Công ty Cloudflare giới thiệu thư viện mitmengine dùng để phát hiện chặn lưu lượng HTTPScũng như dịch vụ web Malcolm để phân tích trực quan dữ liệu được tích lũy trong Cloudflare.
Mã được viết bằng ngôn ngữ Go và được phân phối theo giấy phép BSD. Theo dõi lưu lượng của Cloudflare bằng công cụ được đề xuất cho thấy rằng khoảng 18% kết nối HTTPS bị chặn.
Đánh chặn HTTPS
Trong hầu hết các trường hợp, Lưu lượng HTTPS bị chặn ở phía máy khách do hoạt động của các ứng dụng chống vi-rút cục bộ khác nhau, tường lửa, hệ thống kiểm soát của phụ huynh, phần mềm độc hại (để đánh cắp mật khẩu, thay thế quảng cáo hoặc khởi chạy mã khai thác) hoặc hệ thống kiểm tra lưu lượng của công ty.
Các hệ thống như vậy thêm chứng chỉ TLS của bạn vào danh sách chứng chỉ trên hệ thống cục bộ và họ sử dụng nó để chặn lưu lượng người dùng được bảo vệ.
Yêu cầu của khách hàng được truyền đến máy chủ đích thay mặt cho phần mềm đánh chặn, sau đó máy khách được trả lời trong một kết nối HTTPS riêng biệt được thiết lập bằng chứng chỉ TLS từ hệ thống đánh chặn.
Trong một số trường hợp, đánh chặn được tổ chức ở phía máy chủ khi chủ sở hữu máy chủ chuyển khóa cá nhân cho bên thứ baVí dụ: nhà khai thác proxy ngược, hệ thống bảo vệ CDN hoặc DDoS, nhận yêu cầu chứng chỉ TLS gốc và truyền chúng đến máy chủ gốc.
Trong mọi trường hợp, Đánh chặn HTTPS phá hoại chuỗi tin cậy và tạo ra một liên kết thỏa hiệp bổ sung, dẫn đến mức độ bảo vệ giảm đáng kể kết nối, đồng thời để lại sự xuất hiện của sự hiện diện của bảo vệ và không gây nghi ngờ cho người dùng.
Về mitmengine
Để xác định việc đánh chặn HTTPS bởi Cloudflare, gói mitmengine được cung cấp, cài đặt trên máy chủ và cho phép phát hiện đánh chặn HTTPS, cũng như xác định hệ thống nào đã được sử dụng để đánh chặn.
Bản chất của phương pháp xác định việc đánh chặn bằng cách so sánh các đặc điểm cụ thể của trình duyệt của quá trình xử lý TLS với trạng thái kết nối thực tế.
Dựa trên tiêu đề Tác nhân người dùng, công cụ xác định trình duyệt và sau đó đánh giá xem các đặc điểm kết nối TLSchẳng hạn như tham số mặc định của TLS, phần mở rộng được hỗ trợ, bộ mật mã đã khai báo, quy trình định nghĩa mật mã, nhóm và định dạng đường cong elliptic tương ứng với trình duyệt này.
Cơ sở dữ liệu chữ ký được sử dụng để xác minh có khoảng 500 số nhận dạng ngăn xếp TLS điển hình cho các trình duyệt và hệ thống đánh chặn.
Dữ liệu có thể được thu thập ở chế độ thụ động bằng cách phân tích nội dung của các trường trong thông điệp ClientHello, được phát công khai trước khi cài đặt kênh liên lạc được mã hóa.
TShark từ bộ phân tích mạng Wireshark 3 được sử dụng để nắm bắt lưu lượng.
Dự án mitmengine cũng cung cấp một thư viện để tích hợp các chức năng xác định điểm chặn vào các trình xử lý máy chủ tùy ý.
Trong trường hợp đơn giản nhất, chỉ cần vượt qua các giá trị User Agent và TLS ClientHello của yêu cầu hiện tại và thư viện sẽ cung cấp xác suất chặn và các yếu tố dựa trên kết luận này hoặc một kết luận khác.
Dựa trên thống kê lưu lượng thông qua mạng phân phối nội dung Cloudflare, mạng này xử lý khoảng 10% tổng lưu lượng truy cập Internet, một dịch vụ web được đưa ra phản ánh sự thay đổi trong động lực đánh chặn mỗi ngày.
Ví dụ, một tháng trước, mức đánh chặn được ghi nhận đối với 13.27% hợp chất, vào ngày 19 tháng 17.53, con số này là 13% và vào ngày 19.02 tháng XNUMX, nó đạt mức cao nhất là XNUMX%.
So sánh
Công cụ đánh chặn phổ biến nhất là hệ thống lọc của Symantec Bluecoat, chiếm 94.53% tổng số yêu cầu đánh chặn được xác định.
Theo sau là proxy ngược của Akamai (4.57%), Forcepoint (0.54%) và Barracuda (0.32%).
Hầu hết các hệ thống chống vi-rút và hệ thống kiểm soát của phụ huynh không được đưa vào mẫu các thiết bị đánh chặn đã xác định, vì không có đủ chữ ký được thu thập để nhận dạng chính xác của chúng.
Trong 52,35% trường hợp, lưu lượng truy cập của các phiên bản trình duyệt trên máy tính để bàn bị chặn và trong 45,44% trình duyệt dành cho thiết bị di động.
Về hệ điều hành, thống kê như sau: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), các hệ điều hành khác (17.54%).
Fuente: https://blog.cloudflare.com