1
momo12 OP |
2
peterli427 271 天前
能看到你一直在访问你的节点,但是不知道你具体干了啥,你真实的浏览内容是加密的。
|
3
IvanLi127 271 天前
|
5
momo12 OP @peterli427 #2 所以还是知道我翻了
|
6
luoyide2010 271 天前
主流 VPN 协议都是标榜自己是无特征,要这么容易识别翻墙这种行为早就灭绝了,管控设备想解密 https 目前都是不可能的
|
7
momo12 OP @luoyide2010 #6 哈哈,我也是这样想的,主要是这边刚入职,怕触碰红线,但是确实没 Google 和 GPT 不太方便写代码了
|
8
xumng123 271 天前 via iPhone
能查到
|
11
peterli427 271 天前
@momo12 如果公司想知道,那不难知道,但是知道你翻墙干了什么是不可能的。正常来说,他只看到你访问了一些非主流网站或者 IP ,也就是你节点对应的域名、IP ,那就太多了,自动化监控不可能的。但是如果主动分析你的访问记录,发现经常访问某个境外 IP 且流量不小,那基本也能判断你翻了。搞开发的翻墙太正常了,一般公司都是睁一只眼闭一只眼。
|
12
petercui 271 天前
只能查到你一直在访问你所用的节点的 IP ,但是不知道再具体的了。
|
13
ik 271 天前 via iPhone
我觉得都装了客户端了,客户端扫浏览器历史记录和程序列表啥的不是难事吧? 之前不是腾讯系有过例子了。
dns 用公司提供的话也会泄漏访问了哪些站点。 不知道客户端有没有添加自签证书的能力,可以的话中间人一下,多数都能看了。 |
15
7VO54YYGvw3LOF9U 271 天前 via iPhone
只是浏览文字类网站套层 tor 吧
|
16
leconio 271 天前 via iPhone
用摄像头不是更好查在干什么吗
|
17
lifekevin 271 天前
给你的客户端看起来只是验证入网,实际功能应该不止,找 IT 部门提个海外网络访问需求问一下,如果没有可申请途径再问问能不能自己连 vpn ,不然就是不合规,属于是留下了一个把柄
|
18
Jirajine 270 天前
@luoyide2010 #6 严重错误,主流的代理软件并不会尝试隐藏特征,它们只关心连不连得上,不关心暴露多少信息给链路。广泛部署的管控设备要么在终端直接采集信息,要么进行 tls mitm 代理。
|
19
qwerz 270 天前
这个就看你有没有在电脑上装客户端软件之类的,没装的话,只能看到 dns 记录的,如果套一层 vpn 的话,基本就安全了。如果装了客户端,那基本就是裸奔状态。
|
20
GeekGao 270 天前
如果是通过公司内部的网关,技术角度可以分析出来,不难。不过必要性就不知道有多大了。
|
21
GeekGao 270 天前
@luoyide2010 域控下发根证书,结合内部 DNS 服务,试问阁下如何应对 😛
|
22
Joshuahui 270 天前 via Android
学校组织在我们在某公司上课,公司的网不让用阿里云盘,我开全局代理上传文件会被发现😂
|
23
SenLief 270 天前
你们有 it 部门,直接问啊,尽量不要尝试用公司的网络做些出格的事情。
|
26
luoyide2010 270 天前
@GeekGao 虚心请教下目前有什么办法能分析出他在用代理?( PPTP 这类没考虑过隐藏特征除外)
我一开始也想限制公司使用代理,拿公司的几十万的奇安信管控和分析设备,识别不了,也手动抓过包,没解密只能拿到的就 IP 域名 端口号 加密协商的信息,解密了很多协议也是带混淆和加密的,后面想想国家想搞都搞不好,就放弃了,听你这么说我好奇心就来了,求教下你的思路 |
27
israinbow 270 天前 via Android
@luoyide2010 #26 证书解码 https, dns 判断目标地址, 这个思路不是关注流量的内容, 只关注有没有进行代理, 一般来说逆向这些协议拿到的也只有消息头. 功夫网并不关心你流量内容, 因为看一眼你访问的网站就知道你在干嘛了, 真想知道你的流量具体内容的时候就请走喝茶了.
|
28
GeekGao 270 天前
@luoyide2010 IP 情报库+流量行为啊。 “识别” 与 “解密流量” 不是一个概念啊,不要混淆。
国家不这么细致的搞,是因为国际出口路由需要允许国际流量且需要允许各种标准协议和非标准协议啊。所以无法解密、DPI 分析不出、黑名单也没命中,自然要放行了。 但是企业没那么大的流量,就可以很精细化的做 sniffer 。比如我公司一般员工如果没有国际通讯的需求,如果我发现他的 dns 解析异常(比如有 youtube.com 的记录) 我就知道,大概率是翻墙了( dns 泄露导致)。 当然你也可以说你用落地机。比如你连接到某机场 xxxx.yyyyyyy.com:69001 ,又不是标准的 443 端口,流量占比比较大(例如每 10 分钟,通过这个连接你要传输 100MB ),持续时间也较长(每天都有这类行为),我有理由的认为这就是机场啊(或者你的终端中毒了)。 |
29
luoyide2010 270 天前
@israinbow 你是以公司有能力搞中间人为前提,大部分公司都不会这样搞,如果你解密不了你怎么知道我访问的真实网站是什么,DNS 解析走翻墙隧道的,你能看到我 DNS 解析的内容?
|
30
luoyide2010 270 天前
@GeekGao
我了解也不深入,之前公司提供这个需求,稍微研究下,说的不一定全对,讨论讨论 我认为不解密能拿到比较直观的信息就 IP/域名/端口号,就这些基础信息你怎么识别,还是绕不开的解密 IP 情报库接触不多,只接触过威胁情报,IP 还能有什么情报? DNS 可以走隧道的,不好获取? 用常见端口搭的翻墙也很多,你说的方法可以筛选出部分可以流量,但不全面,最重要的是我接触的管控设备奇安信,深信服都实现不了你说的功能,手搓一个不现实,而且分析这个需要大量情报支持,动动嘴是一回事,实际操作又是另外一回事 结论:普通公司基本没能力识别出翻墙行为 |
31
GeekGao 270 天前
@luoyide2010 对于你的结论:普通公司基本没能力识别出翻墙行为 。
我是认同的。 我的回复只是想说明: 如果公司内有专职安全 team 要是硬去做的话,还是可以做到八九不离十的。 关于“奇安信,深信服都实现不了你说的功能” 你忽略了一个事实: 国内行为管控设备,并不想做代理检测这种耗费计算资源的事情(甲方老板也不关心,毕竟还可以客户端上部署 DLP )。 这并不意味着厂商在局域网内没有技术可以实现它。例如我可以强行 SNI 识别+DPI+白名单啊,你可疑流量的 IP 一律被通报出来。 当然如果你想说 DNS 不在本地解析,那是无法获知 SNI 了,但是你的翻墙 IP (或国内的落地鸡 IP+固定端口)网管也可以拉黑了。 补充你的疑问:IP 还能有什么情报? 15 分钟内 ipv4 全网代理端口扫描检测不是什么新鲜事儿了。公共 vpn 服务的 ip 已经被扫的(画像)八九不离十了。 5 年前我们就做过类似的风险数据业务了。 |
32
luoyide2010 270 天前
@GeekGao 学习了
|
33
HankAviator 269 天前 via Android
没特征就是特征啊,gfw 最近一次升级就是看信息熵,无特征的信息熵太高,直接封掉也不会有很高的误封率。同理公司网络里排除掉已知协议,长连接的未知协议很容易就看到是翻墙的了。
这其实不是什么技术问题,问题是楼主被告知不许翻墙还是没商量就做了,公司后面可以拿这个搞事情。公司内部这么做事情可大可小,但是涉及到外部如果还这么做了视客户性质和难缠程度,是有可能被捕的 |