在网站做推广属于广告费吗,点石嘉业北京网站建设公司,肥城网站建设方案,东莞知名网站建设Websocket协议代理隧道加密流量简介
攻防场景下#xff0c;Websocket协议常被用于代理隧道的搭建#xff0c;攻击者企图通过Websocket协议来绕过网络限制#xff0c;搭建一个低延迟、双向实时数据传输的隧道。当前#xff0c;主流的支持Websocket通信代理的工具有#xf…Websocket协议代理隧道加密流量简介
攻防场景下Websocket协议常被用于代理隧道的搭建攻击者企图通过Websocket协议来绕过网络限制搭建一个低延迟、双向实时数据传输的隧道。当前主流的支持Websocket通信代理的工具有FRP、wsp、wstunnel和TurboTunnel等。
以wstunnel工具为例当wstunnel使用Websocket协议搭建隧道代理相关流量时客户端使用HTTP Upgrade 机制来完成协议的握手阶段。当完成握手后客户端和服务端就使用Websocket协议的数据格式来进行全双工的通信。服务器和客户端都可以主动发送消息而不需要等待对方先发送消息。Wstunnel可以通过这种方式搭建起一个高性能、低延迟的Websocket隧道。 Websocket 在握手完成过后以数据帧为单位来传输数据。wstunnel的Websocket隧道流量如下图所示 Websocket的MASK加密
Websocket协议中有一个标志位Mask 用于指示数据是否启用掩码加密。当该位置为1时表明使用掩码加密则载荷长度后4字节为解密密钥。Websocket中的掩码加密使用异或xor做简单的加密当MASK字段对应位被设置为 1 时表示加密那么后续会设置4字节的Masking-keyMask位设置为 0 时表示不加密则不会携带Masking-key。目前标准的 Websocket 规定客户端发送数据必须使用掩码加密而服务器发送则不使用掩码加密。
下图是另一款wsp工具启用MASK加密后的流量 Websocket Secure
此外Websocket支持WSS属性即Websocket Secure传输为形式为“wss://”。该通信将Websocket数据通过TLS加密协议进行封装使得最外层看到的数据就是TLS协议通信传输数据更加隐蔽如图所示 Websocket协议代理工具加密流量样例
除了wstunnel和wsp还有其他工具也支持Websocket隧道
FRP Turbo Tunnel 上述四款工具对载荷的加密情况如下所示
客户端加密FRP、wsp、TurboTunnel服务端加密TurboTunnel客户端不加密wstunnel服务端不加密wstunnel、FRP、wsp
Websocket协议代理工具加密流量检测
上边介绍了几款常用工具的Websocket通信流量特征观成瞰云-加密威胁智能检测系统对这些工具使用Websocket加密通信的流量可以有效检测 总结
在攻防演练等场景中Websocket协议隧道具有低延迟、双向实时的高性能特点又具有较强的加密功能方便规避流量设备审计因此这类工具逐渐变得热门。观成科技的安全团队通过研究Websocket协议本身结构特点并与对应的工具流量相结合从而提出行之有效的检测方法应用于产品当中能在Websocket流量中准确发现异常找出相关隧道的搭建和使用痕迹保障客户网络的安全。我们会持续追踪和研究这类隧道工具不断提升产品的检测能力。
