加密流量分析

Author: rowen Date: June 9, 2026 10:10:00 Category: 面试知识点

加密流量分析

面试官想考什么

是否理解 Wireshark 的作用。
是否区分网络层加密和应用层加密。
是否知道 HTTPS 不是随便能解密。

先区分三类情况

1. 普通流量包分析

看：

源 IP / 目的 IP。
端口。
协议。
DNS。
HTTP 请求。
TCP 流。
异常连接。

2. HTTPS/TLS 加密流量

不能直接看明文。

可能解密条件：

有浏览器导出的 TLS key log。
有服务端私钥且满足特定握手条件。
在代理抓包时安装了证书。

3. 应用层参数加密

比如请求里有：

sign
token
data
encrypt

需要结合 JS 逆向或客户端逻辑分析。

面试标准回答

如果遇到加密流量，我会先区分是网络层 TLS 加密，还是应用层参数加密。

如果是流量包分析，我会先用 Wireshark 看源目 IP、端口、协议、DNS、HTTP 请求和 TCP 流。如果是 HTTPS，没有密钥日志或证书条件，一般不能直接解密明文。

如果是应用层参数加密，比如 sign、token、data 这类字段，我会结合抓包和前端 JS 逆向，定位加密函数、密钥来源、时间戳和随机数逻辑，再尝试复现解密或签名过程。

Author: rowen

Permalink: https://forkmmat.github.io/2026/06/09/10-%E5%8A%A0%E5%AF%86%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90/

License: Copyright (c) 2019 CC-BY-NC-4.0 LICENSE

Slogan: Do you believe in DESTINY?

Tag(s): # 流量分析 # 面试 # 安全服务

back · home