deep-packet-inspection
使用 IPS(入侵防御系统)来增强 WAF(Web 应用程序防火墙)是否有意义?
以下场景: Web 应用程序,仅限 HTTP/S 流量 防火墙仅允许端口 80/443 上的流量 WAF 已到位,将拒绝恶意流量 问题:在这种情况下,采用 IPS/深度包检测解决方案是否有任何附加价值?据我所知:没有。但我没有找到任何明确的答案。 ...
deep-packet-inspection
deep-packet-inspection
Chrome 谷歌证书深度检查
我使用公司根 CA 从防火墙启用了深度检查,以进行 HTTPS 连接。它在所有网站和浏览器上都运行良好,但我发现 Google Chrome 的行为很奇怪。 当我使用 Chrome 打开 google 网站时,证书仍然由 google 颁发。当我打开所有其他网站时,证书都是由我的本地 CA 颁发的。 如果我使用所有其他浏览器(Firefox、IE)打开 Google 网站,证书将按预期由我的本地 CA 颁发。 Google Chrome 应用程序如何绕过仅针对 Google 网站的深度检查? ...
deep-packet-inspection
具有深度数据包检测/流量记录功能的 TLS websocket 代理
我有一个非常特殊的场景,其中机器(物联网)通过 websockets 与中央服务器进行通信。 我需要检查 websockets 流量(wss/tls)以进行审计和监控(尤其是故障排除)。我们无法在 IoT 或服务器站点上执行此操作,因为我们不维护软件。 我们可以配置中央服务器的 url/ip。因此,我想通过代理/负载均衡器路由流量,并在 tls 桥接模式下拦截/记录流量。理想情况下,代理应该是免费的(可选)和可扩展的(>65k 个连接,强制性)。我还知道 MITM websocket 代理,它们可以用于渗透测试和测试目的,但我不知道有哪个代理是可扩...
deep-packet-inspection
使用 nft 或 iptables 通过队列改变转发数据包的数据包内容
我需要创建一个中等大小的应用程序,可以大幅更改转发数据包的内容。我想知道我是否可以使用基于 nft 或 iptables 队列之类的用户空间应用程序来更改用于路由的数据包的内容(有点像中间人)。 我在文档中看到的所有内容都涉及接受或丢弃数据包而不是改变其内容,并且我在某处读到过,负责队列的库只从内核空间复制数据包,因此我无法改变它们,但我想知道也许我遗漏了一些东西,或者有一个已知的关于做这种事情的黑客行为。 我真的很感激您的意见并非常感谢。 ...
deep-packet-inspection
关于 Linux 内核 Netfilter 部分中深度数据包检测的说明
Linux 内核提供 Netfilter 作为 NAT 和防火墙功能的机制。这两种功能都需要对传入数据包进行分析和分类,这被称为“状态数据包检查”。 对于大多数流量,查看 IP 数据包头就足够了。但是,FTP、IRC、H.323(以及其他一些协议)等协议在内核配置中具有特定模块,以便于这些数据包进行正确的 NAT 遍历。在内核中,这些被称为“conntrack 模块”。 现在,我的理解是,检查这些数据包的有效负载是为了使 netfilter 能够识别外部连接何时到达并需要路由到相应的客户端。这是因为协议需要 OSI 第 7 层传输的信息,这会直接影响第 ...
deep-packet-inspection
如果 SSL 可以轻松解密,那么在网站上使用 SSL 的理由是什么?
既然 SSL 可以使用基本的中间人节点轻松解密,那么继续使用它的理由是什么?大多数 ISP 不是每天都使用深度数据包检测进行解密吗?并且,难道不可能在数据包路由的任何一跳(不仅仅是 ISP)上放置 MITM 节点进行解密,从而使 SSL 完全不安全吗? ...
deep-packet-inspection
在实施 DPI-SSL 之前,是否可以从 Sonicwall 获取用户访问过的 https 主机列表?
我之所以问这个问题,是因为人们可以使用日志来找到一个 https 站点列表,通过计算实施前的访问次数来将其列入白名单。但有一些东西告诉我,情况并非如此,因为如果没有某种 MITM 机制,你就无法阻止 SSL 流量。 事后也可以这样做吗?这样就能尽早发现白名单问题? ...
deep-packet-inspection
Skype 群聊在安全的地方吗?
在安全的地方工作时 - 某些地方使用 HTTPS 检查防火墙、可能是应用程序级别过滤等 - 如何让群聊在 Skype 中正常工作? 将 skype.com / pipe.skype.com 添加到 HTTPS 检查绕过列表可以使主聊天、VoIP 和视频正常运行,但它无法解决群聊的“旋转轮”问题。 ...
deep-packet-inspection
为托管浏览器禁用 HSTS
对于新网站和内置于浏览器中的网站,我可以选择哪些选项来禁用 HSTS? 使用 HTTPS 检查本质上会通过充当中间人来改变网站的指纹;访问之前未进行 HTTPS 检查的网站或预加载的网站之一将导致无法访问网站。除了禁用检查外,我还有什么选择(如果有的话)? 以下是 Chrome 中带有 HTTPS 检查的 Gmail 的示例: 背景 我正在设置新的防火墙,并尝试清理 HTTPS 检查规则。我真的避免将可能包含用户贡献内容的网站添加到列表中,例如 mail.google.com / gmail.com。 自从我上次这样做以来HSTS / HTT...
deep-packet-inspection
关于如何捕获网络连接/流量以确定浏览器/SSL 版本的建议?
请注意,我已将此问题发布到 StackExchange InfoSec 网站,但它并不像 ServerFault 那样受欢迎,而且更多涉及 Web 服务的网络收集技术方面。 我开始思考如何分析我的网络流量,以获取有关我的 Web 服务器群的 SSL 和浏览器使用情况的信息。我还怀疑我们的网络上正在运行一些影子(旧式、未知)Web 服务器,我想尝试捕获与它们的连接。 基本上我正在寻找一种廉价的解决方案,可以: 记录所有连接及其协议,类似于 Wireshark 记录源/目标和协议的方式,但不收集数据本身。仅收集标头和协议类型信息。(例如源/目标 IP 地...
deep-packet-inspection
如何获取协议签名?
有人知道我们如何获取各种协议(例如 BGP、DHCP、VxLAN 等)的签名吗? 所谓签名,实际上是指深度数据包检测引擎中用于模式匹配的模式(例如 0x234557888)。我想编写一个 DPI 代码来检测某些协议(例如上面提到的协议)。 是否存在某种算法可以找到签名? ...
deep-packet-inspection
基于内容的包过滤代理
我想设置一个代理服务器,当 HTTP 响应主体中出现特定模式(403 Forbidden,包含一些特殊内容)时,该服务器会将数据包重新路由到其他方式(例如,通过另一个代理)。可以使用哪些代理服务器?如何使用? ...
deep-packet-inspection
捕获单个应用程序的网络流量?
我正在寻找一种方法/黑客/内核模块来捕获 PID 及其所有分支/子进程的网络流量。 我有一个 Firefox 应用程序,它可以打开一些网页并开始使用 Flash 流、WMV 或任何其他流协议进行流式传输,以及“简单”下载 img、js 和其他“静态”内容。 我感兴趣的是捕获这些流量并最终隔离这些流。 Wireshark 不支持通过进程 ID 进行捕获,但我认为这可以解决(这是我的问题的核心)。显然,设置一个完整的虚拟机并只运行带有 wireshark 的 Firefox 就可以了,但我对更轻量级的解决方案更满意,也许基于 chroot?结合 iptab...
deep-packet-inspection
深度数据包检测
最近我发现一些用户可能滥用我们的平台,不遵守我们的规则。 基本上,我们运营的是一个由学生为学生提供的平台。我们以超低价格出售 shell 账户和 VPS(例如 1 年 VPS 仅需 15 欧元)。 规则 我们确实有一些基本规则来提供安全性并确保平台仅用于教育目的。然而,有传言称,一些用户并不真正关心某些规则。这可能会导致我们的系统受到损害。我们在主 shell 服务器上运行脚本,以确保用户不会共享受版权保护的文件。过去,我们曾有用户在论坛上分享音乐,之后我们收到了一些不太高兴的人的来访,他们想把我们告上法庭。脚本会查找具有某些可能受版权保护的扩展名的文...