Berbagi teknologi

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

soket webLalu lintas terenkripsi terowongan proksi protokolPerkenalan

Dalam skenario serangan dan pertahanan, protokol Websocket sering digunakan untuk membangun terowongan proxy. Penyerang mencoba menggunakan protokol Websocket untuk melewati batasan jaringan dan membangun terowongan transmisi data dua arah secara real-time dengan latensi rendah.Saat ini, alat utama yang mendukung agen komunikasi Websocket meliputi: FRP, wsp, wstunnel, TurboTunnel, dll.

Ambil alat wstunnel sebagai contoh. Ketika wstunnel menggunakan protokol Websocket untuk membangun terowongan ke lalu lintas terkait proksi, klien menggunakan mekanisme Peningkatan HTTP untuk menyelesaikan fase jabat tangan protokol. Ketika jabat tangan selesai, klien dan server menggunakan format data protokol Websocket untuk komunikasi dupleks penuh. Baik server maupun klien dapat secara aktif mengirimkan pesan tanpa menunggu pihak lain mengirimkan pesan terlebih dahulu. Wstunnel dapat membangun terowongan Websocket berperforma tinggi dan berlatensi rendah dengan cara ini.

soket web Setelah jabat tangan selesai, data dikirimkan dalam satuan bingkai data. Lalu lintas terowongan Websocket dari wstunnel ditunjukkan pada gambar di bawah ini:

soket webEnkripsi MASKER

Ada tanda dalam protokol Websocket: Mask, yang digunakan untuk menunjukkan apakah enkripsi mask diaktifkan pada data. Jika bit ini bernilai 1, ini menunjukkan bahwa enkripsi mask digunakan, dan 4 byte terakhir dari panjang payload adalah kunci dekripsi. Enkripsi mask di Websocket menggunakan OR eksklusif (xor) untuk enkripsi sederhana. Ketika bit yang sesuai dari bidang MASK disetel ke 1, itu berarti enkripsi. Kemudian kunci Masking 4-byte akan disetel nanti ke 0, artinya tidak. Jika dienkripsi, Masking-key tidak akan dibawa. Websocket standar saat ini menetapkan bahwa klien harus menggunakan enkripsi mask untuk mengirim data, sedangkan server tidak menggunakan enkripsi mask untuk mengirim data.

Gambar di bawah menunjukkan lalu lintas alat wsp lain setelah mengaktifkan enkripsi MASK:

Websocket Aman

Selain itu Websocket mendukung atribut WSS yaitu Websocket Secure yang dikirimkan dalam bentuk "wss://". Komunikasi ini merangkum data Websocket melalui protokol enkripsi TLS, sehingga data yang terlihat pada lapisan terluar adalah komunikasi protokol TLS, dan data yang dikirimkan lebih tersembunyi, seperti terlihat pada gambar:

• soket webContoh lalu lintas terenkripsi alat proksi protokol

Selain wstunnel dan wsp, ada alat lain yang juga mendukung terowongan Websocket:

1. FRP

1. Terowongan Turbo

Keempat alat di atas mengenkripsi payload sebagai berikut:

1. Enkripsi klien: FRP, wsp, TurboTunnel
2. Enkripsi sisi server: TurboTunnel
3. Klien tidak dienkripsi: wstunnel
4. Server tidak dienkripsi: wstunnel, FRP, wsp

• Alat proksi protokol websocket deteksi lalu lintas terenkripsi

Di atas memperkenalkan karakteristik lalu lintas komunikasi Websocket dari beberapa alat yang umum digunakan. Sistem Deteksi Cerdas Ancaman Terenkripsi Guanchengkanyun dapat secara efektif mendeteksi lalu lintas alat ini menggunakan komunikasi terenkripsi Websocket:

• Meringkaskan

Dalam skenario seperti latihan serangan dan pertahanan, terowongan protokol Websocket memiliki karakteristik latensi rendah, kinerja tinggi waktu nyata dua arah, dan fungsi enkripsi yang kuat, sehingga memudahkan untuk menghindari audit perangkat lalu lintas, sehingga alat jenis ini secara bertahap menjadi populer. Tim keamanan Teknologi Guancheng mempelajari karakteristik struktural dari protokol Websocket itu sendiri dan menggabungkannya dengan lalu lintas alat yang sesuai untuk mengusulkan metode deteksi yang efektif dan menerapkannya pada produk. Hal ini dapat secara akurat mendeteksi anomali dalam lalu lintas Websocket dan mengetahui asal terowongan terkait. Bangun dan gunakan jejak untuk memastikan keamanan jaringan pelanggan. Kami akan terus melacak dan mempelajari alat terowongan jenis ini dan terus meningkatkan kemampuan deteksi produk kami.