转：Linux系统iptables防火墙过滤拦截tls https加密流量特征码的方法 algo hex报文 抓包cipher suites 设备握手指纹匹配明文信息

小樱

转：Linux系统iptables防火墙过滤拦截tls https加密流量特征码的方法 algo hex报文 抓包cipher suites 设备握手指纹匹配明文信息


“特征码”：cca8cca9c02fc02bc030c02cc027c013c023c009c014c00a130113031302

甚至可以利用 iptables 进行明文匹配……其他的 PoC 方式请大家自己开动脑筋……

代码参考：

1. iptables -I OUTPUT -m string --algo kmp --hex-string "|001ecca8cca9c02fc02bc030c02cc027c013c023c009c014c00a130113031302|" -j DROP

复制代码

alpn采用了特殊值，以及使用了ClientSessionCache，并且不影响其他golang程序：

1. iptables -N GOLANG
   
2. iptables -A GOLANG -m string --algo bm ! --hex-string "|0010000e000c02683208687474702f312e31|" -j DROP
   
3. iptables -A OUTPUT -m string --algo bm --hex-string "|0026c02fc030c02bc02ccca8cca9c013c009c014c00a009c009d002f0035c012000a130113031302|" -j GOLANG

复制代码

转：https://github.com/v2ray/discussion/issues/704


其实tcp包里也有个指纹信息，不过不适合用来做检测拦截，可以用来检测是几个用户之类
包括github上的jar3项目，wireshark就可以抓取tls中的jar3信息：https://github.com/salesforce/jarm
目前阶段只有sni域名检测，未来国产云肯定会加上这种设备握手指纹检测手段屏蔽拦截https访问
服务器上使用nginx反代可以避免检测吗？
反代一样，因为你客户端发出去的流量，你要在本地也搞一个反代，设置到127.0.0.1 端口，然后从反代上发出去请求
可以去掉这个jar3信息吗？
去掉特征就更明显了，http是目前最稳的，但是也有被检测的方式

不可名