الشركة قدمت Cloudflare مكتبة mitmengine المستخدمة للكشف عن اعتراض حركة مرور HTTPSبالإضافة إلى خدمة الويب Malcolm للتحليل المرئي للبيانات المتراكمة في Cloudflare.
تمت كتابة الكود بلغة Go ويتم توزيعه بموجب ترخيص BSD. أظهرت مراقبة حركة مرور Cloudflare باستخدام الأداة المقترحة أن ما يقرب من 18٪ من اتصالات HTTPS يتم اعتراضها.
اعتراض HTTPS
في معظم الحالات ، يتم اعتراض حركة مرور HTTPS من جانب العميل بسبب نشاط العديد من تطبيقات مكافحة الفيروسات المحليةأو جدران الحماية أو أنظمة الرقابة الأبوية أو البرامج الضارة (لسرقة كلمات المرور أو استبدال الإعلانات أو إطلاق رمز التعدين) أو أنظمة فحص حركة مرور الشركات.
تضيف هذه الأنظمة شهادة TLS الخاصة بك إلى قائمة الشهادات الموجودة على النظام المحلي ويستخدمونها لاعتراض حركة مرور المستخدم المحمية.
طلبات العملاء يتم إرسالها إلى الخادم الوجهة نيابة عن برنامج الاعتراض، وبعد ذلك يتم الرد على العميل في اتصال HTTPS منفصل تم إنشاؤه باستخدام شهادة TLS من نظام الاعتراض.
في بعض الحالات ، يتم تنظيم الاعتراض على جانب الخادم عندما ينقل مالك الخادم المفتاح الخاص إلى طرف ثالثعلى سبيل المثال ، مشغل الوكيل العكسي ، نظام حماية CDN أو DDoS ، الذي يتلقى طلبات شهادة TLS الأصلية وينقلها إلى الخادم الأصلي.
وعلى أية حال، يقوض اعتراض HTTPS سلسلة الثقة ويقدم رابطًا إضافيًا للتسوية ، مما يؤدي إلى انخفاض كبير في مستوى الحماية الاتصال ، مع ترك المظهر لوجود الحماية ودون التسبب في اشتباه المستخدمين.
حول ميتمينجين
لتحديد اعتراض HTTPS بواسطة Cloudflare ، يتم تقديم حزمة mitmengine ، والتي على الخادم ويسمح باكتشاف اعتراض HTTPS، بالإضافة إلى تحديد الأنظمة المستخدمة للاعتراض.
جوهر طريقة تحديد الاعتراض من خلال مقارنة الخصائص الخاصة بالمتصفح لمعالجة TLS مع حالة الاتصال الفعلية.
استنادًا إلى عنوان User Agent ، يحدد المحرك المتصفح ثم يقيم ما إذا كانت خصائص اتصال TLS أم لامثل معلمات TLS الافتراضية ، والإضافات المدعومة ، ومجموعة التشفير المُعلنة ، وإجراءات تعريف التشفير ، والمجموعات ، وتنسيقات المنحنى البيضاوي تتوافق مع هذا المتصفح.
تحتوي قاعدة بيانات التوقيع المستخدمة للتحقق على ما يقرب من 500 معرف نموذجي لمكدس TLS للمتصفحات وأنظمة الاعتراض.
يمكن جمع البيانات في الوضع الخامل من خلال تحليل محتوى الحقول في رسالة ClientHello ، التي يتم بثها بشكل مفتوح قبل تثبيت قناة الاتصال المشفرة.
يتم استخدام TShark من محلل شبكة Wireshark 3 لالتقاط حركة المرور.
يوفر مشروع mitmengine أيضًا مكتبة لدمج وظائف تحديد التقاطع في معالجات الخوادم العشوائية.
في أبسط الحالات ، يكفي تمرير قيم User Agent و TLS ClientHello للطلب الحالي وستعطي المكتبة احتمال الاعتراض والعوامل التي تستند إلى هذا الاستنتاج أو ذاك.
بناء على إحصاءات حركة المرور عبر شبكة توصيل محتوى Cloudflare ، والتي يعالج ما يقرب من 10٪ من إجمالي حركة المرور على الإنترنت، يتم إطلاق خدمة ويب تعكس التغيير في ديناميكيات الاعتراض يوميًا.
على سبيل المثال ، قبل شهر ، تم تسجيل اعتراضات لـ 13.27٪ من المجمعات ، وفي 19 آذار (مارس) ، كان الرقم 17.53٪ ، وفي 13 آذار (مارس) بلغ ذروته عند 19.02٪.
مقارنات
أكثر محركات الاعتراض شيوعًا هو نظام تصفية Symantec Bluecoat ، والذي يمثل 94.53٪ من جميع طلبات الاعتراض المحددة.
يتبع ذلك الوكيل العكسي لـ Akamai (4.57٪) و Forcepoint (0.54٪) و Barracuda (0.32٪).
لم يتم تضمين معظم أنظمة مكافحة الفيروسات والرقابة الأبوية في عينة المعترضات المحددة ، حيث لم يتم جمع تواقيع كافية للتعرف عليها بدقة.
في 52,35٪ من الحالات ، تم اعتراض حركة مرور إصدارات سطح المكتب من المتصفحات وفي 45,44٪ من المتصفحات للأجهزة المحمولة.
فيما يتعلق بأنظمة التشغيل ، فإن الإحصائيات كالتالي: Android (35.22٪) ، Windows 10 (22.23٪) ، Windows 7 (13.13٪) ، iOS (11.88٪) ، أنظمة تشغيل أخرى (17.54٪).
مصدر: https://blog.cloudflare.com