WebTransport (HTTP/3 基于 QUIC) 流量分析：如何解密 QUIC 连接并分析其上的 WebTransport 协议数据？

各位观众老爷，大家好！我是今天的主讲人，咱们今天聊点刺激的，聊聊如何扒掉 WebTransport 的“底裤”，看看它到底在干些啥！当然，这里说的“底裤”指的是 QUIC 连接加密，我们要做的是合法合规的流量分析。

WebTransport 可是个好东西，它基于 HTTP/3 和 QUIC，能提供低延迟、可靠、双向的通信通道，特别适合实时应用。但就像所有网络协议一样，我们需要理解它的工作方式，才能更好地开发、调试和安全审计。

QUIC：WebTransport 的坚实后盾

首先，得说说 QUIC。QUIC 可以看作是 TCP + TLS + HTTP/2 的合体加强版，解决了 TCP 的队头阻塞、握手延迟等问题。它使用 UDP 作为传输层协议，内置了加密和拥塞控制机制。

解密 QUIC 连接：拿到钥匙是关键

QUIC 协议默认是加密的，所以直接抓包看到的都是加密数据，没法直接分析 WebTransport 的内容。要解密 QUIC 连接，我们需要拿到会话密钥。通常有两种方法：

1. 预共享密钥 (Pre-Shared Key, PSK)： 如果 WebTransport 应用使用了预共享密钥，那么我们可以直接使用这个密钥来解密流量。这种方式通常用于测试环境。

2. TLS 会话密钥导出： 更常见的情况是，WebTransport 使用 TLS 协商会话密钥。我们可以通过设置环境变量 SSLKEYLOGFILE 来让浏览器或客户端将 TLS 会话密钥导出到文件中。

   • 浏览器： 多数主流浏览器都支持 SSLKEYLOGFILE 环境变量。设置方法如下：

     • Linux/macOS:

       export SSLKEYLOGFILE=~/sslkeylog.log

     • Windows:

       $env:SSLKEYLOGFILE="C:sslkeylog.log"

   • Go (示例): 如果你的 WebTransport 客户端是用 Go 写的，可以使用 crypto/tls 包的 KeyLogWriter 选项：

     package main
     
     import (
         "crypto/tls"
         "log"
         "net/http"
         "os"
     )
     
     func main() {
         keyLogFile, err := os.OpenFile("keylog.txt", os.O_WRONLY|os.O_CREATE|os.O_TRUNC, 0600)
         if err != nil {
             log.Fatalf("Failed to open keylog file: %v", err)
         }
         defer keyLogFile.Close()
     
         tlsConfig := &tls.Config{
             KeyLogWriter: keyLogFile,
         }
     
         client := &http.Client{
             Transport: &http.Transport{
                 TLSClientConfig: tlsConfig,
                 // other transport configurations
             },
         }
     
         resp, err := client.Get("https://example.com") // Replace with your WebTransport server
         if err != nil {
             log.Fatalf("Failed to get: %v", err)
         }
         defer resp.Body.Close()
     
         log.Println("Successfully retrieved from the server")
     }

     在这个例子中，keylog.txt 文件将会包含 TLS 会话密钥。

   • 其他语言： 大多数支持 TLS 的编程语言都有类似的方法来导出 TLS 会话密钥。查阅相关文档即可。

使用 Wireshark 解密 QUIC 流量

有了 TLS 会话密钥文件，我们就可以用 Wireshark 来解密 QUIC 流量了。

1. 打开 Wireshark，捕获 QUIC 流量。 可以使用过滤器 quic 来只显示 QUIC 数据包。
2. 在 Wireshark 中配置 TLS 会话密钥文件。 依次点击 "Edit" -> "Preferences" -> "Protocols" -> "TLS"。在 "(Pre)-Master-Secret log filename" 字段中，填入你保存 TLS 会话密钥文件的路径。
3. 重启 Wireshark，或者重新开始捕获流量。 Wireshark 会自动使用密钥文件解密 QUIC 数据包。

WebTransport 协议分析：深入数据内部

解密 QUIC 流量后，我们就可以开始分析 WebTransport 协议了。WebTransport 建立在 HTTP/3 之上，使用 HTTP/3 的多路复用特性来创建多个双向流和单向流。

WebTransport 协议帧类型

WebTransport 使用多种帧类型来控制连接和传输数据。以下是一些常见的帧类型：

帧类型	描述
WEBTRANSPORT_STREAM (0x00 – 0x07)	用于在双向流或单向流中传输数据。
WEBTRANSPORT_ACCEPT_SESSION	服务器用来接受客户端发起的 WebTransport 会话。
WEBTRANSPORT_REJECT_SESSION	服务器用来拒绝客户端发起的 WebTransport 会话。
WEBTRANSPORT_STOP_SENDING	用于停止发送数据。
WEBTRANSPORT_RESET_STREAM	用于重置流。
WEBTRANSPORT_GOAWAY	用于通知对端即将关闭连接。
WEBTRANSPORT_MAX_SESSIONS	用于限制对端可以创建的会话数量。

使用 Wireshark 分析 WebTransport 帧

Wireshark 会自动解析一些 WebTransport 帧，但对于一些自定义帧或者协议特定的数据，我们可能需要手动分析。

1. 过滤 WebTransport 流量。 可以使用过滤器 http3 和 wt（如果 Wireshark 支持 WebTransport 协议解析）来显示 HTTP/3 和 WebTransport 数据包。
2. 查看 HTTP/3 数据包的内容。 在 Wireshark 中，展开 HTTP/3 数据包，可以看到其中的帧类型和数据。
3. 分析 WebTransport 帧。 根据 WebTransport 协议规范，解析帧类型和数据。

代码示例：解析 WebTransport 帧

虽然 Wireshark 可以帮助我们分析 WebTransport 流量，但有时我们需要编写代码来自动化分析过程。以下是一个简单的 Python 示例，用于解析 WebTransport 帧：

import struct

def parse_webtransport_frame(data):
    """
    解析 WebTransport 帧。

    Args:
        data: WebTransport 帧数据。

    Returns:
        一个包含帧类型和数据的字典。
    """

    frame_type = data[0]  # 帧类型的定义可能会根据具体实现而变化，这里只是一个示例
    frame_data = data[1:]

    frame_type_names = {
        0x00: "WEBTRANSPORT_STREAM (bidirectional)",
        0x01: "WEBTRANSPORT_STREAM (unidirectional)",
        0x02: "WEBTRANSPORT_ACCEPT_SESSION",
        0x03: "WEBTRANSPORT_REJECT_SESSION",
        0x04: "WEBTRANSPORT_STOP_SENDING",
        0x05: "WEBTRANSPORT_RESET_STREAM",
        0x06: "WEBTRANSPORT_GOAWAY",
        0x07: "WEBTRANSPORT_MAX_SESSIONS",
        # Add more frame types as needed
    }

    frame_name = frame_type_names.get(frame_type, "UNKNOWN_FRAME")

    return {
        "type": frame_type,
        "name": frame_name,
        "data": frame_data,
    }

# 示例用法
# 假设我们从 QUIC 数据包中提取了 WebTransport 帧数据
frame_data = b"x00Hello, WebTransport!"
parsed_frame = parse_webtransport_frame(frame_data)

print(f"Frame Type: 0x{parsed_frame['type']:02X} ({parsed_frame['name']})")
print(f"Frame Data: {parsed_frame['data'].decode()}")

这个示例代码只是一个简单的框架，你需要根据具体的 WebTransport 应用和协议规范来扩展它。例如，你需要添加对不同帧类型的解析逻辑，以及处理变长整数 (Variable-Length Integer) 等数据类型。

更进一步：使用 tshark 自动化分析

Wireshark 自带的命令行工具 tshark 可以帮助我们自动化流量分析过程。我们可以使用 tshark 捕获流量，并使用 Lua 脚本来解析 WebTransport 帧。

1. 编写 Lua 脚本。 以下是一个简单的 Lua 脚本，用于解析 WebTransport 帧：

   local wt_proto = Proto("webtransport", "WebTransport Protocol")
   
   local frame_type_field = ProtoField.uint8("webtransport.frame_type", "Frame Type")
   local frame_data_field = ProtoField.bytes("webtransport.frame_data", "Frame Data")
   
   wt_proto.fields = {frame_type_field, frame_data_field}
   
   function wt_proto.dissector(buf, pkt, root)
       local wt_tree = root:add_proto(wt_proto, buf())
   
       local frame_type = buf:get(0, 1):uint()
       wt_tree:add_le(frame_type_field, buf:range(0, 1), frame_type)
   
       local frame_data = buf:range(1):bytes()
       wt_tree:add_le(frame_data_field, buf:range(1), frame_data)
   end
   
   DissectorTable.get("http3.stream"):add(0x42424242, wt_proto) -- Replace with your WebTransport stream type ID

   在这个 Lua 脚本中，我们定义了一个名为 webtransport 的协议，并定义了帧类型和帧数据两个字段。然后，我们将这个协议注册到 http3.stream 解剖器表中，以便 Wireshark 可以使用它来解析 WebTransport 流量。 0x42424242 只是一个占位符，你需要替换成实际的 WebTransport stream type ID。 这个 ID 通常是应用程序自定义的，用于标识 HTTP/3 流中承载的是 WebTransport 数据。

2. 使用 tshark 捕获流量并解析 WebTransport 帧。

   tshark -i eth0 -Y "http3" -T fields -e http3.stream -X lua_script:webtransport.lua

   在这个命令中，-i eth0 指定捕获网络接口，-Y "http3" 指定过滤 HTTP/3 流量，-T fields 指定输出字段，-e http3.stream 指定输出 HTTP/3 stream ID，-X lua_script:webtransport.lua 指定使用 Lua 脚本 webtransport.lua 来解析流量。

3. 分析 tshark 的输出。 tshark 会输出 HTTP/3 stream ID 和 WebTransport 帧的类型和数据。你可以使用脚本或工具来进一步分析这些数据。

真实案例：WebTransport 在游戏中的应用

假设一个在线游戏使用 WebTransport 来传输游戏数据。我们可以使用上述方法来分析游戏流量，了解游戏数据的结构和传输方式。

1. 捕获游戏流量。 使用 Wireshark 或 tcpdump 捕获游戏客户端和服务器之间的流量。
2. 解密 QUIC 连接。 使用 SSLKEYLOGFILE 环境变量导出 TLS 会话密钥，并在 Wireshark 中配置密钥文件。
3. 过滤 WebTransport 流量。 使用 Wireshark 过滤器 http3 和 wt 来显示 WebTransport 数据包。
4. 分析游戏数据。 分析 WebTransport 帧中的数据，了解游戏数据的结构和传输方式。例如，我们可以分析游戏角色的位置、动作、状态等信息。

安全注意事项

在分析 WebTransport 流量时，请务必遵守以下安全注意事项：

• 合法合规： 确保你的流量分析行为符合法律法规和道德规范。不要未经授权地分析他人的流量。
• 保护隐私： 避免泄露敏感信息，例如用户密码、信用卡信息等。
• 小心恶意代码： 在分析流量时，要小心恶意代码的注入。不要执行来路不明的代码。
• 仅用于学习和研究： 本文提供的技术仅用于学习和研究目的。不要将其用于非法用途。

总结

WebTransport 是一种很有前景的网络协议，它为实时应用提供了更好的性能和可靠性。通过解密 QUIC 连接和分析 WebTransport 协议，我们可以更好地理解它的工作方式，并开发出更强大的应用。希望今天的讲座能帮助大家更好地理解 WebTransport 流量分析。

记住，技术是把双刃剑，合理利用才能造福社会！ 祝大家玩得开心，学得愉快！ 下次再见！