为什么我抓不到baidu的数据包?( 三 ) _数据包

pre_master_key（虽然被服务器公钥加密过，但服务器有私钥，能解密获得原文），集齐三个随机数，跟客户端一样，用这三个随机数通过同样的算法获得一个"会话秘钥" 。此时服务器告诉客户端，后面会用这个"会话秘钥"进行加密通信。

• Encrypted Handshake Message：跟客户端的操作一样，将迄今为止的通信数据内容生成一个摘要，用"会话秘钥"加密一下，发给客户端做校验，到这里，服务端的握手流程也结束了，因此这也叫Finished报文。

四次握手中，客户端和服务端最后都拥有三个随机数，他们很关键，我特地加粗了表示。
第一次握手，产生的客户端随机数，叫client random 。
第二次握手时，服务器也会产生一个服务器随机数，叫server random 。
第三次握手时，客户端还会产生一个随机数，叫pre_master_key 。
这三个随机数共同构成最终的对称加密秘钥，也就是上面提到的"会话秘钥" 。

文章插图
三个随机数生成对称秘钥
你可以简单的认为，只要知道这三个随机数，你就能破解HTTPS通信。
而这三个随机数中，client random 和 server random 都是明文的，谁都能知道。而pre_master_key却不行，它被服务器的公钥加密过，只有客户端自己，和拥有对应服务器私钥的人能知道。
所以问题就变成了，怎么才能得到这个pre_master_key？
怎么得到pre_master_key
服务器私钥不是谁都能拿到的，所以问题就变成了，有没有办法从客户端那拿到这个pre_master_key 。
有的。
客户端在使用HTTPS与服务端进行数据传输时，是需要先基于TCP建立HTTP连接，然后再调用客户端侧的TLS库（OpenSSL、NSS）。触发TLS四次握手。
这时候如果加入环境变量SSLKEYLOGFILE就可以干预TLS库的行为，让它输出一份含有pre_master_key的文件。这个文件就是我们上面提到的/Users/xiaobaidebug/ssl.key 。

文章插图
将环境变量注入到curl和chrome中
但是，虽然TLS库支持导出key文件。但前提也是，上层的应用程序在调用TLS库的时候，支持通过SSLKEYLOGFILE环境触发TLS库导出文件。实际上，也并不是所有应用程序都支持将SSLKEYLOGFILE 。只是目前常见的curl和chrome浏览器都是支持的。
SSLKEYLOGFILE文件内容
再回过头来看ssl.key文件里的内容。

# SSL/TLS secrets log file, generated by NSS

CLIENT_RANDOM 5709aef8ba36a8eeac72bd6f970a74f7533172c52be41b200ca9b91354bd662b 09d156a5e6c0d246549f6265e73bda72f0d6ee81032eaaa0bac9bea362090800174e0effc93b93c2ffa50cd8a715b0f0

CLIENT_RANDOM 57d269386549a4cec7f91158d85ca1376a060ef5a6c2ace04658fe88aec48776 48c16429d362bea157719da5641e2f3f13b0b3fee2695ef2b7cdc71c61958d22414e599c676ca96bbdb30eca49eb488a

CLIENT_RANDOM 5fca0f2835cbb5e248d7b3e75180b2b3aff000929e33e5bacf5f5a4bff63bbe5 424e1fcfff35e76d5bf88f21d6c361ee7a9d32cb8f2c60649135fd9b66d569d8c4add6c9d521e148c63977b7a95e8fe8

CLIENT_RANDOM be610cb1053e6f3a01aa3b88bc9e8c77a708ae4b0f953b2063ca5f925d673140 c26e3cf83513a830af3d3401241e1bc4fdda187f98ad5ef9e14cae71b0ddec85812a81d793d6ec934b9dcdefa84bdcf3

这里有三列。
第一列是CLIENT_RANDOM，意思是接下来的第二列就是客户端随机数，再接下来的第三列则是pre_master_key 。
但是问题又来了。
这么多行，wireshark怎么知道用哪行的pre_master_key呢？
wireshark是可以获得数据报文上的client random的。
比如下图这样。