HTTPS-proxy-tunneling mit dem ssl-Modul

Möchte ich manuell (über die Buchse und ssl Module) eine HTTPS Anfrage über einen proxy, welcher selbst verwendet HTTPS.

Ich kann die ersten CONNECT exchange gut:

import ssl, socket

PROXY_ADDR = ("proxy-addr", 443)
CONNECT = "CONNECT example.com:443 HTTP/1.1\r\n\r\n"

sock = socket.create_connection(PROXY_ADDR)
sock = ssl.wrap_socket(sock)
sock.sendall(CONNECT)
s = ""
while s[-4:] != "\r\n\r\n":
    s += sock.recv(1)
print repr(s)

Der obige code druckt HTTP/1.1 200 Connection established plus einige Header, die ist, was ich erwarte. So, jetzt sollte ich bereit sein, die Anfrage zu machen, z.B.

sock.sendall("GET /HTTP/1.1\r\n\r\n")

aber der obige code gibt

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
Reason: You're speaking plain HTTP to an SSL-enabled server port.<br />
Instead use the HTTPS scheme to access this URL, please.<br />
</body></html>

Dies macht Sinn, auch, da ich noch tun müssen, um einen SSL-handshake mit dem example.com server auf den ich bin tunneling. Jedoch, wenn anstatt sofort senden die GET Anfrage ich sagen

sock = ssl.wrap_socket(sock)

zu tun, den Handschlag mit dem remote-server, dann bekomme ich eine exception:

Traceback (most recent call last):
  File "so_test.py", line 18, in <module>
    ssl.wrap_socket(sock)
  File "/usr/lib/python2.6/ssl.py", line 350, in wrap_socket
    suppress_ragged_eofs=suppress_ragged_eofs)
  File "/usr/lib/python2.6/ssl.py", line 118, in __init__
    self.do_handshake()
  File "/usr/lib/python2.6/ssl.py", line 293, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLError: [Errno 1] _ssl.c:480: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol

So, wie kann ich den SSL-handshake mit dem remote - example.com server?

EDIT: ich bin mir ziemlich sicher, dass keine weiteren Daten verfügbar sind, bevor meine zweite Aufruf wrap_socket da ruft sock.recv(1) Blöcke auf unbestimmte Zeit.

meine grobe Vermutung ist, dass ssl.wrap_socket kümmert sich um socket-Verbindung Stand. in der Regel würden Sie socket erzeugen, dann wickeln Sie es, dann verbinden. Hier legen Sie die Buchse, verbinden, dann wickeln. vielleicht ssl ist nur verwirrt von bereits verbundenen zugrunde liegenden socket-Zustand. github.com/kennethreitz/requests/blob/...
hey, haben Sie noch Glück? Ich komme bei dem gleichen problem, aber auch nichts gefunden...

InformationsquelleAutor Eli Courtwright | 2010-12-08

7

Dieser sollte funktionieren, wenn der CONNECT-string wird wie folgt neu gefasst:
```
CONNECT = "CONNECT %s:%s HTTP/1.0\r\nConnection: close\r\n\r\n" % (server, port)
```
Nicht sicher, warum dies funktioniert, aber vielleicht hat es etwas zu tun mit dem proxy bin ich mit. Hier ein Beispiel-code:
```
from OpenSSL import SSL
import socket

def verify_cb(conn, cert, errun, depth, ok):
        return True

server = 'mail.google.com'
port = 443
PROXY_ADDR = ("proxy.example.com", 3128)
CONNECT = "CONNECT %s:%s HTTP/1.0\r\nConnection: close\r\n\r\n" % (server, port)

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(PROXY_ADDR)
s.send(CONNECT)
print s.recv(4096)      

ctx = SSL.Context(SSL.SSLv23_METHOD)
ctx.set_verify(SSL.VERIFY_PEER, verify_cb)
ss = SSL.Connection(ctx, s)

ss.set_connect_state()
ss.do_handshake()
cert = ss.get_peer_certificate()
print cert.get_subject()
ss.shutdown()
ss.close()
```
Hinweis, wie der sockel wird zuerst geöffnet und dann offen-Buchse platziert im SSL-Kontext. Dann habe ich manuell initialisieren der SSL-handshake. Und Ausgabe:

HTTP/1.1 200 Connection established

<X509Name Objekt '/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com'>

Es basiert auf pyOpenSSL, weil ich brauchte, zu Holen ungültige Zertifikate zu und Python integrierten ssl-Modul wird immer versuchen, um das Zertifikat zu überprüfen, wenn es empfangen.
- Macht diese Arbeit für Sie, auch wenn Sie die Verbindung zu einem HTTPS-proxy? In deinem Beispiel, mit dem Sie sich verbinden, um einen regulären proxy, der funktioniert auch für mich. Es ist, wenn ich brauche, um Doppel-wickeln Sie die Steckdose, dass es fehlschlägt.
- Gute Antwort, aber warum ist es nicht möglich ssl.wrap_socket?
- Diese funktioniert nicht so gut für den Fall der HTTPS-over-HTTPS und die Ergebnisse in die gleichen Fehler
- Ich bekomme Error: [('SSL routines', 'SSL23_GET_SERVER_HELLO', 'unknown protocol')] und keine Binär-Müll in ssl-Tiefe-1 Ausgang. Ich vermute, dass anstelle von Geschenkpapier Daten in SSL zweimal, OpenSSL verwendet das zugrunde liegende socket/fd und nur wraps Daten einmal.
- Sie sind nicht mit einem HTTPS-proxy-ich denke, es ist nur eine HTTPS-in HTTP-proxy-Beispiel
InformationsquelleAutor kravietz
5

Ausgehend von der API von OpenSSL und GnuTLS-Bibliothek, stapeln ein SSLSocket auf einen SSLSocket ist tatsächlich nicht unkompliziert möglich, da Sie spezielle lese - /schreib-Funktionen, die zum implementieren der Verschlüsselung, die Sie nicht verwenden, selbst wenn die Verpackung einer bereits bestehenden SSLSocket.

Der Fehler wird daher verursacht durch die innere SSLSocket direkt Lesen aus dem system-sockel und nicht von der äußeren SSLSocket. Dieser endet mit der übermittlung von Daten, die nicht Eigentum der äußeren SSL-session, die enden schlecht und sicher nie wieder eine gültige ServerHello.

Abschluss von diesem, ich würde sagen, es gibt keinen einfachen Weg das umzusetzen, was Sie (und eigentlich auch mich) möchte erreichen.
- Klingt wie eine einleuchtende Erklärung NPI. Vielleicht weißt du ja eine alternative?
- Leider nicht, wenn Sie eine Idee haben, ich bin ganz Ohr
- Ich habe irgendwo looping-Daten zurück durch socket.socketpair 😉
- so Lesen Sie es aus der SSLSocket, schreiben Sie es in die socketpair und Lesen Sie dann erneut aus der zweiten SSLSocket am anderen Ende der socketpair?!
- Yep, das ist im Grunde es. Inzwischen habe ich entdeckt, dass twisted - Paket wird für SSL-Unterstützung-in-SSL über benutzerdefinierte BIO in seiner SSL/TLS-Modul, aber das ist eine Menge von Abhängigkeiten.
InformationsquelleAutor 02strich
1

Es klingt nicht so, es gibt nichts falsch mit dem, was Sie tun, es ist sicherlich möglich, rufen Sie wrap_socket() auf eine vorhandene SSLSocket.

'Unknown protocol' Fehler auftreten können (unter anderem), ob es zusätzliche Daten darauf warten, gelesen zu werden auf die sockel an der Stelle, die Sie anrufen wrap_socket() zum Beispiel eine zusätzliche \r\n oder eine HTTP-Fehlermeldung (wegen eines fehlenden cert auf dem server, zum Beispiel). Sind Sie sicher, Sie haben alles gelesen, was verfügbar ist an diesem Punkt?

Wenn Sie können erzwingen, dass der erste SSL-Kanal zu verwenden, ein "einfacher" RSA-Verschlüsselung (D. H. nicht-Diffie-Hellman), dann Sie können möglicherweise verwenden Sie Wireshark, um zu entschlüsseln, den stream, um zu sehen, was Los ist.
- Ich bin mir ziemlich sicher, dass es nichts zur Verfügung, die auf den sockel, weil, wenn ich rufe sock.recv(1) dann ist es blockiert auf unbestimmte Zeit. Aber danke für die Bestätigung, dass ich Doppel-wrap-a-Buchse. Ich kann nicht ändern, der server SSL-Einstellungen, aber ich Schätze die Wireshark-Vorschlag - bitte lassen Sie mich wissen, wenn Sie irgendwelche anderen Ideen.
- Tun, was SimonJ sagt. 1) SSL-sockets funktionieren anders als gewöhnliche Steckdosen. Auch wenn es raw erhielt SSL-Daten keine, es wird zurückgegeben, bis eine vollständige und gültige SSL-Datensatz empfangen wird. 2) Sie brauchen nicht, etwas zu ändern auf dem server zu erzwingen, RSA, ändern Sie einfach die client-ciphersuites auszuschließen, dass die Verwendung diffie-hellman. Natürlich werden Sie auch brauchen, um die server des privaten Schlüssels zu entschlüsseln, also, wenn Sie nicht bekommen kann, dass dann alles, was Sie sehen können, ist cipher. Wireshark bietet Ihnen ground truth: probieren Sie es aus.
- Kann der client eine direkte Verbindung zu dem server mithilfe von SSL? Kann es sein das deine Netzwerk-Topologie nicht zulassen, aber es wäre gut, um zu bestätigen, es gibt nicht einige-Protokoll-Ebene-mismatch (SSL-version oder cipher-suite-Inkompatibilität), die verhindern möchten, dass die Endpunkte der Kommunikation.
InformationsquelleAutor SimonJ

Endlich hab ich irgendwo Erweiterung auf @kravietz und @02strich Antworten.

Hier ist der code

import threading
import select
import socket
import ssl

server = 'mail.google.com'
port = 443
PROXY = ("localhost", 4433)
CONNECT = "CONNECT %s:%s HTTP/1.0\r\nConnection: close\r\n\r\n" % (server, port)


class ForwardedSocket(threading.Thread):
    def __init__(self, s, **kwargs):
        threading.Thread.__init__(self)
        self.dest = s
        self.oursraw, self.theirsraw = socket.socketpair(socket.AF_UNIX, socket.SOCK_STREAM)
        self.theirs = socket.socket(_sock=self.theirsraw)
        self.start()
        self.ours = ssl.wrap_socket(socket.socket(_sock=self.oursraw), **kwargs)

    def run(self):
        rl, wl, xl = select.select([self.dest, self.theirs], [], [], 1)
        print rl, wl, xl
        # FIXME write may block
        if self.theirs in rl:
            self.dest.send(self.theirs.recv(4096))
        if self.dest in rl:
            self.theirs.send(self.dest.recv(4096))

    def recv(self, *args):
        return self.ours.recv(*args)

    def send(self, *args):
        return self.outs.recv(*args)


def test():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect(PROXY)
    s = ssl.wrap_socket(s, ciphers="ALL:aNULL:eNULL")
    s.send(CONNECT)
    resp = s.read(4096)
    print (resp, )

    fs = ForwardedSocket(s, ciphers="ALL:aNULL:eNULL")
    fs.send("foobar")

Nicht Verstand benutzerdefinierte cihpers=, dass nur, weil ich nicht wollte, Umgang mit Zertifikaten.

Und es gibt Tiefe-1 ssl-Ausgabe, zeigt CONNECT, meine Antwort darauf ssagd und Tiefe-2 ssl-Aushandlung und Binär-Müll:

[dima@bmg ~]$ openssl s_server  -nocert -cipher "ALL:aNULL:eNULL"
Using default temp DH parameters
Using default temp ECDH parameters
ACCEPT
-----BEGIN SSL SESSION PARAMETERS-----
MHUCAQECAgMDBALAGQQgmn6XfJt8ru+edj6BXljltJf43Sz6AmacYM/dSmrhgl4E
MOztEauhPoixCwS84DL29MD/OxuxuvG5tnkN59ikoqtfrnCKsk8Y9JtUU9zuaDFV
ZaEGAgRSnJ81ogQCAgEspAYEBAEAAAA=
-----END SSL SESSION PARAMETERS-----
Shared ciphers: [snipped]
CIPHER is AECDH-AES256-SHA
Secure Renegotiation IS supported
CONNECT mail.google.com:443 HTTP/1.0
Connection: close

sagq
�u\�0�,�(�$��
�"�!��kj98���� �m:��2�.�*�&���=5�����
��/�+�'�#��     ����g@32��ED���l4�F�1�-�)�%���</�A������
                                                        ��      ������
                                                                      �;��A��q�J&O��y�l

InformationsquelleAutor Dima Tisnek

Gebäude auf @kravietz Antwort. Hier ist eine version, die funktioniert in Python ist3 durch einen Squid-proxy:

from OpenSSL import SSL
import socket

def verify_cb(conn, cert, errun, depth, ok):
        return True

server = 'mail.google.com'
port = 443
PROXY_ADDR = ("<proxy_server>", 3128)
CONNECT = "CONNECT %s:%s HTTP/1.0\r\nConnection: close\r\n\r\n" % (server, port)

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(PROXY_ADDR)
s.send(str.encode(CONNECT))
s.recv(4096)

ctx = SSL.Context(SSL.SSLv23_METHOD)
ctx.set_verify(SSL.VERIFY_PEER, verify_cb)
ss = SSL.Connection(ctx, s)

ss.set_connect_state()
ss.do_handshake()
cert = ss.get_peer_certificate()
print(cert.get_subject())
ss.shutdown()
ss.close()

Funktioniert dies in Python 2.

InformationsquelleAutor Timothy C. Quinn

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.