小樱 发表于 2020/5/31 22:29

转:Linux系统iptables防火墙过滤拦截tls https加密流量特征码的方法 algo hex报文 抓包cipher suites 设备握手指纹匹配明文信息

转:Linux系统iptables防火墙过滤拦截tls https加密流量特征码的方法 algo hex报文 抓包cipher suites 设备握手指纹匹配明文信息


“特征码”:cca8cca9c02fc02bc030c02cc027c013c023c009c014c00a130113031302

甚至可以利用 iptables 进行明文匹配……其他的 PoC 方式请大家自己开动脑筋……

代码参考:
iptables -I OUTPUT -m string --algo kmp --hex-string "|001ecca8cca9c02fc02bc030c02cc027c013c023c009c014c00a130113031302|" -j DROP

alpn采用了特殊值,以及使用了ClientSessionCache,并且不影响其他golang程序:
iptables -N GOLANG
iptables -A GOLANG -m string --algo bm ! --hex-string "|0010000e000c02683208687474702f312e31|" -j DROP
iptables -A OUTPUT -m string --algo bm --hex-string "|0026c02fc030c02bc02ccca8cca9c013c009c014c00a009c009d002f0035c012000a130113031302|" -j GOLANG

转:https://github.com/v2ray/discussion/issues/704


其实tcp包里也有个指纹信息,不过不适合用来做检测拦截,可以用来检测是几个用户之类
包括github上的jar3项目,wireshark就可以抓取tls中的jar3信息:https://github.com/salesforce/jarm
目前阶段只有sni域名检测,未来国产云肯定会加上这种设备握手指纹检测手段屏蔽拦截https访问
服务器上使用nginx反代可以避免检测吗?
反代一样,因为你客户端发出去的流量,你要在本地也搞一个反代,设置到127.0.0.1 端口,然后从反代上发出去请求
可以去掉这个jar3信息吗?
去掉特征就更明显了,http是目前最稳的,但是也有被检测的方式

不可名 发表于 2020/6/2 02:54

{:3069:}
页: [1]
查看完整版本: 转:Linux系统iptables防火墙过滤拦截tls https加密流量特征码的方法 algo hex报文 抓包cipher suites 设备握手指纹匹配明文信息