Compartilhamento de tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Soquete da WebTráfego criptografado do túnel proxy de protocoloIntrodução

Em cenários de ataque e defesa, o protocolo Websocket é frequentemente usado para construir túneis proxy. Os invasores tentam usar o protocolo Websocket para contornar as restrições de rede e construir um túnel de transmissão de dados bidirecional e de baixa latência em tempo real.Atualmente, as principais ferramentas que suportam agentes de comunicação Websocket incluem: FRP, wsp, wstunnel, TurboTunnel, etc.

Tomemos a ferramenta wstunnel como exemplo. Quando o wstunnel usa o protocolo Websocket para construir um túnel para o tráfego relacionado ao proxy, o cliente usa o mecanismo de atualização HTTP para concluir a fase de handshake do protocolo. Quando o handshake for concluído, o cliente e o servidor usarão o formato de dados do protocolo Websocket para comunicação full-duplex. Tanto o servidor quanto o cliente podem enviar mensagens ativamente sem esperar que a outra parte envie as mensagens primeiro. O Wstunnel pode construir um túnel Websocket de alto desempenho e baixa latência dessa forma.

Soquete da Web Após a conclusão do handshake, os dados são transmitidos em unidades de quadros de dados. O tráfego do túnel Websocket do wstunnel é mostrado na figura abaixo:

Soquete da WebCriptografia de MÁSCARA

Existe um sinalizador no protocolo Websocket: Mask, que é usado para indicar se a criptografia de máscara está habilitada nos dados. Quando este bit é 1, indica que a criptografia de máscara é usada e os últimos 4 bytes do comprimento da carga útil são a chave de descriptografia. A criptografia de máscara no Websocket usa OR exclusivo (xor) para criptografia simples. Quando o bit correspondente do campo MASK é definido como 1, significa criptografia. Então, uma chave de máscara de 4 bytes será definida posteriormente. para 0, significa que não. Se estiver criptografado, a chave de máscara não será transportada. O padrão atual Websocket estipula que o cliente deve usar criptografia de máscara para enviar dados, enquanto o servidor não usa criptografia de máscara para enviar dados.

A imagem abaixo mostra o tráfego de outra ferramenta wsp após habilitar a criptografia MASK:

Websocket seguro

Além disso, o Websocket suporta atributos WSS, nomeadamente Websocket Secure, que é transmitido na forma de "wss://". Essa comunicação encapsula os dados do Websocket por meio do protocolo de criptografia TLS, de forma que os dados vistos na camada mais externa sejam a comunicação do protocolo TLS, e os dados transmitidos fiquem mais ocultos, conforme mostrado na figura:

• Soquete da WebExemplo de tráfego criptografado da ferramenta de proxy de protocolo

Além do wstunnel e do wsp, existem outras ferramentas que também oferecem suporte ao tunelamento Websocket:

1. PRFV

1. Túnel Turbo

As quatro ferramentas acima criptografam a carga da seguinte forma:

1. Criptografia do cliente: FRP, wsp, TurboTunnel
2. Criptografia do lado do servidor: TurboTunnel
3. Cliente não criptografado: wstunnel
4. O servidor não está criptografado: wstunnel, FRP, wsp

• Ferramenta de proxy de protocolo Websocket para detecção de tráfego criptografado

O texto acima apresenta as características do tráfego de comunicação Websocket de várias ferramentas comumente usadas. O Sistema de Detecção Inteligente de Ameaças Criptografadas Guanchengkanyun pode detectar efetivamente o tráfego dessas ferramentas usando comunicação criptografada Websocket:

• Resumir

Em cenários como exercícios de ataque e defesa, os túneis do protocolo Websocket têm características de baixa latência, alto desempenho bidirecional em tempo real e fortes funções de criptografia, tornando mais fácil evitar auditorias de dispositivos de tráfego, de modo que esse tipo de ferramenta tornou-se gradualmente popular. A equipe de segurança da Guancheng Technology estudou as características estruturais do próprio protocolo Websocket e combinou-o com o tráfego da ferramenta correspondente para propor métodos de detecção eficazes e aplicá-los ao produto. Ele pode detectar com precisão anomalias no tráfego Websocket e descobrir a origem dos túneis relacionados. Crie e use rastreios para garantir a segurança das redes dos clientes. Continuaremos a rastrear e estudar este tipo de ferramentas de túnel e a melhorar continuamente as capacidades de detecção dos nossos produtos.