Κοινή χρήση τεχνολογίας

[Τεχνολογία Guancheng] Κρυπτογραφημένη ανάλυση και ανίχνευση κυκλοφορίας με σήραγγα μεσολάβησης πρωτοκόλλου Websocket

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Πρίζα ΙστούΚρυπτογραφημένη κίνηση σε σήραγγα διακομιστή μεσολάβησης πρωτοκόλλουΕισαγωγή

Σε σενάρια επίθεσης και άμυνας, το πρωτόκολλο Websocket χρησιμοποιείται συχνά για τη δημιουργία σηράγγων μεσολάβησης Οι επιτιθέμενοι προσπαθούν να χρησιμοποιήσουν το πρωτόκολλο Websocket για να παρακάμψουν τους περιορισμούς του δικτύου και να δημιουργήσουν ένα τούνελ μετάδοσης δεδομένων σε πραγματικό χρόνο με χαμηλή καθυστέρηση.Επί του παρόντος, τα κύρια εργαλεία που υποστηρίζουν πράκτορες επικοινωνίας Websocket περιλαμβάνουν: FRP, wsp, wstunnel, TurboTunnel, κ.λπ.

Πάρτε ως παράδειγμα το εργαλείο wstunnel Όταν το wstunnel χρησιμοποιεί το πρωτόκολλο Websocket για να δημιουργήσει μια σήραγγα για την κυκλοφορία που σχετίζεται με διακομιστή μεσολάβησης, ο πελάτης χρησιμοποιεί τον μηχανισμό Αναβάθμισης HTTP για να ολοκληρώσει τη φάση χειραψίας του πρωτοκόλλου. Όταν ολοκληρωθεί η χειραψία, ο πελάτης και ο διακομιστής χρησιμοποιούν τη μορφή δεδομένων του πρωτοκόλλου Websocket για πλήρη αμφίδρομη επικοινωνία. Τόσο ο διακομιστής όσο και ο πελάτης μπορούν να στέλνουν ενεργά μηνύματα χωρίς να περιμένουν πρώτα το άλλο μέρος να στείλει μηνύματα. Το Wstunnel μπορεί να δημιουργήσει μια σήραγγα Websocket υψηλής απόδοσης και χαμηλής καθυστέρησης με αυτόν τον τρόπο.

Πρίζα Ιστού Μετά την ολοκλήρωση της χειραψίας, τα δεδομένα μεταδίδονται σε μονάδες πλαισίων δεδομένων. Η κίνηση της σήραγγας Websocket του wstunnel φαίνεται στο παρακάτω σχήμα:

Πρίζα ΙστούΚρυπτογράφηση MASK

Υπάρχει μια σημαία στο πρωτόκολλο Websocket: Mask, η οποία χρησιμοποιείται για να υποδείξει εάν η κρυπτογράφηση μάσκας είναι ενεργοποιημένη στα δεδομένα. Όταν αυτό το bit είναι 1, σημαίνει ότι χρησιμοποιείται κρυπτογράφηση μάσκας και ότι τα τελευταία 4 byte του μήκους ωφέλιμου φορτίου είναι το κλειδί αποκρυπτογράφησης. Η κρυπτογράφηση μάσκας στο Websocket χρησιμοποιεί αποκλειστικό OR (xor) για απλή κρυπτογράφηση στο 0, σημαίνει όχι Εάν είναι κρυπτογραφημένο, το κλειδί κάλυψης δεν θα μεταφερθεί. Το τρέχον πρότυπο Websocket ορίζει ότι ο πελάτης πρέπει να χρησιμοποιεί κρυπτογράφηση μάσκας για την αποστολή δεδομένων, ενώ ο διακομιστής δεν χρησιμοποιεί κρυπτογράφηση μάσκας για την αποστολή δεδομένων.

Η παρακάτω εικόνα δείχνει την κίνηση ενός άλλου εργαλείου wsp μετά την ενεργοποίηση της κρυπτογράφησης MASK:

Websocket Secure

Επιπλέον, το Websocket υποστηρίζει χαρακτηριστικά WSS, δηλαδή το Websocket Secure, το οποίο μεταδίδεται με τη μορφή "wss://". Αυτή η επικοινωνία ενσωματώνει τα δεδομένα Websocket μέσω του πρωτοκόλλου κρυπτογράφησης TLS, έτσι ώστε τα δεδομένα που φαίνονται στο πιο εξωτερικό επίπεδο να είναι η επικοινωνία του πρωτοκόλλου TLS και τα μεταδιδόμενα δεδομένα να είναι πιο κρυφά, όπως φαίνεται στο σχήμα:

  • Πρίζα ΙστούΠαράδειγμα κρυπτογραφημένης κίνησης εργαλείου διακομιστή μεσολάβησης πρωτοκόλλου

Εκτός από το wstunnel και το wsp, υπάρχουν και άλλα εργαλεία που υποστηρίζουν επίσης το Websocket tunneling:

  1. FRP

  1. Turbo Tunnel

Τα παραπάνω τέσσερα εργαλεία κρυπτογραφούν το ωφέλιμο φορτίο ως εξής:

  1. Κρυπτογράφηση πελάτη: FRP, wsp, TurboTunnel
  2. Κρυπτογράφηση από την πλευρά του διακομιστή: TurboTunnel
  3. Ο πελάτης δεν είναι κρυπτογραφημένος: wstunnel
  4. Ο διακομιστής δεν είναι κρυπτογραφημένος: wstunnel, FRP, wsp
  • Εργαλείο διακομιστή μεσολάβησης πρωτοκόλλου Websocket κρυπτογραφημένος εντοπισμός κυκλοφορίας

Τα παραπάνω εισάγουν τα χαρακτηριστικά της κυκλοφορίας επικοινωνίας Websocket πολλών εργαλείων που χρησιμοποιούνται συνήθως με κρυπτογραφημένη απειλή Guanchengkanyun Το έξυπνο σύστημα ανίχνευσης απειλών μπορεί να ανιχνεύσει αποτελεσματικά την κίνηση αυτών των εργαλείων χρησιμοποιώντας κρυπτογραφημένη επικοινωνία Websocket:

  • Συνοψίζω

Σε σενάρια όπως ασκήσεις επίθεσης και άμυνας, οι σήραγγες πρωτοκόλλου Websocket έχουν τα χαρακτηριστικά χαμηλής καθυστέρησης, αμφίδρομης υψηλής απόδοσης σε πραγματικό χρόνο και ισχυρών λειτουργιών κρυπτογράφησης, καθιστώντας εύκολη την αποφυγή ελέγχων συσκευών κυκλοφορίας, επομένως αυτός ο τύπος εργαλείου σταδιακά έγινε δημοφιλής. Η ομάδα ασφαλείας της Guancheng Technology μελέτησε τα δομικά χαρακτηριστικά του ίδιου του πρωτοκόλλου Websocket και το συνδύασε με την αντίστοιχη κίνηση εργαλείων για να προτείνει αποτελεσματικές μεθόδους ανίχνευσης και να τις εφαρμόσει στο προϊόν. Δημιουργήστε και χρησιμοποιήστε ίχνη για να διασφαλίσετε την ασφάλεια των δικτύων πελατών. Θα συνεχίσουμε να παρακολουθούμε και να μελετάμε αυτού του τύπου τα εργαλεία σήραγγας και να βελτιώνουμε συνεχώς τις δυνατότητες ανίχνευσης των προϊόντων μας.

Προσωπικό προφίλ

Έχει αφοσιωθεί στην έρευνα της τεχνολογίας για περισσότερα από 30 χρόνια και είναι ικανός σε διάφορες γλώσσες όπως java, linux, javascript, php, css κ.λπ. Έχει κάνει πολλές συνεισφορές στον τομέα του ανοιχτού κώδικα σταθμός τεκμηρίωσης προγραμματιστή για να μοιραστείτε ορισμένα ζητήματα στην ανάπτυξη τεχνολογίας για μελλοντική αναφορά

τα στοιχεία επικοινωνίας μου

Ταχυδρομείο