点击上方↑↑↑蓝字[协议分析与还原]关注我们

“ 解析websocket数据格式。”

好久不见，一晃一年又过去了，祝大家新年好运。

今天，给大家分析一个常见的协议——WebSocket，这是一个标准协议，虽然没有HTTP历史悠久，但具备一些优势，发展很快，应用也很广泛，特别是一些需要长连接传输数据的应用，典型的例如部分需要保持长连接进行数据交互的游戏类应用。

WebSocket是建立在TCP基础上的全双工协议，它与HTTP协议不同，但兼容HTTP协议，标准的WebSocket使用HTTP相关的80和443端口，并支持HTTP代理，它在握手过程中使用HTTP Upgrade头来将HTTP协议更改为WebSocket协议，它的长连接，使得客户端和服务器的数据实时交互变得更简单。Websocket的统一资源标志符是ws或wss，而不是HTTP或HTTPS，其中，ws对应http，wss对应https。大部分浏览器都支持WebSocket协议，很多移动端的APP也使用WebSocket协议。和http协议相同，它使用的端口也可以是任意自定义的端口。

一个典型的未加密WebSocket握手过程如下：

GET / HTTP/1.1
Pragma: no-cache
Cache-Control: no-cache
Host: 8.134.56.122
Origin: http://8.134.56.122:16011
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: cH4PdZBVe+oVAiPsRNF5QQ==
Sec-WebSocket-Version: 13HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: vnK7LjHZedFwyA8p86q9K5zVEA4=

与HTTP协议没啥区别。

看一个wireshark里的WebSocket：

在头之后，就是WebSocket协议数据了。

协议格式定义在rfc6455等相关标准中，每块数据的格式如下：

它由块头部和块内容两个部分组成，块头是变长的，上图中从FIN开始到Payload Data之前，块内容为后面的所有PayloadData。

块头的详细说明可以去参考相关RFC文档，这里着重描述几个重点。

第一个是块头的变长，块头的最小长度为2，即从包标记FIN开始到块长Payload len。

如果Mask位为1，则存在Masking-key，占4字节。

块长Payload len在块头的前两字节中只占7位，最大只能表示127，很多情况下，传输的数据会超过127，因此，采用一个特殊的表示法。当这7位的值为小于126时，表示块内容长度为当前值，如果这7位的值为126时，表示紧跟的2字节为块内容长度，这容得下65535字节，如果这7位的值为127时，表示紧跟的8字节为块内容长度，这样很大地扩展了数据的表示空间，当然，块头的长度就达到了最长的14字节。

下一个重点是Mask位，会导致数据块内容的加密。

mask算法就是异或，masking-key为4字节，这4字节与Payload data每四位进行循环异或，进行简单的加密，这样，在数据流层面，一般人就没法看到数据了。

一个完整的使用了Mask的WebSocket数据如下所示：

根据解析可以知道，它的Masking-key为0x758f5546，内容为：0x748f550d0ead263f06ad6f3d57fb2c3610ad6f641ffc783110ed262916e4303257a3773010fd262f1ae1777c57bf7b765bbe776a57fd262757b52e3b59ad25341afb3a1010fd262f1ae1777c45f228

使用异或很容易得到原始数据：

至于Fin和opcode，则为分包和操作码，具体查RFC啦。

至于应用了tls加密的wss，则使用中间人抓包工具进行内容的分析即可。

别忘点“在看”、“赞”和“分享”

新的规则，及时收推文要先给公号星标

别忘了星标一下，不然就错过了

长按进行关注，时刻进行交流。