关于ACG1000系列设备F6608版本HTTPS解密过程分析

关于ACG1000系列设备F6608版本HTTPS解密过程分析

一、组网规划

ACG做透明模式部署

此案例假定您已经了解ACG HTTPS解密配置。

二、解密流程：

三、Wireshark报文分析

1、客户端向服务器提供下列信息：

ACG在审计到客户端发出的client hello包后，立即仿制一个发向服务器。

服务器向ACG回包。

抓包看是服务器向客户端回包，实际上这个包已经被ACG篡改。

对比两份数据包完全不同。

在接下来的证书下发环节可见一斑

ACG拿到的客户端证书是百度下发的（证书主题：赛门铁克）

而客户端拿到的证书是由ACG下发的（证书主题：liujiawei）

在服务器回应客户端时，发现服务器采用短暂RSA。

而在ACG发给客户时却使用常规RSA，说明访问数据其实是分成两段的，一段是ACG与服务器，另一段是ACG到客户端。下面密钥交互部分暂时省略。

四、测试结果：

客户端打开网页使用的证书