Обмен технологиями

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

ВебсокетЗашифрованный трафик протокола прокси-туннеляВведение

В сценариях атак и защиты протокол Websocket часто используется для создания прокси-туннелей. Злоумышленники пытаются использовать протокол Websocket для обхода сетевых ограничений и создания двустороннего туннеля передачи данных в реальном времени с малой задержкой.В настоящее время к основным инструментам, поддерживающим агенты связи Websocket, относятся: FRP, wsp, wstunnel, TurboTunnel и т. д.

В качестве примера возьмем инструмент wstunnel. Когда wstunnel использует протокол Websocket для построения туннеля для трафика, связанного с прокси-сервером, клиент использует механизм обновления HTTP для завершения фазы установления связи протокола. Когда рукопожатие завершено, клиент и сервер используют формат данных протокола Websocket для полнодуплексной связи. И сервер, и клиент могут активно отправлять сообщения, не дожидаясь, пока другая сторона отправит сообщения первой. Таким образом, Wstunnel может построить высокопроизводительный туннель Websocket с малой задержкой.

Вебсокет После завершения установления связи данные передаются в виде блоков данных. Трафик туннеля Websocket wstunnel показан на рисунке ниже:

ВебсокетМАСКОВОЕ шифрование

В протоколе Websocket есть флаг: Маска, который используется для указания того, включено ли шифрование по маске для данных. Когда этот бит равен 1, это означает, что используется шифрование по маске, а последние 4 байта длины полезной нагрузки являются ключом дешифрования. Шифрование по маске в Websocket использует исключающее ИЛИ (xor) для простого шифрования. Когда соответствующий бит поля MASK установлен в 1, это означает шифрование. Затем позже будет установлен 4-байтовый ключ маскировки. значение 0 означает «нет». Если он зашифрован, ключ маскировки не будет передаваться. Текущий стандарт Websocket предусматривает, что клиент должен использовать шифрование по маске для отправки данных, в то время как сервер не использует шифрование по маске для отправки данных.

На рисунке ниже показан трафик другого инструмента wsp после включения шифрования MASK:

Безопасный WebSocket

Кроме того, Websocket поддерживает атрибуты WSS, а именно Websocket Secure, который передается в формате «wss://». Эта связь инкапсулирует данные Websocket через протокол шифрования TLS, так что данные, видимые на самом внешнем уровне, представляют собой связь по протоколу TLS, а передаваемые данные более скрыты, как показано на рисунке:

• ВебсокетПример зашифрованного трафика инструмента прокси-сервера протокола

Помимо wstunnel и wsp, существуют и другие инструменты, которые также поддерживают туннелирование Websocket:

1. ФРП

1. Турбо-туннель

Вышеупомянутые четыре инструмента шифруют полезную нагрузку следующим образом:

1. Шифрование клиента: FRP, wsp, TurboTunnel
2. Шифрование на стороне сервера: TurboTunnel
3. Клиент не зашифрован: wstunnel
4. Сервер не зашифрован: wstunnel, FRP, wsp

• Инструмент прокси-сервера протокола Websocket, обнаружение зашифрованного трафика

Выше представлены характеристики трафика связи Websocket нескольких часто используемых инструментов. Интеллектуальная система обнаружения угроз с шифрованием Guanchengkanyun может эффективно обнаруживать трафик этих инструментов с использованием зашифрованной связи Websocket:

• Подведем итог

В таких сценариях, как атаки и оборонительные тренировки, туннели протокола Websocket обладают характеристиками низкой задержки, высокой производительностью двусторонней связи в реальном времени и надежными функциями шифрования, что позволяет легко избежать аудита устройств трафика, поэтому этот тип инструментов постепенно стал популярный. Команда безопасности Guancheng Technology изучила структурные характеристики самого протокола Websocket и объединила их с трафиком соответствующих инструментов, чтобы предложить эффективные методы обнаружения и применить их к продукту. Он может точно обнаруживать аномалии в трафике Websocket и определять происхождение связанных туннелей. Создавайте и используйте трассировки для обеспечения безопасности сетей клиентов. Мы продолжим отслеживать и изучать туннельные инструменты этого типа и постоянно улучшать возможности обнаружения наших продуктов.