这是一个创建于 1262 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如恶意攻击的流量
 |
1
godblessumilk OP 实时解密应该行不通?
|
 |
2
smileawei 2021-06-11 17:59:27 +08:00  2
流量特征。
还有就是加密前协商的时候会暴露一些信息。比如 https 可以通过 SNI 去判断你访问的是什么网站。 再就是探测,发现疑似特征后,模拟客户端行为去探测。根据返回来判断。 |
 |
3
wanguorui123 2021-06-11 18:54:22 +08:00 via iPhone
检测协议、端口、IP 特征、DNS 解析、模拟测试
|
 |
4
AlphaTauriHonda 2021-06-11 18:55:50 +08:00 via iPhone 3
要有良知
可以去看看 用来加密流量的程序 的逻辑和代码 |
 |
5
garipan 2021-06-11 19:19:26 +08:00
这要向最先进的流量识别产品学习,
据说墙都用上 AI 识别了。 |
 |
6
xumng123 2021-06-11 19:21:24 +08:00 via iPhone
墙吗,知道也不说🙊
|
 |
7
ReferenceE 2021-06-11 19:33:20 +08:00 via Android 4
枪口抬高一寸
战犯名单有你 横批: |
 |
8
xunandotme 2021-06-11 21:49:47 +08:00
我的 hostdare 两台昨天开始都凉了。
|
 |
9
yitingbai 2021-06-11 21:53:40 +08:00 12
软件,系统, 芯片全面落后, 但是流量识别这方面我敢说, 我国绝对是业界顶级, 你应该去咨询相关人士
|
 |
10
wzzzx 2021-06-11 21:54:55 +08:00
之前 GitHub 不是有篇论文讲用随机森林识别特殊流量么,找找看
|
 |
11
matrix67 2021-06-11 22:52:50 +08:00
随机森林,支持向量机
|
|
12
godblessumilk OP @wzzzx 菜鸡本科生弱弱地说一句,数学基础不好,决策树随机森林是啥都搞不懂啊。。
|
|
13
wzzzx 2021-06-11 23:23:08 +08:00
@godblessumilk #12 这个不难啊。而且只是给你个思路,你可以去了解一下
|
|
14
godblessumilk OP 之所以提出这个疑问,是因为最近工作内容涉及到恶意流量过滤,很疑惑之前自己用 shadowsock 的时候为什么小飞机的 ip 那么快就被关小黑屋。。(是因为小飞机的目的地特征被识别到了,还是说这台 ssr 服务器就是网警放下的蜜罐)
|
|
15
godblessumilk OP @wzzzx 好哒好哒,感谢大佬指路,实乃人肉防火墙的精神导师
|
|
16
godblessumilk OP @smileawei 北京理工大学教授罗森林和两名学生王帅鹏、潘丽敏,于 2019 年 3 月 25 日申请名为“基于长短期记忆网络的 V2ray 流量识别方法”的专利。2019 年 10 月 25 日,该专利的法律状态修改为“发明专利申请公布后的撤回”。
V2Ray 项目组表示,专利并不会保证方法的有效性,专利仅仅是保护方法本身。其次,该专利的描述存在一些问题。 专利中提到:“V2ray 服务端与客户端进行每次通信时需要预先交换密钥,因而每次通信较为靠前的数据包具有显著特征”。实际上,VMess 协议并不存在“预先交换密钥”这个步骤。即使将 V2Ray 与需要进行“预先交换密钥”的协议配合使用,那么进行“预先交换密钥”时的数据包也不会有 V2Ray 的数据特征,因为此时还没有开始发送有效数据,即使有特征也是配合使用的协议的特征 |
 |
17
zk8802 2021-06-11 23:45:19 +08:00 via iPhone
Great Firewall Report 网站中的 How China Detects and Blocks Shadowsocks 有比较详细的解释。
|
|
18
godblessumilk OP @zk8802 记下了,老哥这是来自十年编程老汉的正道之光
|
 |
19
fhbyljj 2021-06-12 01:08:37 +08:00 via Android 19
祝各位 GFW 相关单位 人员,全家死清光,五马分尸
唯一最想骂的人。就是这群逼,骂完舒服多了 |
 |
20
yousabuk 2021-06-12 09:16:33 +08:00 via iPhone
居然还有人献计献策,傻傻分不清?自掘坟墓?
搭的梯子上 V2EX 再贡献如何识别加密流量的计策? |
|
21
godblessumilk OP @yousabuk 加密流量可不止用来绕过防火墙这个功能💦还能发动恶意攻击
|
|
22
godblessumilk OP |
 |
23
cwek 2021-06-12 19:27:29 +08:00
@godblessumilk 但是之后有人在项目做过 CNN 训练,证实纯 vmess 在家用环境是可以识别的,(而且之前也有人提出服务接口有主动探测可能),项目守夜直接开始调整认证头部分,而且基本上不建议再用纯 vmess 了。
|
 |
24
guanyin8cnq12 2021-06-12 20:47:37 +08:00 via Android
给 ss 套一层 SSL
|
 |
25
qwvy2g 2021-06-13 11:58:09 +08:00 via Android 1
现在不是单纯加密流量了,不匹配已知协议就是特征。
|
|
26
godblessumilk OP @qwvy2g 茅塞顿开!!!这个思路棒!!!(大佬看着像经常逛 hostloc 这个论坛的运维老哥?
|
|
27
godblessumilk OP @qwvy2g 但是 V2Ray 有个功能,把自己的加密伪装成正常的 https
|
 |
30
alfchin 2021-06-13 18:51:36 +08:00 via iPhone
@godblessumilk 假装的多观察几次还是能发现漏洞的
|
|
31
guanyin8cnq12 2021-06-13 23:39:18 +08:00 via Android
@godblessumilk 其实越伪装,特征越明显。一个是无特征流量,一个是伪装流量,从一个极端到另一个极端。
最好的方法就是给 ss 套一层 tls1.3 。tls1.3 大家都在用,支持前向加密,q 怎不能全给禁掉吧。按照这个思路去搞。 |
 |
32
Laitinlok 2021-06-14 02:49:49 +08:00 via Android
@guanyin8cnq12 tls 1.3 + ECH 才行
|
|
33
guanyin8cnq12 2021-06-14 05:29:40 +08:00 via Android
@Laitinlok 对,ecc cert + x22519 curve
|
 |
35
oversleep 2021-06-15 12:00:24 +08:00 via iPhone
@xaviertoo 赚了钱以后再逃出去吗?不然你的子子孙孙,还是活在这种环境里。也或者你真的逃出去了,下半辈子能心安理得的花着钱开心过日子,那也行吧。
|
 |
36
v23x 2022-06-16 18:23:48 +08:00
你们还真就在给人家出谋划策
|
Select Language