_256_CBC_SHA

Compression: 
[00] NO_COMPRESSION

uj5u.com熱心網友回復：

自己寫一般不能通過安全認證，比如過不來FIPS。

一般來說，C#可以控制TLS協商版本；作業系統（+系統安全更新）可以調整可用的Cipher套件。
Windows下你可以通過PowerShell來進行一定的控制，比如:
Get-TlsCipherSuite
Disable-TlsCipherSuite
...
詳見https://docs.microsoft.com/en-us/powershell/module/tls/?view=win10-ps

要自己寫也有可能，HTTPS無非就是建立在NetworkStream上的TLS通道，執行HTTP協議。
你可以通過研究學習BouncyCastle代碼，來自己實作（要有足夠心理準備）。

uj5u.com熱心網友回復：

有沒有明確的方法或者第三方類別庫呢?

uj5u.com熱心網友回復：

頂起來,不一定要c#實作,C++也行,求方法!

uj5u.com熱心網友回復：

c#修改tls版本：
ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;

windows修改密碼套件：
https://www.cnblogs.com/luck666/p/10307345.html
Windows各個版本支持的密碼套件：
https://docs.microsoft.com/zh-cn/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1903

是否有幫助呢

uj5u.com熱心網友回復：

參考 4 樓 程式員的鍵盤 的回復：

c#修改tls版本：
ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;

windows修改密碼套件：
https://www.cnblogs.com/luck666/p/10307345.html
Windows各個版本支持的密碼套件：
https://docs.microsoft.com/zh-cn/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1903

是否有幫助呢

主要是要修改擴展資訊，如何修改呢?

uj5u.com熱心網友回復：

新手上路，進來逛逛。很多不錯的東西可以學習……。

uj5u.com熱心網友回復：

頂頂，學習學習學習學習

uj5u.com熱心網友回復：

very good

uj5u.com熱心網友回復：

頂起，讓更多的人看到

轉載請註明出處，本文鏈接：https://www.uj5u.com/net/17949.html

標籤：C#

上一篇：一個C#計算重復度的例子 求助 有點類似于海量資料

下一篇：關于vs 控制元件的事件消除