Compartir tecnología

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

WebSocketTráfico cifrado del túnel proxy del protocoloIntroducción

En escenarios de ataque y defensa, el protocolo Websocket se utiliza a menudo para construir túneles proxy. Los atacantes intentan utilizar el protocolo Websocket para evitar las restricciones de la red y construir un túnel de transmisión de datos bidireccional en tiempo real de baja latencia.Actualmente, las principales herramientas que admiten los agentes de comunicación Websocket incluyen: FRP, wsp, wstunnel, TurboTunnel, etc.

Tome la herramienta wstunnel como ejemplo. Cuando wstunnel usa el protocolo Websocket para construir un túnel para el tráfico relacionado con el proxy, el cliente usa el mecanismo de actualización HTTP para completar la fase de protocolo de enlace del protocolo. Cuando se completa el protocolo de enlace, el cliente y el servidor utilizan el formato de datos del protocolo Websocket para la comunicación full-duplex. Tanto el servidor como el cliente pueden enviar mensajes activamente sin esperar a que la otra parte envíe mensajes primero. Wstunnel puede construir un túnel Websocket de baja latencia y alto rendimiento de esta manera.

WebSocket Una vez completado el protocolo de enlace, los datos se transmiten en unidades de tramas de datos. El tráfico del túnel Websocket de wstunnel se muestra en la siguiente figura:

WebSocketCifrado de MÁSCARA

Hay una bandera en el protocolo Websocket: Máscara, que se utiliza para indicar si el cifrado de máscara está habilitado en los datos. Cuando este bit es 1, indica que se utiliza cifrado de máscara y los últimos 4 bytes de la longitud de la carga útil son la clave de descifrado. El cifrado de máscara en Websocket utiliza OR exclusivo (xor) para un cifrado simple. Cuando el bit correspondiente del campo MASK se establece en 1, significa cifrado. Luego se establecerá una clave de enmascaramiento de 4 bytes cuando se establezca el bit de máscara. a 0, significa que no. Si está cifrado, la clave de enmascaramiento no se transportará. El estándar actual Websocket estipula que el cliente debe usar cifrado de máscara para enviar datos, mientras que el servidor no usa cifrado de máscara para enviar datos.

La siguiente imagen muestra el tráfico de otra herramienta wsp después de habilitar el cifrado MÁSCARA:

WebSocket seguro

Además, Websocket admite atributos WSS, concretamente Websocket Secure, que se transmite en forma de "wss://". Esta comunicación encapsula los datos de Websocket a través del protocolo de cifrado TLS, de modo que los datos que se ven en la capa más externa son la comunicación del protocolo TLS y los datos transmitidos están más ocultos, como se muestra en la figura:

• WebSocketEjemplo de tráfico cifrado de herramienta de proxy de protocolo

Además de wstunnel y wsp, existen otras herramientas que también admiten la tunelización Websocket:

1. PRFV

1. Túnel turbo

Las cuatro herramientas anteriores cifran la carga útil de la siguiente manera:

1. Cifrado de cliente: FRP, wsp, TurboTunnel
2. Cifrado del lado del servidor: TurboTunnel
3. Cliente no cifrado: wstunnel
4. El servidor no está cifrado: wstunnel, FRP, wsp

• Detección de tráfico cifrado de la herramienta proxy del protocolo Websocket

Lo anterior presenta las características del tráfico de comunicación Websocket de varias herramientas de uso común: el sistema de detección inteligente de amenazas cifradas Guanchengkanyun puede detectar eficazmente el tráfico de estas herramientas utilizando la comunicación cifrada Websocket:

• Resumir

En escenarios como simulacros de ataque y defensa, los túneles del protocolo Websocket tienen las características de baja latencia, alto rendimiento bidireccional en tiempo real y funciones de cifrado sólidas, lo que facilita evitar las auditorías de dispositivos de tráfico, por lo que este tipo de herramienta se ha convertido gradualmente. popular. El equipo de seguridad de Guancheng Technology estudió las características estructurales del propio protocolo Websocket y lo combinó con el tráfico de herramientas correspondiente para proponer métodos de detección efectivos y aplicarlos al producto. Puede detectar con precisión anomalías en el tráfico de Websocket y descubrir el origen de los túneles relacionados. Cree y utilice seguimientos para garantizar la seguridad de las redes de los clientes. Continuaremos rastreando y estudiando este tipo de herramientas para túneles y mejorando continuamente las capacidades de detección de nuestros productos.