기술나눔

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

웹소켓프로토콜 프록시 터널 암호화 트래픽소개

공격 및 방어 시나리오에서 Websocket 프로토콜은 프록시 터널을 구축하는 데 자주 사용됩니다. 공격자는 Websocket 프로토콜을 사용하여 네트워크 제한을 우회하고 대기 시간이 짧은 양방향 실시간 데이터 전송 터널을 구축하려고 시도합니다.현재 Websocket 통신 에이전트를 지원하는 주요 도구에는 FRP, wsp, wstunnel, TurboTunnel 등이 있습니다.

wstunnel 도구를 예로 들어 보겠습니다. wstunnel이 Websocket 프로토콜을 사용하여 관련 트래픽을 프록시하기 위한 터널을 구축하는 경우 클라이언트는 HTTP 업그레이드 메커니즘을 사용하여 프로토콜의 핸드셰이크 단계를 완료합니다. 핸드셰이크가 완료되면 클라이언트와 서버는 전이중 통신을 위해 Websocket 프로토콜의 데이터 형식을 사용합니다. 서버와 클라이언트 모두 상대방이 먼저 메시지를 보낼 때까지 기다리지 않고 적극적으로 메시지를 보낼 수 있습니다. Wstunnel은 이러한 방식으로 고성능, 낮은 대기 시간의 Websocket 터널을 구축할 수 있습니다.

웹소켓 핸드셰이크가 완료된 후 데이터는 데이터 프레임 단위로 전송됩니다. wstunnel의 Websocket 터널 트래픽은 아래 그림과 같습니다.

웹소켓마스크 암호화

Websocket 프로토콜에는 마스크라는 플래그가 있습니다. 이는 데이터에 마스크 암호화가 활성화되어 있는지 여부를 나타내는 데 사용됩니다. 이 비트가 1이면 마스크 암호화가 사용됨을 나타내며 페이로드 길이의 마지막 4바이트가 암호 해독 키임을 나타냅니다. Websocket의 마스크 암호화는 단순 암호화를 위해 배타적 OR(xor)를 사용합니다. MASK 필드의 해당 비트가 1로 설정되면 암호화를 의미하며 이후에 Mask 비트가 설정되면 4바이트의 Masking-key가 설정됩니다. 0이면 no를 의미합니다. 암호화된 경우 Masking-key는 전달되지 않습니다. 현재 표준 Websocket에서는 클라이언트가 데이터를 보내려면 마스크 암호화를 사용해야 하고, 서버는 데이터를 보낼 때 마스크 암호화를 사용하지 않도록 규정하고 있습니다.

아래 그림은 MASK 암호화를 활성화한 후 다른 wsp 도구의 트래픽을 보여줍니다.

웹소켓 보안

또한 Websocket은 "wss://" 형식으로 전송되는 WSS 속성, 즉 Websocket Secure를 지원합니다. 이 통신은 TLS 암호화 프로토콜을 통해 Websocket 데이터를 캡슐화하므로 가장 바깥쪽 레이어에 표시되는 데이터는 TLS 프로토콜 통신이고 전송된 데이터는 그림과 같이 더욱 숨겨집니다.

• 웹소켓프로토콜 프록시 도구 암호화된 트래픽의 예

wstunnel 및 wsp 외에도 Websocket 터널링을 지원하는 다른 도구가 있습니다.

1. 유리섬유 강화 플라스틱(FRP)

1. 터보 터널

위의 네 가지 도구는 다음과 같이 페이로드를 암호화합니다.

1. 클라이언트 암호화: FRP, wsp, TurboTunnel
2. 서버 측 암호화: TurboTunnel
3. 클라이언트가 암호화되지 않음: wstunnel
4. 서버가 암호화되지 않았습니다: wstunnel, FRP, wsp

• Websocket 프로토콜 프록시 도구 암호화된 트래픽 감지

위 내용은 일반적으로 사용되는 여러 도구의 Websocket 통신 트래픽 특성을 소개합니다. Guanchengkanyun 암호화 위협 지능형 탐지 시스템은 Websocket 암호화 통신을 사용하여 이러한 도구의 트래픽을 효과적으로 탐지할 수 있습니다.

• 요약하다

공격 및 방어 훈련과 같은 시나리오에서 Websocket 프로토콜 터널은 낮은 대기 시간, 양방향 실시간 고성능 및 강력한 암호화 기능을 갖추고 있어 트래픽 장치 감사를 쉽게 피할 수 있으므로 이러한 유형의 도구는 점차적으로 인기 있는. Guancheng Technology의 보안팀은 Websocket 프로토콜 자체의 구조적 특성을 연구하고 이를 해당 도구 트래픽과 결합하여 효과적인 탐지 방법을 제안하고 이를 제품에 적용할 수 있습니다. Websocket 트래픽의 이상 징후를 정확하게 탐지하고 관련 터널의 출처를 찾아낼 수 있습니다. 고객 네트워크의 보안을 보장하기 위해 추적을 구축하고 사용합니다. 우리는 이러한 유형의 터널 도구를 계속 추적하고 연구하며 제품의 감지 기능을 지속적으로 개선할 것입니다.