V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
godblessumilk
V2EX  ›  宽带症候群

加密流量如何识别它的特征?

  •  
  •   godblessumilk · 176 天前 via Android · 3909 次点击
    这是一个创建于 176 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如恶意攻击的流量
    35 条回复    2021-06-15 12:00:24 +08:00
    godblessumilk
        1
    godblessumilk  
    OP
       176 天前 via Android
    实时解密应该行不通?
    smileawei
        2
    smileawei  
       176 天前   ❤️ 2
    流量特征。
    还有就是加密前协商的时候会暴露一些信息。比如 https 可以通过 SNI 去判断你访问的是什么网站。
    再就是探测,发现疑似特征后,模拟客户端行为去探测。根据返回来判断。
    wanguorui123
        3
    wanguorui123  
       176 天前 via iPhone
    检测协议、端口、IP 特征、DNS 解析、模拟测试
    AlphaTauriHonda
        4
    AlphaTauriHonda  
       176 天前 via iPhone   ❤️ 3
    要有良知
    可以去看看 用来加密流量的程序 的逻辑和代码
    garipan
        5
    garipan  
       176 天前
    这要向最先进的流量识别产品学习,
    据说墙都用上 AI 识别了。
    xumng123
        6
    xumng123  
       176 天前 via iPhone
    墙吗,知道也不说🙊
    ReferenceE
        7
    ReferenceE  
       176 天前 via Android   ❤️ 3
    枪口抬高一寸
    战犯名单有你
    横批:
    xunandotme
        8
    xunandotme  
       176 天前
    我的 hostdare 两台昨天开始都凉了。
    yitingbai
        9
    yitingbai  
       175 天前   ❤️ 12
    软件,系统, 芯片全面落后, 但是流量识别这方面我敢说, 我国绝对是业界顶级, 你应该去咨询相关人士
    wzzzx
        10
    wzzzx  
       175 天前
    之前 GitHub 不是有篇论文讲用随机森林识别特殊流量么,找找看
    matrix67
        11
    matrix67  
       175 天前
    随机森林,支持向量机
    godblessumilk
        12
    godblessumilk  
    OP
       175 天前 via Android
    @wzzzx 菜鸡本科生弱弱地说一句,数学基础不好,决策树随机森林是啥都搞不懂啊。。
    wzzzx
        13
    wzzzx  
       175 天前
    @godblessumilk #12 这个不难啊。而且只是给你个思路,你可以去了解一下
    godblessumilk
        14
    godblessumilk  
    OP
       175 天前 via Android
    之所以提出这个疑问,是因为最近工作内容涉及到恶意流量过滤,很疑惑之前自己用 shadowsock 的时候为什么小飞机的 ip 那么快就被关小黑屋。。(是因为小飞机的目的地特征被识别到了,还是说这台 ssr 服务器就是网警放下的蜜罐)
    godblessumilk
        15
    godblessumilk  
    OP
       175 天前 via Android
    @wzzzx 好哒好哒,感谢大佬指路,实乃人肉防火墙的精神导师
    godblessumilk
        16
    godblessumilk  
    OP
       175 天前 via Android
    @smileawei 北京理工大学教授罗森林和两名学生王帅鹏、潘丽敏,于 2019 年 3 月 25 日申请名为“基于长短期记忆网络的 V2ray 流量识别方法”的专利。2019 年 10 月 25 日,该专利的法律状态修改为“发明专利申请公布后的撤回”。

    V2Ray 项目组表示,专利并不会保证方法的有效性,专利仅仅是保护方法本身。其次,该专利的描述存在一些问题。

    专利中提到:“V2ray 服务端与客户端进行每次通信时需要预先交换密钥,因而每次通信较为靠前的数据包具有显著特征”。实际上,VMess 协议并不存在“预先交换密钥”这个步骤。即使将 V2Ray 与需要进行“预先交换密钥”的协议配合使用,那么进行“预先交换密钥”时的数据包也不会有 V2Ray 的数据特征,因为此时还没有开始发送有效数据,即使有特征也是配合使用的协议的特征
    zk8802
        17
    zk8802  
       175 天前 via iPhone
    Great Firewall Report 网站中的 How China Detects and Blocks Shadowsocks 有比较详细的解释。
    godblessumilk
        18
    godblessumilk  
    OP
       175 天前 via Android
    @zk8802 记下了,老哥这是来自十年编程老汉的正道之光
    fhbyljj
        19
    fhbyljj  
       175 天前 via Android   ❤️ 15
    祝各位 GFW 相关单位 人员,全家死清光,五马分尸



    唯一最想骂的人。就是这群逼,骂完舒服多了
    yousabuk
        20
    yousabuk  
       175 天前 via iPhone
    居然还有人献计献策,傻傻分不清?自掘坟墓?
    搭的梯子上 V2EX 再贡献如何识别加密流量的计策?
    godblessumilk
        21
    godblessumilk  
    OP
       175 天前 via Android
    @yousabuk 加密流量可不止用来绕过防火墙这个功能💦还能发动恶意攻击
    godblessumilk
        22
    godblessumilk  
    OP
       175 天前 via Android
    @wzzzx 简单地了解了下用随机森林搞的流量识别,感觉不大靠谱啊。。。实验室的简单网络环境,强大的算力支持下,有一定概率能识别,跟实际应用中的复杂网络大规模部署,怕不是一个事情哦
    @matrix67
    cwek
        23
    cwek  
       175 天前
    @godblessumilk 但是之后有人在项目做过 CNN 训练,证实纯 vmess 在家用环境是可以识别的,(而且之前也有人提出服务接口有主动探测可能),项目守夜直接开始调整认证头部分,而且基本上不建议再用纯 vmess 了。
    guanyin8cnq12
        24
    guanyin8cnq12  
       175 天前 via Android
    给 ss 套一层 SSL
    qwvy2g
        25
    qwvy2g  
       174 天前 via Android   ❤️ 1
    现在不是单纯加密流量了,不匹配已知协议就是特征。
    godblessumilk
        26
    godblessumilk  
    OP
       174 天前 via Android
    @qwvy2g 茅塞顿开!!!这个思路棒!!!(大佬看着像经常逛 hostloc 这个论坛的运维老哥?
    godblessumilk
        27
    godblessumilk  
    OP
       174 天前 via Android
    @qwvy2g 但是 V2Ray 有个功能,把自己的加密伪装成正常的 https
    xaviertoo
        28
    xaviertoo  
       174 天前
    @fhbyljj 我有时也有该想法。

    然而如果有时间 GFW 用你无法拒绝的报酬邀请你加入,你会否动摇哈?
    fhbyljj
        29
    fhbyljj  
       174 天前 via Android
    @xaviertoo 没有如果,因为我还没有这个技术
    alfchin
        30
    alfchin  
       174 天前 via iPhone
    @godblessumilk 假装的多观察几次还是能发现漏洞的
    guanyin8cnq12
        31
    guanyin8cnq12  
       173 天前 via Android
    @godblessumilk 其实越伪装,特征越明显。一个是无特征流量,一个是伪装流量,从一个极端到另一个极端。

    最好的方法就是给 ss 套一层 tls1.3 。tls1.3 大家都在用,支持前向加密,q 怎不能全给禁掉吧。按照这个思路去搞。
    Laitinlok
        32
    Laitinlok  
       173 天前 via Android
    @guanyin8cnq12 tls 1.3 + ECH 才行
    guanyin8cnq12
        33
    guanyin8cnq12  
       173 天前 via Android
    @Laitinlok 对,ecc cert + x22519 curve
    bclerdx
        34
    bclerdx  
       173 天前
    @xaviertoo 要坚持不作恶。
    oversleep
        35
    oversleep  
       172 天前 via iPhone
    @xaviertoo 赚了钱以后再逃出去吗?不然你的子子孙孙,还是活在这种环境里。也或者你真的逃出去了,下半辈子能心安理得的花着钱开心过日子,那也行吧。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2369 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:50 · PVG 21:50 · LAX 05:50 · JFK 08:50
    ♥ Do have faith in what you're doing.