V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
godblessumilk
V2EX  ›  宽带症候群

加密流量如何识别它的特征?

  •  
  •   godblessumilk · 2021-06-11 15:46:20 +08:00 via Android · 7392 次点击
    这是一个创建于 1021 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如恶意攻击的流量
    36 条回复    2022-06-16 18:23:48 +08:00
    godblessumilk
        1
    godblessumilk  
    OP
       2021-06-11 15:50:11 +08:00 via Android
    实时解密应该行不通?
    smileawei
        2
    smileawei  
       2021-06-11 17:59:27 +08:00   ❤️ 2
    流量特征。
    还有就是加密前协商的时候会暴露一些信息。比如 https 可以通过 SNI 去判断你访问的是什么网站。
    再就是探测,发现疑似特征后,模拟客户端行为去探测。根据返回来判断。
    wanguorui123
        3
    wanguorui123  
       2021-06-11 18:54:22 +08:00 via iPhone
    检测协议、端口、IP 特征、DNS 解析、模拟测试
    AlphaTauriHonda
        4
    AlphaTauriHonda  
       2021-06-11 18:55:50 +08:00 via iPhone   ❤️ 3
    要有良知
    可以去看看 用来加密流量的程序 的逻辑和代码
    garipan
        5
    garipan  
       2021-06-11 19:19:26 +08:00
    这要向最先进的流量识别产品学习,
    据说墙都用上 AI 识别了。
    xumng123
        6
    xumng123  
       2021-06-11 19:21:24 +08:00 via iPhone
    墙吗,知道也不说🙊
    ReferenceE
        7
    ReferenceE  
       2021-06-11 19:33:20 +08:00 via Android   ❤️ 4
    枪口抬高一寸
    战犯名单有你
    横批:
    xunandotme
        8
    xunandotme  
       2021-06-11 21:49:47 +08:00
    我的 hostdare 两台昨天开始都凉了。
    yitingbai
        9
    yitingbai  
       2021-06-11 21:53:40 +08:00   ❤️ 12
    软件,系统, 芯片全面落后, 但是流量识别这方面我敢说, 我国绝对是业界顶级, 你应该去咨询相关人士
    wzzzx
        10
    wzzzx  
       2021-06-11 21:54:55 +08:00
    之前 GitHub 不是有篇论文讲用随机森林识别特殊流量么,找找看
    matrix67
        11
    matrix67  
       2021-06-11 22:52:50 +08:00
    随机森林,支持向量机
    godblessumilk
        12
    godblessumilk  
    OP
       2021-06-11 23:21:05 +08:00 via Android
    @wzzzx 菜鸡本科生弱弱地说一句,数学基础不好,决策树随机森林是啥都搞不懂啊。。
    wzzzx
        13
    wzzzx  
       2021-06-11 23:23:08 +08:00
    @godblessumilk #12 这个不难啊。而且只是给你个思路,你可以去了解一下
    godblessumilk
        14
    godblessumilk  
    OP
       2021-06-11 23:24:51 +08:00 via Android
    之所以提出这个疑问,是因为最近工作内容涉及到恶意流量过滤,很疑惑之前自己用 shadowsock 的时候为什么小飞机的 ip 那么快就被关小黑屋。。(是因为小飞机的目的地特征被识别到了,还是说这台 ssr 服务器就是网警放下的蜜罐)
    godblessumilk
        15
    godblessumilk  
    OP
       2021-06-11 23:28:56 +08:00 via Android
    @wzzzx 好哒好哒,感谢大佬指路,实乃人肉防火墙的精神导师
    godblessumilk
        16
    godblessumilk  
    OP
       2021-06-11 23:33:00 +08:00 via Android
    @smileawei 北京理工大学教授罗森林和两名学生王帅鹏、潘丽敏,于 2019 年 3 月 25 日申请名为“基于长短期记忆网络的 V2ray 流量识别方法”的专利。2019 年 10 月 25 日,该专利的法律状态修改为“发明专利申请公布后的撤回”。

    V2Ray 项目组表示,专利并不会保证方法的有效性,专利仅仅是保护方法本身。其次,该专利的描述存在一些问题。

    专利中提到:“V2ray 服务端与客户端进行每次通信时需要预先交换密钥,因而每次通信较为靠前的数据包具有显著特征”。实际上,VMess 协议并不存在“预先交换密钥”这个步骤。即使将 V2Ray 与需要进行“预先交换密钥”的协议配合使用,那么进行“预先交换密钥”时的数据包也不会有 V2Ray 的数据特征,因为此时还没有开始发送有效数据,即使有特征也是配合使用的协议的特征
    zk8802
        17
    zk8802  
       2021-06-11 23:45:19 +08:00 via iPhone
    Great Firewall Report 网站中的 How China Detects and Blocks Shadowsocks 有比较详细的解释。
    godblessumilk
        18
    godblessumilk  
    OP
       2021-06-11 23:49:18 +08:00 via Android
    @zk8802 记下了,老哥这是来自十年编程老汉的正道之光
    fhbyljj
        19
    fhbyljj  
       2021-06-12 01:08:37 +08:00 via Android   ❤️ 19
    祝各位 GFW 相关单位 人员,全家死清光,五马分尸



    唯一最想骂的人。就是这群逼,骂完舒服多了
    yousabuk
        20
    yousabuk  
       2021-06-12 09:16:33 +08:00 via iPhone
    居然还有人献计献策,傻傻分不清?自掘坟墓?
    搭的梯子上 V2EX 再贡献如何识别加密流量的计策?
    godblessumilk
        21
    godblessumilk  
    OP
       2021-06-12 09:25:33 +08:00 via Android
    @yousabuk 加密流量可不止用来绕过防火墙这个功能💦还能发动恶意攻击
    godblessumilk
        22
    godblessumilk  
    OP
       2021-06-12 11:56:14 +08:00 via Android
    @wzzzx 简单地了解了下用随机森林搞的流量识别,感觉不大靠谱啊。。。实验室的简单网络环境,强大的算力支持下,有一定概率能识别,跟实际应用中的复杂网络大规模部署,怕不是一个事情哦
    @matrix67
    cwek
        23
    cwek  
       2021-06-12 19:27:29 +08:00
    @godblessumilk 但是之后有人在项目做过 CNN 训练,证实纯 vmess 在家用环境是可以识别的,(而且之前也有人提出服务接口有主动探测可能),项目守夜直接开始调整认证头部分,而且基本上不建议再用纯 vmess 了。
    guanyin8cnq12
        24
    guanyin8cnq12  
       2021-06-12 20:47:37 +08:00 via Android
    给 ss 套一层 SSL
    qwvy2g
        25
    qwvy2g  
       2021-06-13 11:58:09 +08:00 via Android   ❤️ 1
    现在不是单纯加密流量了,不匹配已知协议就是特征。
    godblessumilk
        26
    godblessumilk  
    OP
       2021-06-13 12:29:29 +08:00 via Android
    @qwvy2g 茅塞顿开!!!这个思路棒!!!(大佬看着像经常逛 hostloc 这个论坛的运维老哥?
    godblessumilk
        27
    godblessumilk  
    OP
       2021-06-13 12:32:52 +08:00 via Android
    @qwvy2g 但是 V2Ray 有个功能,把自己的加密伪装成正常的 https
    xaviertoo
        28
    xaviertoo  
       2021-06-13 15:15:34 +08:00
    @fhbyljj 我有时也有该想法。

    然而如果有时间 GFW 用你无法拒绝的报酬邀请你加入,你会否动摇哈?
    fhbyljj
        29
    fhbyljj  
       2021-06-13 16:21:48 +08:00 via Android
    @xaviertoo 没有如果,因为我还没有这个技术
    alfchin
        30
    alfchin  
       2021-06-13 18:51:36 +08:00 via iPhone
    @godblessumilk 假装的多观察几次还是能发现漏洞的
    guanyin8cnq12
        31
    guanyin8cnq12  
       2021-06-13 23:39:18 +08:00 via Android
    @godblessumilk 其实越伪装,特征越明显。一个是无特征流量,一个是伪装流量,从一个极端到另一个极端。

    最好的方法就是给 ss 套一层 tls1.3 。tls1.3 大家都在用,支持前向加密,q 怎不能全给禁掉吧。按照这个思路去搞。
    Laitinlok
        32
    Laitinlok  
       2021-06-14 02:49:49 +08:00 via Android
    @guanyin8cnq12 tls 1.3 + ECH 才行
    guanyin8cnq12
        33
    guanyin8cnq12  
       2021-06-14 05:29:40 +08:00 via Android
    @Laitinlok 对,ecc cert + x22519 curve
    bclerdx
        34
    bclerdx  
       2021-06-14 21:48:03 +08:00
    @xaviertoo 要坚持不作恶。
    oversleep
        35
    oversleep  
       2021-06-15 12:00:24 +08:00 via iPhone
    @xaviertoo 赚了钱以后再逃出去吗?不然你的子子孙孙,还是活在这种环境里。也或者你真的逃出去了,下半辈子能心安理得的花着钱开心过日子,那也行吧。
    v23x
        36
    v23x  
       2022-06-16 18:23:48 +08:00
    你们还真就在给人家出谋划策
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5093 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 09:45 · PVG 17:45 · LAX 02:45 · JFK 05:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.