2024-07-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
Prise WebTrafic chiffré du tunnel proxy du protocoleIntroduction
Dans les scénarios d'attaque et de défense, le protocole Websocket est souvent utilisé pour créer des tunnels proxy. Les attaquants tentent d'utiliser le protocole Websocket pour contourner les restrictions du réseau et créer un tunnel de transmission de données bidirectionnel en temps réel à faible latence.Actuellement, les principaux outils prenant en charge les agents de communication Websocket incluent : FRP, wsp, wstunnel, TurboTunnel, etc.
Prenons l'exemple de l'outil wstunnel. Lorsque wstunnel utilise le protocole Websocket pour créer un tunnel pour proxyer le trafic lié, le client utilise le mécanisme de mise à niveau HTTP pour terminer la phase de prise de contact du protocole. Une fois la négociation terminée, le client et le serveur utilisent le format de données du protocole Websocket pour la communication en duplex intégral. Le serveur et le client peuvent envoyer activement des messages sans attendre que l'autre partie envoie d'abord des messages. Wstunnel peut ainsi créer un tunnel Websocket hautes performances et à faible latence.
Prise Web Une fois la négociation terminée, les données sont transmises par unités de trames de données. Le trafic du tunnel Websocket de wstunnel est illustré dans la figure ci-dessous :
Il existe un indicateur dans le protocole Websocket : Mask, qui permet d'indiquer si le chiffrement par masque est activé sur les données. Lorsque ce bit est à 1, cela indique que le cryptage par masque est utilisé et que les 4 derniers octets de la longueur de la charge utile constituent la clé de déchiffrement. Le cryptage du masque dans Websocket utilise un OU exclusif (xor) pour un cryptage simple. Lorsque le bit correspondant du champ MASK est défini sur 1, cela signifie qu'une clé de masquage de 4 octets sera définie ultérieurement lorsque le bit du masque est défini. à 0, cela signifie non. Si elle est chiffrée, la clé de masquage ne sera pas transportée. La norme actuelle Websocket stipule que le client doit utiliser le cryptage par masque pour envoyer des données, tandis que le serveur n'utilise pas le cryptage par masque pour envoyer des données.
L'image ci-dessous montre le trafic d'un autre outil wsp après avoir activé le cryptage MASK :
De plus, Websocket prend en charge les attributs WSS, à savoir Websocket Secure, qui sont transmis sous la forme de « wss:// ». Cette communication encapsule les données Websocket via le protocole de cryptage TLS, de sorte que les données vues sur la couche la plus externe soient la communication du protocole TLS et que les données transmises soient davantage masquées, comme le montre la figure :
En plus de wstunnel et wsp, il existe d'autres outils qui prennent également en charge le tunneling Websocket :
Les quatre outils ci-dessus chiffrent la charge utile comme suit :
Ce qui précède présente les caractéristiques du trafic de communication Websocket de plusieurs outils couramment utilisés. Le système de détection intelligent des menaces cryptées par Guanchengkanyun peut détecter efficacement le trafic de ces outils à l'aide de la communication cryptée Websocket :
Dans des scénarios tels que des exercices d'attaque et de défense, les tunnels du protocole Websocket présentent les caractéristiques d'une faible latence, de hautes performances bidirectionnelles en temps réel et de fonctions de cryptage puissantes, ce qui permet d'éviter facilement les audits des appareils de trafic, de sorte que ce type d'outil est progressivement devenu populaire. L'équipe de sécurité de Guancheng Technology a étudié les caractéristiques structurelles du protocole Websocket lui-même et l'a combiné avec le trafic d'outils correspondant pour proposer des méthodes de détection efficaces et les appliquer au produit. Elle peut détecter avec précision les anomalies dans le trafic Websocket et découvrir l'origine des tunnels associés. Créez et utilisez des traces pour assurer la sécurité des réseaux clients. Nous continuerons à suivre et à étudier ce type d’outils de tunnel et à améliorer continuellement les capacités de détection de nos produits.
Il se consacre à la recherche technologique depuis plus de 30 ans et maîtrise divers langages tels que java, linux, javascript, php, css, etc. Il a apporté de nombreuses contributions dans le domaine de l'open source. station de documentation pour les développeurs pour partager certains problèmes de développement technologique pour référence future.
