技術共有

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

ウェブソケットプロトコルプロキシトンネル暗号化トラフィック導入

攻撃および防御のシナリオでは、Websocket プロトコルはプロキシ トンネルの構築によく使用され、攻撃者は Websocket プロトコルを使用してネットワーク制限を回避し、低遅延の双方向リアルタイム データ送信トンネルを構築しようとします。現在、Websocket 通信エージェントをサポートする主流のツールには、FRP、wsp、wstunnel、TurboTunnel などが含まれます。

wstunnel ツールを例に挙げます。wstunnel が Websocket プロトコルを使用してプロキシ関連トラフィックへのトンネルを構築する場合、クライアントは HTTP アップグレード メカニズムを使用してプロトコルのハンドシェイク フェーズを完了します。ハンドシェイクが完了すると、クライアントとサーバーは Websocket プロトコルのデータ形式を使用して全二重通信を行います。サーバーとクライアントはどちらも、相手が最初にメッセージを送信するのを待たずに、積極的にメッセージを送信できます。 この方法で、Wstunnel は高性能で低遅延の Websocket トンネルを構築できます。

ウェブソケット ハンドシェイクが完了すると、データフレーム単位でデータが送信されます。 wstunnel の Websocket トンネル トラフィックを次の図に示します。

ウェブソケットMASK暗号化

Websocket プロトコルにはマスクというフラグがあり、データのマスク暗号化が有効かどうかを示すために使用されます。このビットが 1 の場合、マスク暗号化が使用されていることを示し、ペイロード長の最後の 4 バイトが復号化キーになります。 Websocket のマスク暗号化は、単純な暗号化に排他的論理和 (xor) を使用します。MASK フィールドの対応するビットが 1 に設定されている場合、マスク ビットが設定されると、4 バイトのマスキング キーが設定されます。 0 に設定すると、「いいえ」を意味します。暗号化されている場合、マスキング キーは送信されません。現在の標準 Websocket では、クライアントはデータ送信にマスク暗号化を使用する必要があるが、サーバーはデータ送信にマスク暗号化を使用しないことが規定されています。

以下の図は、MASK 暗号化を有効にした後の別の wsp ツールのトラフィックを示しています。

Websocket セキュア

さらに、Websocket は、「wss://」の形式で送信される WSS 属性、つまり Websocket Secure をサポートします。この通信は、TLS 暗号化プロトコルを介して Websocket データをカプセル化するため、最外層に表示されるデータは TLS プロトコル通信であり、図に示すように、送信されるデータはより隠蔽されます。

• ウェブソケットプロトコル プロキシ ツールの暗号化トラフィックの例

wstunnel と wsp に加えて、Websocket トンネリングをサポートするツールもあります。

1. 繊維強化プラスチック

1. ターボトンネル

上記の 4 つのツールは、次のようにペイロードを暗号化します。

1. クライアント暗号化: FRP、wsp、TurboTunnel
2. サーバー側の暗号化: TurboTunnel
3. クライアントは暗号化されていません: wstunnel
4. サーバーは暗号化されていません: wstunnel、FRP、wsp

• Websocket プロトコル プロキシ ツールの暗号化トラフィックの検出

上記では、一般的に使用されるいくつかのツールの Websocket 通信トラフィックの特徴を紹介しました。Guanchengkanyun-Encrypted Threat Intelligent Detection System は、Websocket 暗号化通信を使用してこれらのツールのトラフィックを効果的に検出できます。

• 要約する

攻撃や防御の訓練などのシナリオでは、Websocket プロトコル トンネルは低遅延、双方向リアルタイムの高性能、強力な暗号化機能という特徴を備えており、トラフィック デバイスの監査を回避しやすいため、このタイプのツールは徐々に普及してきました。人気のある。 Guancheng Technology のセキュリティ チームは、Websocket プロトコル自体の構造的特徴を研究し、それを対応するツールのトラフィックと組み合わせて効果的な検出方法を提案し、それを製品に適用しました。これにより、Websocket トラフィックの異常を正確に検出し、関連するトンネルの発信元を見つけることができます。トレースを構築して使用し、顧客ネットワークのセキュリティを確保します。当社は今後もこのタイプのトンネル ツールの追跡と研究を続け、当社製品の検出機能を継続的に向上させていきます。