Cloudflare ابزارهای شناسایی رهگیری HTTPS را معرفی کرد

monster-in-the-middleware @ 2x

این شرکت Cloudflare کتابخانه mitmengine را برای شناسایی رهگیری ترافیک HTTPS معرفی کرد، و همچنین سرویس وب مالکوم برای تجزیه و تحلیل بصری داده های جمع شده در Cloudflare.

کد به زبان Go نوشته شده و تحت مجوز BSD توزیع می شود. نظارت بر ترافیک Cloudflare با استفاده از ابزار پیشنهادی نشان داد که تقریباً 18٪ از اتصالات HTTPS رهگیری می شود.

رهگیری HTTPS

در بیشتر موارد ، به دلیل فعالیت برنامه های مختلف ضد ویروس محلی ، ترافیک HTTPS در سمت سرویس گیرنده رهگیری می شود، دیوارهای آتش ، سیستم های کنترل والدین ، ​​بدافزار (برای سرقت رمزهای عبور ، جایگزینی تبلیغات یا راه اندازی کد استخراج) یا سیستم های بازرسی ترافیک شرکت ها.

چنین سیستم هایی گواهینامه TLS شما را به لیست گواهینامه های سیستم محلی اضافه می کنند و آنها از آن برای رهگیری ترافیک محافظت شده کاربر استفاده می کنند.

درخواست مشتری از طرف نرم افزار رهگیری به سرور مقصد ارسال می شود، پس از آن مشتری با اتصال HTTPS جداگانه ای که با استفاده از گواهینامه TLS از سیستم رهگیری برقرار شده است ، پاسخ می دهد.

در بعضی موارد ، وقتی مالک سرور کلید خصوصی را به شخص ثالث انتقال می دهد ، رهگیری در سمت سرور سازماندهی می شودبه عنوان مثال ، اپراتور پروکسی معکوس ، سیستم محافظت CDN یا DDoS ، که درخواست های گواهینامه TLS اصلی را دریافت می کند و آنها را به سرور اصلی منتقل می کند.

در هر حال، رهگیری HTTPS زنجیره اعتماد را تضعیف می کند و پیوند دیگری از مصالحه را ایجاد می کند ، که منجر به کاهش قابل توجه سطح محافظت می شود اتصال ، در حالی که ظاهر محافظت و بدون ایجاد سوicion ظن برای کاربران است.

درباره mitmengine

برای شناسایی رهگیری HTTPS توسط Cloudflare ، بسته mitmengine ارائه می شود که بر روی سرور نصب می شود و اجازه می دهد رهگیری HTTPS شناسایی شود، و همچنین تعیین اینکه کدام سیستم ها برای رهگیری استفاده شده است.

ماهیت روش تعیین رهگیری با مقایسه ویژگی های خاص مرورگر پردازش TLS با وضعیت اتصال واقعی.

بر اساس هدر User Agent ، موتور مرورگر را تعیین می کند و سپس ویژگی های اتصال TLS را ارزیابی می کندمانند پارامترهای پیش فرض TLS ، پسوندهای پشتیبانی شده ، مجموعه رمزهای اعلام شده ، روش تعریف رمز ، گروه ها و قالب های منحنی بیضوی با این مرورگر مطابقت دارند.

پایگاه داده امضاها که برای تأیید استفاده می شود ، تقریباً 500 شناسه پشته TLS معمولی برای مرورگرها و سیستم های رهگیری دارد.

با تجزیه و تحلیل محتوای زمینه ها می توان داده ها را در حالت غیرفعال جمع آوری کرد در پیام ClientHello ، که قبل از نصب کانال ارتباطی رمزگذاری شده به صورت آزاد پخش می شود.

TShark از تحلیلگر شبکه Wireshark 3 برای گرفتن ترافیک استفاده می شود.

پروژه mitmengine همچنین کتابخانه ای برای ادغام توابع تعیین رهگیری در کنترل کننده های دلخواه سرور فراهم می کند.

در ساده ترین حالت کافی است مقادیر User Agent و TLS ClientHello از درخواست فعلی را تصویب کنید و کتابخانه احتمال رهگیری و عواملی را که براساس آن نتیجه گیری شده است ، ارائه می دهد.

بر اساس آمار ترافیک عبور از شبکه تحویل محتوای Cloudflare ، که تقریباً 10٪ از کل ترافیک اینترنت را پردازش می کند، یک وب سرویس راه اندازی شده است که تغییر در پویایی رهگیری در روز را منعکس می کند.

به عنوان مثال ، یک ماه پیش ، رهگیری برای 13.27٪ از ترکیبات ثبت شد ، در 19 مارس ، این رقم 17.53٪ بود ، و در 13 مارس به اوج 19.02٪ رسید.

مقایسه ها

مشهورترین موتور رهگیری سیستم فیلتراسیون Symantec Bluecoat است که 94.53٪ از کل درخواستهای رهگیری شناسایی شده را تشکیل می دهد.

به دنبال آن پروکسی معکوس آکامای (4.57٪) ، Forcepoint (0.54٪) و Barracuda (0.32٪) وجود دارد.

بیشتر سیستم های ضد ویروس و کنترل والدین در نمونه رهگیرهای شناسایی شده گنجانده نشده اند ، زیرا امضای کافی برای شناسایی دقیق آنها جمع نشده است.

در 52,35٪ موارد ، ترافیک نسخه های دسک تاپ مرورگرها و در 45,44٪ مرورگرها برای دستگاه های تلفن همراه رهگیری شده است.

از نظر سیستم عامل ها ، آمار به شرح زیر است: Android (35.22٪)، Windows 10 (22.23٪)، Windows 7 (13.13٪)، iOS (11.88٪)، سایر سیستم عاملها (17.54٪).

Fuente: https://blog.cloudflare.com


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.