Cloudflare推出了HTTPS攔截檢測工具

中間件怪物@ 2x

公司 Cloudflare引入了用於檢測HTTPS流量攔截的mitmengine庫以及用於對Cloudflare中累積的數據進行可視化分析的Malcolm Web服務。

該代碼以Go語言編寫,並根據BSD許可進行分發。 使用建議的工具對Cloudflare進行的流量監控顯示,截獲了大約18%的HTTPS連接。

HTTPS攔截

在大多數情況下, 由於各種本地防病毒應用程序的活動,HTTPS流量在客戶端被攔截,防火牆,家長控制系統,惡意軟件(用於竊取密碼,替換廣告或啟動挖掘代碼)或公司流量檢查系統。

這樣的系統會將您的TLS證書添加到本地系統上的證書列表中 他們使用它來攔截受保護的用戶流量。

客戶要求 代表攔截軟件傳輸到目標服務器,然後在使用攔截系統的TLS證書建立的單獨HTTPS連接中應答客戶端。

在某些情況下, 服務器的所有者將私鑰轉讓給第三方時,攔截是在服務器端進行的例如,反向代理運算符CDN或DDoS保護系統,該系統接收對原始TLS證書的請求,並將其傳輸到原始服務器。

在任何情況下, HTTPS攔截破壞了信任鏈,並引入了額外的折衷鏈接,從而導致保護級別顯著降低 連接,同時保持外觀的外觀保護,而不會引起用戶懷疑。

關於mitmengine

為了識別Cloudflare的HTTPS攔截,提供了mitmengine軟件包,該軟件包 安裝在服務器上並允許檢測到HTTPS攔截,以及確定用於攔截的系統。

通過將TLS處理的特定於瀏覽器的特徵與實際連接狀態進行比較來確定攔截的方法的本質。

引擎根據用戶代理標頭確定瀏覽器,然後評估TLS連接特徵例如TLS默認參數,支持的擴展,聲明的密碼套件,密碼定義過程,組和橢圓曲線格式都與此瀏覽器相對應。

用於驗證的簽名數據庫具有用於瀏覽器和攔截系統的大約500個典型TLS堆棧標識符。

可以通過分析字段內容以被動方式收集數據 在ClientHello消息中,該消息在安裝加密的通信通道之前已公開廣播。

Wireshark 3網絡分析儀中的TShark用於捕獲流量。

mitmengine項目還提供了一個庫,用於將攔截確定功能集成到任意服務器處理程序中。

在最簡單的情況下,只需傳遞當前請求的用戶代理和TLS ClientHello值就足夠了,並且庫將給出攔截的可能性以及根據一個或另一個結論得出的因素。

根據流量統計 通過Cloudflare內容交付網絡, 處理大約所有互聯網流量的10%,將啟動一個Web服務,該服務反映每天攔截動態的變化。

例如,一個月前,記錄到13.27%的化合物被截獲,19月17.53日為13%,19.02月XNUMX日達到最高點XNUMX%。

比較

最受歡迎的攔截引擎是Symantec Bluecoat的過濾系統,該系統佔所有已識別攔截請求的94.53%。

其次是Akamai(4.57%),Forcepoint(0.54%)和梭子魚(0.32%)的反向代理。

大多數防病毒和父母控制系統未包含在已識別的攔截器樣本中,因為沒有收集足夠的簽名來進行準確識別。

在52,35%的情況下,桌面版瀏覽器的流量被攔截,在移動設備中的瀏覽器中有45,44%的流量被攔截。

就操作系統而言,統計數據如下:Android(35.22%),Windows 10(22.23%),Windows 7(13.13%),iOS(11.88%),其他操作系統(17.54%)。

來源: https://blog.cloudflare.com


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

成為第一個發表評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。