设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 3041|回复: 1

转:Linux系统iptables防火墙过滤拦截tls https加密流量特征码的方法 algo hex报文 抓包cipher suites 设备握手指纹匹配明文信息

[复制链接]
 成长值: 354

签到天数: 4743 天

[LV.Master]伴坛终老

发表于 2020/5/31 22:29 | 显示全部楼层 |阅读模式 |Google Chrome 83.0.4103.61|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
转:Linux系统iptables防火墙过滤拦截tls https加密流量特征码的方法 algo hex报文 抓包cipher suites 设备握手指纹匹配明文信息

1.png
“特征码”:cca8cca9c02fc02bc030c02cc027c013c023c009c014c00a130113031302

甚至可以利用 iptables 进行明文匹配……其他的 PoC 方式请大家自己开动脑筋……

代码参考:
  1. iptables -I OUTPUT -m string --algo kmp --hex-string "|001ecca8cca9c02fc02bc030c02cc027c013c023c009c014c00a130113031302|" -j DROP
复制代码


alpn采用了特殊值,以及使用了ClientSessionCache,并且不影响其他golang程序:
  1. iptables -N GOLANG
  2. iptables -A GOLANG -m string --algo bm ! --hex-string "|0010000e000c02683208687474702f312e31|" -j DROP
  3. iptables -A OUTPUT -m string --algo bm --hex-string "|0026c02fc030c02bc02ccca8cca9c013c009c014c00a009c009d002f0035c012000a130113031302|" -j GOLANG
复制代码


转:https://github.com/v2ray/discussion/issues/704


其实tcp包里也有个指纹信息,不过不适合用来做检测拦截,可以用来检测是几个用户之类
包括github上的jar3项目,wireshark就可以抓取tls中的jar3信息:https://github.com/salesforce/jarm
目前阶段只有sni域名检测,未来国产云肯定会加上这种设备握手指纹检测手段屏蔽拦截https访问
服务器上使用nginx反代可以避免检测吗?
反代一样,因为你客户端发出去的流量,你要在本地也搞一个反代,设置到127.0.0.1 端口,然后从反代上发出去请求
可以去掉这个jar3信息吗?
去掉特征就更明显了,http是目前最稳的,但是也有被检测的方式

评分

参与人数 2樱币 +3 收起 理由
宝多yarch + 2 赞一个!
windliao + 1 很给力!

查看全部评分

[发帖际遇]: 小樱 乐于助人,奖励 3 贡献. 幸运榜 / 衰神榜
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 1167 天

[LV.10]以坛为家III

发表于 2020/6/2 02:54 | 显示全部楼层 |Google Chrome 83.0.4103.61|Windows 10
[发帖际遇]: 不可名 乐于助人,奖励 4 贡献. 幸运榜 / 衰神榜
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2024/12/29 08:49 , Processed in 0.094988 second(s), 24 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表